JELENTÉS a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról
21.11.2013 - (COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD)) - ***I
Állampolgári Jogi, Bel- és Igazságügyi Bizottság
Előadó: Jan Philipp Albrecht
AZ EURÓPAI PARLAMENT JOGALKOTÁSI ÁLLÁSFOGLALÁS-TERVEZETE
a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
(Rendes jogalkotási eljárás: első olvasat)
Az Európai Parlament,
– tekintettel a Bizottság Európai Parlamenthez és Tanácshoz intézett javaslatára (COM(2012)0011),
– tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére, 16. cikkének (2) bekezdésére és 114. cikkének (1) bekezdésére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C7–0025/2012),
– tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,
– tekintettel a belga képviselőház, a német Bundesrat, a francia szenátus, az olasz képviselőház és a svéd parlament által a szubszidiaritás és az arányosság elvének alkalmazásáról szóló 2. jegyzőkönyv alapján előterjesztett indokolt véleményekre, amelyek szerint a jogalkotási aktus tervezete nem egyeztethető össze a szubszidiaritás elvével,
– tekintettel az Európai Gazdasági és Szociális Bizottság 2012. május 23-I véleményére[1],
– a Régiók Bizottságával folytatott konzultációt követően,
– tekintettel az európai adatvédelmi biztos 2012. március 7-i véleményére,
– tekintettel az Európai Unió Alapjogi Ügynöksége 2012. október 1-jei véleményére,
– tekintettel eljárási szabályzatának 55. cikkére,
– tekintettel az Állampolgári Jogi, Bel- és Igazságügyi Bizottság jelentésére, valamint a Foglalkoztatási és Szociális Bizottság, az Ipari, Kutatási és Energiaügyi Bizottság, a Belső Piaci és Fogyasztóvédelmi Bizottság és a Jogi Bizottság véleményeire (A7-0402/2013),
1. elfogadja első olvasatban az alábbi álláspontot;
2. felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslatát lényegesen módosítani kívánja, vagy helyébe másik szöveget kíván léptetni;
3. utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak, a Bizottságnak és a nemzeti parlamenteknek.
Módosítás 1 Rendeletre irányuló javaslat 14 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(14) E rendeletnek nem tárgya az olyan tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelme vagy adatok szabad áramlása, amelyek az uniós jog hatályán kívül esnek, és nem tartozik a rendelet hatálya alá az uniós intézmények, szervek, hatóságok és ügynökségek 45/2001/EK rendelet44 alkalmazási körébe tartozó személyesadat-feldolgozása, vagy a tagállamok által végzett személyesadat-feldolgozás, ha a tevékenységeket az Unió közös kül- és biztonságpolitikájával összefüggésben végzik. |
(14) E rendeletnek nem tárgya az olyan tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelme vagy adatok szabad áramlása, amelyek az uniós jog hatályán kívül esnek. A 45/2001/EK európai parlamenti és tanácsi rendeletet1 összhangba kell hozni ezzel a rendelettel, és ennek a rendeletnek megfelelően kell alkalmazni. |
____________ |
______________ |
44 HL L 8., 2001.1.12., 1. o. |
1 Az Európai Parlament és a Tanács 2000. december 18-i 45/2001/EK rendelete a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.) |
Módosítás 2 Rendeletre irányuló javaslat 15 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(15) A rendelet nem alkalmazandó továbbá a természetes személyek által végzett adatfeldolgozásra, amennyiben azt kizárólag személyes vagy házi használatra, például levelezés vagy címjegyzékek vezetése során végzik, és amely nélkülöz minden haszonszerzési célt, és nem kapcsolódik kereskedelmi vagy szakmai tevékenységhez. A kivétel nem alkalmazandó továbbá azokra az adatkezelőkre vagy -feldolgozókra, akik ilyen személyes vagy házi használatra szolgáló személyesadat-feldolgozáshoz biztosítanak eszközöket. |
(15) A rendelet nem alkalmazandó továbbá a természetes személyek által végzett adatfeldolgozásra, amennyiben azt kizárólag személyes, családi vagy otthoni használatra, például levelezés vagy címjegyzékek vezetése során, illetve zártkörű értékesítés céljából végzik, és amely nem kapcsolódik kereskedelmi vagy szakmai tevékenységhez. A rendelet alkalmazandó azonban azokra az adatkezelőkre és -feldolgozókra, akik ilyen személyes vagy házi használatra szolgáló személyesadat-feldolgozáshoz biztosítanak eszközöket. |
Módosítás 3 Rendeletre irányuló javaslat 18 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(18) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét a rendelettel megállapított rendelkezések alkalmazása során. |
(18) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét a rendelettel megállapított rendelkezések alkalmazása során. A valamely hatóság vagy állami szerv birtokában lévő személyes adatokat az említett hatóság vagy állami szerv a hivatalos iratokhoz való nyilvános hozzáférésre vonatkozó uniós vagy tagállami joggal összhangban közölheti, amely összeegyezteti az adatvédelemhez való jogot a hivatalos iratokhoz való nyilvános hozzáférés jogával, és helyes egyensúlyt képez a különféle felmerülő érdekek között. |
Módosítás 4 Rendeletre irányuló javaslat 20 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(20) Annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre e rendelet értelmében jogosultak, a nem az Unióban letelepedett adatkezelő által az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozását akkor kell a rendelet betartásával végezni, ha a feldolgozási tevékenység termékek vagy szolgáltatások ilyen érintettek számára történő nyújtására, vagy az ilyen érintettek viselkedésének nyomon követésére szolgál. |
(20) Annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre e rendelet értelmében jogosultak, a nem az Unióban letelepedett adatkezelő által az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozását akkor kell a rendelet betartásával végezni, ha a feldolgozási tevékenység termékek vagy szolgáltatások ilyen érintettek számára – akár fizetés ellenében, akár anélkül – történő nyújtására, vagy az ilyen érintettek nyomon követésére szolgál. Annak megállapítása érdekében, hogy az ilyen adatkezelő termékeket és szolgáltatásokat kínál-e az Unióban lakóhellyel rendelkező érintetteknek, meg kell bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő szolgáltatásokat tervez nyújtani az Unió egy vagy több tagállamában lakóhellyel rendelkező érintettek számára. |
Módosítás 5 Rendeletre irányuló javaslat 21 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(21) Annak meghatározása érdekében, hogy a feldolgozás az érintett „viselkedésének nyomon követésére” szolgál-e, azt kell megvizsgálni, hogy az egyéneket nyomon követik-e az interneten, vagy az egyén profiljának megalkotását is magában foglaló adatfeldolgozási technikákat alkalmaznak-e, különösen az egyénre vonatkozó döntések meghozatala vagy személyes igényeinek, viselkedésének vagy beállítottságának elemzése vagy előrejelzése érdekében. |
(21) Annak meghatározása érdekében, hogy a feldolgozás az érintett „nyomon követésére” szolgál-e, azt kell az adatok eredetétől függetlenül megvizsgálni, hogy az egyéneket nyomon követik-e, illetve hogy rájuk vonatkozó egyéb adatokat gyűjtenek-e, többek között az Unión kívülről hozzáférhető uniós nyilvántartásokból vagy közleményekből, és többek között azzal a szándékkal, hogy a profilalkotást is magukban foglaló adatfeldolgozási technikákat különösen az egyénre vonatkozó döntések meghozatala vagy személyes igényeinek, viselkedésének vagy beállítottságának elemzése vagy előrejelzése érdekében alkalmazzák, vagy később esetlegesen alkalmazzák. |
Módosítás 6 Rendeletre irányuló javaslat 23 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(23) A védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű módon felhasználhat az egyén azonosítására. A védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, hogy az érintett a továbbiakban nem azonosítható. |
(23) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerűen valószínűsíthető módon felhasználhat az egyén közvetlen vagy közvetett azonosítására vagy kiválasztására. Annak megállapítására, hogy egy módszer ésszerűen valószínűsíthetően felhasználható-e az egyén azonosítására, milyen objektív tényezőt tekintetbe kell venni, például az azonosítás költségeit és az azonosításhoz szükséges időt, figyelembe véve egyrészt a feldolgozás idején rendelkezésre technológiát, másrészt a technológiai fejlődést. Az adatvédelem elvei ezért nem alkalmazhatók az anonim adatokra, vagyis az olyan információkra, amelyek nem kapcsolhatók egy azonosított vagy azonosítható személyhez. A rendelet ezért nem érinti az ilyen anonim adatok többek között statisztikai vagy kutatási célú feldolgozását. |
Módosítás 7 Rendeletre irányuló javaslat 24 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(24) Az online szolgáltatások igénybe vétele során az egyének a berendezéseik, alkalmazásaik, eszközeik és szabványos protokolljaik által rendelkezésre bocsátott online azonosítókhoz kapcsolódnak, mint például az IP-cím vagy a cookie-azonosítók. Mivel ez olyan nyomokat hagy maga után, amely az egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal együtt felhasználható az egyének profiljának létrehozásához és az azonosításukhoz. Ebből következik, hogy az azonosítószámokat, tartózkodási helyre utaló adatokat, online azonosítókat vagy egyéb sajátos tényezőket nem szükségképpen kell minden körülmények között személyes adatnak tekinteni. |
(24) A rendeletet alkalmazni kell az olyan adatfeldolgozásra, amely berendezések, alkalmazások, eszközök és szabványos protokollok által rendelkezésre bocsátott azonosítókat, mint például IP-címeket, cookie-azonosítókat és rádiófrekvenciás azonosító címkéket használ fel, kivéve, ha ezek az azonosítók nem köthetők egy azonosított vagy azonosítható személyhez. |
Módosítás 8 Rendeletre irányuló javaslat 25 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(25) A hozzájárulást kifejezetten kell megadni bármely olyan megfelelő eljárással – nyilatkozattal vagy egyértelmű megerősítő cselekedettel –, amely lehetővé teszi az érintett nyilatkozatára vagy egyértelmű beleegyező aktusára alapozva az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítását, biztosítva azt, hogy az egyének tudatában legyenek annak, hogy személyesadat-feldolgozáshoz adják beleegyezésüknek, beleértve az internetes honlap látogatása során egy négyzet megjelölését és bármely egyéb nyilatkozatot vagy beleegyezést, amely egyértelműen jelzi ezzel összefüggésben az érintett hozzájárulását személyes adatainak tervezett feldolgozásához. A hallgatás vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás lehetővé tesz minden olyan feldolgozási tevékenységet, amelyet ugyanazon cél vagy célok érdekében végeznek. Amennyiben az érintett hozzájárulását elektronikus igénylés alapján adja meg, az igénylésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában kérik. |
(25) A hozzájárulást kifejezetten kell megadni bármely olyan megfelelő eljárással, amely lehetővé teszi az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítását, az érintett választása szerint akár nyilatkozat, akár egyértelmű megerősítő cselekedet formájában, biztosítva azt, hogy az egyének tudatában legyenek annak, hogy személyesadat-feldolgozáshoz adják beleegyezésüket. Ilyen egyértelmű megerősítő cselekedet lehet például az internetes honlap látogatása során egy négyzet megjelölése és bármely egyéb nyilatkozat vagy magatartás, amely egyértelműen jelzi ezzel összefüggésben az érintett hozzájárulását személyes adatainak tervezett feldolgozásához. A hallgatás, a szolgáltatás puszta használata vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás lehetővé tesz minden olyan feldolgozási tevékenységet, amelyet ugyanazon cél vagy célok érdekében végeznek. Amennyiben az érintett hozzájárulását elektronikus igénylés alapján adja meg, az igénylésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában kérik. |
Módosítás 9 Rendeletre irányuló javaslat 29 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(29) A gyermekeknek személyes adataik tekintetében különös védelmet kell biztosítani, mivel ők kevésbé lehetnek tisztában a személyes adatok feldolgozásának kockázataival, következményeivel és az ahhoz kapcsolódó biztosítékokkal és jogosultságokkal. Az egyén gyermekként történő meghatározásához e rendelet átveszi a gyermekek jogairól szóló ENSZ-egyezmény fogalommeghatározását. |
(29) A gyermekeknek személyes adataik tekintetében különös védelmet kell biztosítani, mivel ők kevésbé lehetnek tisztában a személyes adatok feldolgozásának kockázataival, következményeivel és az ahhoz kapcsolódó biztosítékokkal és jogosultságokkal. Amennyiben az adatfeldolgozás az érintettnek a közvetlenül gyermekeknek nyújtott termékekkel vagy szolgáltatásokkal összefüggésben megadott hozzájárulásán alapul, ezt a hozzájárulást 13 év alatti gyermekek esetében a gyermek szülőjének vagy jogi képviselőjének kell megadni vagy engedélyezni. Gyermek célközönség esetén az életkornak megfelelő nyelvezetet kell használni. A jogszerű adatfeldolgozás egyéb indokait, például a közérdeket továbbra is alkalmazni kell, például a közvetlenül gyermekeknek nyújtott megelőző vagy tanácsadási szolgáltatások tekintetében. |
Módosítás 10 Rendeletre irányuló javaslat 31 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(31) A feldolgozás jogszerűsége érdekében a személyes adatok az érintett személy hozzájárulása vagy akár az e rendeletben, akár az e rendelet által hivatkozott egyéb uniós vagy tagállami jogszabályban meghatározott más jogalap alapján dolgozhatók fel. |
(31) A feldolgozás jogszerűsége érdekében a személyes adatok az érintett személy hozzájárulása vagy akár az e rendeletben, akár az e rendelet által hivatkozott egyéb uniós vagy tagállami jogszabályban meghatározott más jogalap alapján dolgozhatók fel. Gyermekek vagy jogképességgel nem rendelkező személyek esetében a vonatkozó uniós vagy tagállami jognak kell meghatároznia azokat a feltételeket, amelyek mellett a szóban forgó személy a hozzájárulást megadja vagy engedélyezi. |
Módosítás 11 Rendeletre irányuló javaslat 32 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(32) Amennyiben a feldolgozás az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az érintett hozzájárult a feldolgozási művelethez. Különösen a más ügyben tett írásos nyilatkozattal összefüggésben biztosítékokkal kell biztosítani azt, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, valamint azzal, hogy milyen mértékben tette ezt. |
(32) Amennyiben a feldolgozás az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az érintett hozzájárult a feldolgozási művelethez. Különösen a más ügyben tett írásos nyilatkozattal összefüggésben biztosítékokkal kell biztosítani azt, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, valamint azzal, hogy milyen mértékben tette ezt. Az adatminimalizálás elvének való megfelelés érdekében a bizonyítási terhet nem szabad akként értelmezni, hogy az az érintettek pozitív azonosítását teszi szükségessé, kivéve, ha ez szükséges. A polgári jog feltételeihez hasonlóan (lásd például a 93/13/EGK irányelvet1) az adatvédelmi politikáknak a lehető legérthetőbbeknek és -átláthatóbbaknak kell lenniük. Nem tartalmazhatnak rejtett vagy hátrányos záradékokat. Harmadik személyek személyes adatainak feldolgozásához hozzájárulás nem adható. |
|
1 A fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről szóló, 1993. április 5-i 93/13/EGK tanácsi irányelv (HL L 95., 1993.4.21., 29. o.) |
Módosítás 12 Rendeletre irányuló javaslat 33 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(33) A szabad akaratból tett hozzájárulás biztosítása érdekében egyértelművé kell tenni, hogy a hozzájárulás jelent érvényes jogalapot, amennyiben az egyén nem rendelkezik egyéni és szabad választással, és később nem tagadhatja meg vagy vonhatja vissza hátrányok nélkül a hozzájárulását. |
(33) A szabad akaratból tett hozzájárulás biztosítása érdekében egyértelművé kell tenni, hogy a hozzájárulás jelent érvényes jogalapot, amennyiben az egyén nem rendelkezik egyéni és szabad választással, és később nem tagadhatja meg vagy vonhatja vissza hátrányok nélkül a hozzájárulását. Különösen érvényes ez akkor, ha az adatkezelő olyan hatóság, amely a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon megadottnak. Nem képez szabad hozzájárulást azon alapértelmezett lehetőségek – például az előre kipipált négyzetek – alkalmazása, amelyeket az érintettnek módosítania kell ahhoz, hogy tiltakozzon az adatfeldolgozás ellen. A szolgáltatás használatához nem kérhető a szolgáltatás nyújtásához nem szükséges kiegészítő személyes adatok feldolgozásához való hozzájárulás. Hozzájárulás visszavonása esetén ez lehetővé teheti az adatokhoz kötött szolgáltatás megszűnését vagy végre nem hajtását. Amennyiben a tervezett cél végeredménye nem világos, az adatkezelő rendszeres időközönként tájékoztatja az érintettet a feldolgozásról, és hozzájárulása megerősítését kéri. |
Módosítás 13 Rendeletre irányuló javaslat 34 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(34) A hozzájárulás nem hoz létre érvényes jogalapot a személyes adatok feldolgozására, amennyiben egyértelmű kiegyensúlyozatlanság áll fenn az érintett és az adatkezelő között. Ez különösen fennáll, ha az érintett függő viszonyban van az adatkezelőtől, többek között, amikor a munkavállaló személyes adatait a munkáltató a munkaviszonnyal összefüggésben dolgozza fel. Amennyiben az adatfeldolgozó hatóság, csak akkor áll fenn kiegyensúlyozatlanság a konkrét adatfeldolgozási műveletek tekintetében, ha a hatóság a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon, az érintett érdekére figyelemmel megadottnak. |
törölve |
Módosítás 14 Rendeletre irányuló javaslat 36 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(36) Ha a feldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy közérdekű feladat végrehajtásához, illetve hivatali hatáskör gyakorlásához szükséges, a feldolgozásnak olyan uniós vagy nemzeti jogi jogalappal kell rendelkeznie, amely megfelel az Európai Unió Alapjogi Chartájában foglalt, a jogok és szabadságok korlátozására vonatkozó követelménynek. Az uniós vagy a nemzeti jog feladata annak meghatározása is, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelő közigazgatási szerv vagy a közjog, illetve a magánjog hatálya alá tartozó egyéb természetes vagy jogi személy, például szakmai szövetség legyen-e. |
(36) Ha a feldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy közérdekű feladat végrehajtásához, illetve hivatali hatáskör gyakorlásához szükséges, a feldolgozásnak olyan uniós vagy nemzeti jogi jogalappal kell rendelkeznie, amely megfelel az Európai Unió Alapjogi Chartájában foglalt, a jogok és szabadságok korlátozására vonatkozó követelménynek. Ide kell tartozniuk az olyan kollektív megállapodásoknak is, amelyeket a nemzeti jog általános érvényűnek ismerhet el. Az uniós vagy a nemzeti jog feladata annak meghatározása is, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelő közigazgatási szerv vagy a közjog, illetve a magánjog hatálya alá tartozó egyéb természetes vagy jogi személy, például szakmai szövetség legyen-e. |
Módosítás 15 Rendeletre irányuló javaslat 38 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(38) Az adatkezelő jogos érdeke jogalapot teremthet a feldolgozáshoz, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Ezt különösen akkor kell vizsgálni, ha az érintett gyermek, mivel a gyermekeknek különös védelmet kell biztosítani. Az érintettnek joga van tiltakozni a feldolgozás ellen egyedi helyzetével kapcsolatos indokok alapján, és térítésmentesen. Az átláthatóság biztosítása érdekében az adatkezelőt kötelezni kell arra, hogy kifejezetten tájékoztassa az érintettet az alapul szolgáló jogos érdekről és a tiltakozáshoz való jogról, és igazolnia kell e jogos érdekeket. Mivel a jogalkotó feladata jogszabályokban meghatározni a hatóságok adatfeldolgozásának jogalapját, e jogi indokolás nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
(38) Az adatkezelő, vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdeke jogalapot teremthet a feldolgozáshoz, feltéve, hogy az megfelelnek az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak, és hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Ezt különösen akkor kell vizsgálni, ha az érintett gyermek, mivel a gyermekeknek különös védelmet kell biztosítani. Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, feltételezhető, hogy az álnevesített adatokra korlátozódó feldolgozás megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Az érintettnek joga van tiltakozni a feldolgozás ellen térítésmentesen. Az átláthatóság biztosítása érdekében az adatkezelőt kötelezni kell arra, hogy kifejezetten tájékoztassa az érintettet az alapul szolgáló jogos érdekről és a tiltakozáshoz való jogról, és igazolnia kell e jogos érdekeket. Az érintett érdekei és alapvető jogai megelőzik az adatkezelő érdekét, amennyiben a személyes adatokat olyan körülmények között dolgozzák fel, amelyekben az érintettek nem számítanak további adatfeldolgozásra. Mivel a jogalkotó feladata jogszabályokban meghatározni a hatóságok adatfeldolgozásának jogalapját, e jogi indokolás nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
Módosítás 16 Rendeletre irányuló javaslat 39 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(39) Az érintett adatfeldolgozó jogos érdekét jelenti a hálózati és informatikai biztonság biztosításához szigorúan szükséges mértékű adatfeldolgozás, vagyis az érintett hálózat vagy információs rendszer adott megbízhatósági szintű ellenállási képessége a szóban forgó hálózatokon és rendszereken tárolt vagy továbbított adatok és az általuk nyújtott vagy rajtuk keresztül – a hatóságok, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT), hálózatbiztonsági incidenskezelő csoportok (CSIRT), elektronikus hírközlési hálózatok és szolgáltatások szolgáltatói, valamint biztonságtechnológiai szolgáltatók számára – elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát veszélyeztető véletlen eseményekkel, illetve jogellenes vagy rosszindulatú tevékenységgel szemben. Ez magában foglalhatja például az elektronikus hírközlési hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú kódkiosztás megakadályozását, a hozzáférés megtagadásával (denial of service) járó támadások, valamint a számítógépes és elektronikus hírközlési rendszerekben való károkozás megakadályozását. |
(39) Az érintett adatfeldolgozó jogos érdekét jelenti a hálózati és informatikai biztonság biztosításához szigorúan szükséges és ezzel arányos mértékű adatfeldolgozás, vagyis az érintett hálózat vagy információs rendszer ellenállási képessége a szóban forgó hálózatokon és rendszereken tárolt vagy továbbított adatok és az e hálózatok és rendszerek által nyújtott, a hatóságok, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT), hálózatbiztonsági incidenskezelő csoportok (CSIRT), elektronikus hírközlési hálózatok és szolgáltatások szolgáltatói, valamint biztonságtechnológiai szolgáltatók számára elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát veszélyeztető véletlen eseményekkel, illetve rosszindulatú tevékenységgel szemben. Ez magában foglalhatja például az elektronikus hírközlési hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú kódkiosztás megakadályozását, a hozzáférés megtagadásával (denial of service) járó támadások, valamint a számítógépes és elektronikus hírközlési rendszerekben való károkozás megakadályozását. Ezt az elvet kell alkalmazni a személyes adatoknak a nyilvánosan rendelkezésre álló hálózatokhoz vagy információs rendszerekhez való visszaélésszerű hozzáférés, és ezek használatának korlátozása céljából történő feldolgozása, például az elektronikus azonosítók feketelistázása esetén. |
Módosítás 17 Rendeletre irányuló javaslat 39 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(39a) Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, az adatkezelő által elszenvedett károk megelőzése vagy mérséklése az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Ugyanezt az elvet kell alkalmazni az érintettel szembeni jogi követelések – például adósságbehajtás vagy polgári jogi kártérítés és jogorvoslat – érvényesítésére is. |
Módosítás 18 Rendeletre irányuló javaslat 39 b preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(39b) Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, a személyes adatok saját és hasonló termékekkel és szolgáltatásokkal kapcsolatos közvetlen üzletszerzés vagy postai úton történő közvetlen üzletszerzés érdekében való feldolgozása az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak, amennyiben jól látható tájékoztatást nyújtanak a kifogásoláshoz való jogról és a személyes adatok forrásáról. Az üzleti kapcsolatokra vonatkozó adatok feldolgozása általánosságban az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Ugyanez vonatkozik az olyan személyes adatok feldolgozására is, amelyeket az érintett egyértelműen nyilvánosságra hozott. |
Módosítás 19 Rendeletre irányuló javaslat 40 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(40) A személyes adatok egyéb célú feldolgozása csak akkor megengedett, ha a feldolgozás az adatgyűjtés eredeti céljaival is összeegyeztethető, különösen, ha a feldolgozásra történelmi, statisztikai vagy tudományos kutatás céljából van szükség. Az adatgyűjtés eredeti céljával összeegyeztethetetlen egyéb cél esetén az adatkezelőnek a jogszerű adatfeldolgozás érdekében be kell szereznie az érintett ezen egyéb célhoz való hozzájárulását, vagy más jogszerű indokra kell alapítania a feldolgozást, különösen ha az uniós jog vagy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, így rendelkezik. Minden esetben biztosítani kell az e rendeletben rögzített elvek alkalmazását, valamint különösen az érintett ezen egyéb célokról történő tájékoztatását. |
törölve |
Módosítás 20 Rendeletre irányuló javaslat 41 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(41) Az alapvető jogokkal és a magánélettel kapcsolatos, jellegüknél fogva különösen érzékeny és visszaélésre alkalmas személyes adatok különleges védelmet érdemelnek. Az ilyen adatok feldolgozása csak az érintett kifejezett hozzájárulásával végezhető. Az ilyen tilalomtól való eltérésről azonban különleges esetekre tekintettel kifejezetten rendelkezni kell, különösen amennyiben az adatfeldolgozást olyan egyesületek, illetve alapítványok végzik, amelyek célja – jogszerű tevékenységük keretében – az alapvető szabadságok gyakorlásának lehetővé tétele. |
törölve |
Módosítás 21 Rendeletre irányuló javaslat 42 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(42) Megfelelő biztosítékok és a személyes adatok és más alapvető jogok védelme mellett jogszabály útján is el lehet térni az adatok érzékeny kategóriái feldolgozásának tilalmától, amennyiben ezt közérdekű okok indokolják különösen egészségügyi célból, beleértve a közegészségügyet és a szociális védelmet, valamint az egészségügyi szolgáltatások igazgatását, elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek, vagy történelmi, statisztikai és tudományos kutatási célból. |
(42) Megfelelő biztosítékok és a személyes adatok és más alapvető jogok védelme mellett jogszabály útján is el lehet térni az adatok érzékeny kategóriái feldolgozásának tilalmától, amennyiben ezt közérdekű okok indokolják különösen egészségügyi célból – beleértve a közegészségügyet és a szociális védelmet, valamint az egészségügyi szolgáltatások igazgatását, elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek –, történelmi, statisztikai és tudományos kutatási célból, illetve az archiválási szolgálatok számára. |
Módosítás 22 Rendeletre irányuló javaslat 45 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(45) Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, akkor az adatkezelő nem köteles további információkat szerezni az érintett azonosítása érdekében, kizárólag abból a célból, hogy megfeleljen e rendelet bármely rendelkezésének. Hozzáférés iránti kérelem esetén az adatkezelő jogosult az érintettől további adatokat kérni annak érdekében, hogy az adatkezelő azonosíthassa azokat a személyes adatokat, amelyeket az érintett igényel. |
(45) Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, akkor az adatkezelő nem köteles további információkat szerezni az érintett azonosítása érdekében, kizárólag abból a célból, hogy megfeleljen e rendelet bármely rendelkezésének. Hozzáférés iránti kérelem esetén az adatkezelő jogosult az érintettől további adatokat kérni annak érdekében, hogy az adatkezelő azonosíthassa azokat a személyes adatokat, amelyeket az érintett igényel. Amennyiben az érintett tud ilyen adatokkal szolgálni, az adatkezelő nem tagadhatja meg a hozzáférést információhiányra hivatkozva. |
Módosítás 23 Rendeletre irányuló javaslat 47 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(47) Az érintettek e rendeletben biztosított jogainak gyakorlását egyszerűbbé tevő eljárásokat – ideértve az adatok vonatkozásában kérelemre és térítésmentesen biztosított hozzáférés, helyesbítés és törlés, valamint a tiltakozáshoz való jog gyakorlásának mechanizmusait – kell létrehozni. Az adatkezelőnek kötelesnek kell lennie arra, hogy az érintett kérelmére meghatározott határidőn belül válaszoljon, valamint hogy megindokolja, ha nem ad helyt az érintett kérelmének. |
(47) Az érintettek e rendeletben biztosított jogainak gyakorlását egyszerűbbé tevő eljárásokat kell létrehozni, ideértve az adatokhoz való hozzáférésre, azok helyesbítésére és törlésére, valamint a tiltakozáshoz való jog gyakorlására vonatkozó mechanizmusokat. Az adatkezelőnek kötelesnek kell lennie arra, hogy az érintett kérelmére ésszerű határidőn belül válaszoljon, valamint hogy megindokolja, ha nem ad helyt az érintett kérelmének. |
Módosítás 24 Rendeletre irányuló javaslat 48 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(48) A tisztességes és átlátható adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, az adatok tárolásának időtartamáról, a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár. |
(48) A tisztességes és átlátható adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, az adatok egyes célok tekintetében történő tárolásának valószínű időtartamáról, arról, hogy az adatokat harmadik feleknek vagy harmadik országoknak továbbítják-e vagy sem, a kifogásolási intézkedések, illetve a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár. Ezt a tájékoztatást a szabványosított ikonok formájában nyújtott egyszerűsített tájékoztatást követően kell az érintetteknek megadni, ami azt is jelentheti, hogy hozzáférhetővé kell tenni. Ez azt is jelenti, hogy a személyes adatok feldolgozása oly módon történik, hogy ténylegesen lehetővé válik az érintett számára jogainak gyakorlása. |
Módosítás 25 Rendeletre irányuló javaslat 50 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(50) Mindazonáltal nem szükséges e kötelezettség előírása, ha az érintett már rendelkezik az említett tájékoztatással, vagy ha az adat rögzítését, illetve közlését jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Utóbbi helyzet állhat fenn különösen történelmi, statisztikai, vagy tudományos célból történő feldolgozás esetén; e tekintetben figyelembe vehető az érintettek száma, az adatok kora és az elfogadott kárpótló intézkedések. |
(50) Mindazonáltal nem szükséges e kötelezettség előírása, ha az érintett már ismeri az említett tájékoztatást, vagy ha az adat rögzítését, illetve közlését jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. |
Módosítás 26 Rendeletre irányuló javaslat 51 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(51) Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait, időtartamát, az adatok címzettjeit, az adatok feldolgozásának logikáját, valamint azt, hogy az ilyen adatfeldolgozás, legalábbis amennyiben az profilalkotásra épül, milyen következményekkel jár, és hogy tájékoztatást kapjon minderről. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy szellemi tulajdont és különösen a szoftvert védelemben részesítő szerzői jogot. E megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. |
(51) Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait, becsült időtartamát, az adatok címzettjeit, az adatok feldolgozásának általános logikáját, valamint azt, hogy az ilyen adatfeldolgozás milyen következményekkel jár, és hogy tájékoztatást kapjon minderről. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy szellemi tulajdont, például a szoftvert védelemben részesítő szerzői joggal összefüggésben. E megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. |
Módosítás 27 Rendeletre irányuló javaslat 53 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(53) Minden személynek joga van a rá vonatkozó személyes adatok helyesbítéséhez és „a személyes adatok tárolásának megszüntetéséhez”, amennyiben az ilyen adatok megőrzése nem felel meg e rendeletnek. Az érintetteknek különösen ahhoz van joga, hogy személyes adataikat töröljék, és ne dolgozzák fel akkor, ha az adatokra azok gyűjtése vagy más módon való feldolgozása céljának tekintetében már nincs szükség, ha az érintettek visszavonták a feldolgozáshoz adott hozzájárulásukat, vagy ha megtiltják a rájuk vonatkozó személyes adatok feldolgozását, vagy ha személyes adataik feldolgozása egyébként nem áll összhangban e rendelettel. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta hozzájárulását, amikor nem volt teljes mértékben tisztában a feldolgozás kockázataival, később pedig el akarja távolítani az ilyen személyes adatokat, különösen az internetről. Mindazonáltal az adatok továbbra is visszatarthatóak, ha ez történelmi, statisztikai vagy tudományos kutatási célokból, a közegészségügy területén közérdekből vagy a véleménynyilvánítás jogának gyakorlásához szükséges, ha jogszabály előírja, vagy ha az adat feldolgozásának korlátozása indokoltabb a törlésénél. |
(53) Minden személynek joga van a rá vonatkozó személyes adatok helyesbítéséhez és törléséhez, amennyiben az ilyen adatok megőrzése nem felel meg e rendeletnek. Az érintetteknek különösen ahhoz van joga, hogy személyes adataikat töröljék, és ne dolgozzák fel akkor, ha az adatokra azok gyűjtése vagy más módon való feldolgozása céljának tekintetében már nincs szükség, ha az érintettek visszavonták a feldolgozáshoz adott hozzájárulásukat, vagy ha megtiltják a rájuk vonatkozó személyes adatok feldolgozását, vagy ha személyes adataik feldolgozása egyébként nem áll összhangban e rendelettel. Mindazonáltal az adatok továbbra is visszatarthatóak, ha ez történelmi, statisztikai vagy tudományos kutatási célokból, a közegészségügy területén közérdekből vagy a véleménynyilvánítás jogának gyakorlásához szükséges, ha jogszabály előírja, vagy ha az adat feldolgozásának korlátozása indokoltabb a törlésénél. Ezenfelül a törléshez való jog nem alkalmazható, ha a személyes adatok megőrzése az érintettel aláírt szerződés teljesítéséhez szükséges, vagy ha a szóban forgó adatok megőrzését jogszabály írja elő. |
Módosítás 28 Rendeletre irányuló javaslat 54 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(54) A személyes adatok tárolásának megszüntetéséhez való jog online környezetben való erősítése érdekében a törléshez való jogot is ki kell terjeszteni oly módon, hogy a személyes adatokat nyilvánosságra hozó adatkezelőnek tájékoztatnia kell az ilyen adatokat feldolgozó harmadik feleket arról, hogy az érintett kérte e személyes adatokra mutató linkek, vagy e személyes adatok másolatának, illetve másodpéldányának törlését. E tájékoztatás biztosítása érdekében az adatkezelőnek minden ésszerű lépést meg kell tennie – beleértve a műszaki intézkedéseket is – az adatkezelő felelősségi körébe tartozó közléssel érintett adatok tekintetében. A személyes adatok harmadik fél általi közlése tekintetében az adatkezelő felel a nyilvánosságra hozatalért, amennyiben a harmadik fél általi közlést az adatkezelő engedélyezte. |
(54) A személyes adatok törléséhez való jog online környezetben való erősítése érdekében a törléshez való jogot is ki kell terjeszteni oly módon, hogy a személyes adatokat jogi indokolás nélkül nyilvánosságra hozó adatkezelőt kötelezni kell arra, hogy valamennyi szükséges lépést tegye meg az adatok – többek között harmadik felek általi – törlése érdekében az érintett kártérítési jogának sérelme nélkül. |
Módosítás 29 Rendeletre irányuló javaslat 54 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(54a) Azokat az érintett által vitatott adatokat, amelyek helyessége vagy helytelensége nem állapítható meg, zárolni kell addig, amíg a kérdést nem tisztázzák. |
Módosítás 30 Rendeletre irányuló javaslat 55 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(55) A saját adataik feletti ellenőrzés és a hozzáférési jog gyakorlásának további erősítése érdekében az érintetteknek joga van a személyes adatok elektronikus úton történő feldolgozása során az őket érintő adatokról strukturált és széles körben elterjedt elektronikus formátumban másolatot kérni. Az érintettnek lehetősége van a rendelkezésre bocsátott adatok továbbítására is, az egyik automatizált alkalmazástól – például a közösségi hálózatról – a másikhoz. Ez alkalmazandó akkor is, ha az érintett az adatot a hozzájárulása alapján vagy szerződés teljesítése keretében bocsátotta az automatizált feldolgozó rendszer rendelkezésére. |
(55) A saját adataik feletti ellenőrzés és a hozzáférési jog gyakorlásának további erősítése érdekében az érintetteknek joga van a személyes adatok elektronikus úton történő feldolgozása során az őket érintő adatokról strukturált és széles körben elterjedt elektronikus formátumban másolatot kérni. Az érintettnek lehetősége van a rendelkezésre bocsátott adatok továbbítására is, az egyik automatizált alkalmazástól – például a közösségi hálózatról – a másikhoz. Az adatkezelőket ösztönözni kell az adathordozhatóságot lehetővé tevő interoperábilis formátumok kifejlesztésére. Ez alkalmazandó akkor is, ha az érintett az adatot a hozzájárulása alapján vagy szerződés teljesítése keretében bocsátotta az automatizált feldolgozó rendszer rendelkezésére. Az információs társadalommal összefüggő szolgáltatást nyújtók nem tehetik kötelezővé az említett adatok továbbítását szolgáltatásaik igénybevételéhez. |
Módosítás 31 Rendeletre irányuló javaslat 56 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(56) Amennyiben a személyes adatokat jogszerűen dolgozhatják fel az érintett alapvető érdekeinek védelme érdekében vagy közérdekű, illetve hatósági indokok vagy az adatkezelő jogos érdekei alapján, ugyanakkor minden érintettnek jogot kell biztosítani a rá vonatkozó adatok feldolgozásának kifogásolására. Az adatkezelőre hárul annak bizonyítása, hogy az ő jogos érdeke elsőbbséget élvez az érintett alapvető jogaival és szabadságaival szemben. |
(56) Még akkor is, ha a személyes adatokat jogszerűen dolgozhatják fel az érintett alapvető érdekeinek védelme érdekében vagy közérdekű, illetve hatósági indokok vagy az adatkezelő jogos érdekei alapján, minden érintettnek jogot kell biztosítani a rá vonatkozó adatok feldolgozásának térítésmentes, könnyen és hatékonyan megvalósítható kifogásolására. Az adatkezelőre hárul annak bizonyítása, hogy az ő jogos érdeke elsőbbséget élvez az érintett alapvető jogaival és szabadságaival szemben. |
Módosítás 32 Rendeletre irányuló javaslat 57 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(57) Ha az adatokat közvetlen üzletszerzés érdekében dolgozzák fel, az érintett jogosult térítésmentesen, valamint könnyen és hatékonyan kifogásolni az ilyen feldolgozást. |
(57) Amennyiben az érintett jogosult a feldolgozás kifogásolására, az adatkezelőnek érthető módon és formában, világos és közérthető nyelven kifejezetten fel kell hívnia erre az érintett figyelmét, és ezt a felhívást egyértelműen meg kell különböztetnie minden más információtól. |
Módosítás 33 Rendeletre irányuló javaslat 58 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(58) Minden természetes személyt megillet a jog, hogy ne legyen automatizált adatfeldolgozási eszközökkel végzett profilalkotáson alapuló intézkedés alanya Az ilyen intézkedések mindazonáltal megengedhetőek akkor, ha azt jogszabály kifejezetten előírja, ha valamely szerződés megkötése vagy telesítése során végzik, vagy ha az érintett hozzájárult. Az ilyen feldolgozásra minden esetben megfelelő biztosítékok mellett kerülhet sor, beleértve az érintett külön tájékoztatását és az emberi beavatkozás kérésének jogát, és az ilyen intézkedés nem vonatkozhat gyermekekre. |
(58) Az adatfeldolgozás jogszerűségének sérelme nélkül minden természetes személyt jogosult a profilalkotás kifogásolására. Az olyan profilalkotás, amely az érintettel kapcsolatban joghatáshoz vezet vagy hasonlóan jelentős hatással van az érintett érdekeire, jogaira vagy szabadságaira, kizárólag akkor engedélyezhető, ha azt jogszabály kifejezetten engedélyezi, ha valamely szerződés megkötése vagy telesítése során végzik, vagy ha az érintett hozzájárult. Az ilyen feldolgozásra minden esetben megfelelő biztosítékok mellett kerülhet sor, beleértve az érintett külön tájékoztatását és az emberi értékeléshez való hozzáférés jogát, valamint azt, hogy az ilyen intézkedés nem vonatkozhat gyermekekre. Az ilyen intézkedések nem vezethetnek faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, szexuális irányultság vagy nemi identitás alapján történő megkülönböztetéshez. |
Módosítás 34 Rendeletre irányuló javaslat 58 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(58a) A kizárólag álnevesített adatok feldolgozásán alapuló profilalkotásról azt kell feltételezni, hogy nincs jelentős hatással az érintett érdekeire, jogaira és szabadságaira. Amennyiben a profilalkotás – akár egyetlen forrásból, akár több különböző forrásból származó álnevesített adatokon alapul – lehetővé teszi az adatkezelő számára, hogy az álnevesített adatokat egy konkrét érintetthez kösse, a feldolgozott adat nem tekinthető többé álnevesített adatnak. |
Módosítás 35 Rendeletre irányuló javaslat 59 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(59) Az uniós és a tagállami jog korlátozhatja az egyes alapelveket, az információhoz való jogot, a betekintési, módosítási és törlési jogot, az adathordozhatósághoz fűződő jogot, a kifogásolási jogot, valamint a profilalkotáson alapuló intézkedések és a személyes adatokkal való jogsértés érintettel történő közlését, amennyiben ez egy demokratikus társadalomban a közbiztonság védelméhez szükséges és arányos, beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, bűncselekmények vagy a szabályozott szakmák etikai szabályainak megsértései megelőzését, nyomozását és üldözését, az egyéb uniós vagy tagállami közérdeket, különösen az Unió vagy egy tagállam fontos gazdasági vagy pénzügyi érdekét, vagy az érintett, illetve mások jogainak és szabadságainak védelmét. E korlátozásoknak összhangban kell állniuk az Európai Unió Alapjogi Chartájával, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel. |
(59) Az uniós és a tagállami jog korlátozhatja az egyes alapelveket, az információhoz való jogot, a módosítási és törlési jogot, a hozzáféréshez és az adatszerzéshez fűződő jogot, a kifogásolási jogot, a profilalkotást és a személyes adatokkal való jogsértés érintettel történő közlését, amennyiben ez egy demokratikus társadalomban a közbiztonság védelméhez szükséges és arányos, beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, bűncselekmények vagy a szabályozott szakmák etikai szabályainak megsértései megelőzését, nyomozását és üldözését, az egyéb uniós vagy tagállami közérdeket, különösen az Unió vagy egy tagállam konkrét és jól meghatározott fontos gazdasági vagy pénzügyi érdekét, vagy az érintett, illetve mások jogainak és szabadságainak védelmét. E korlátozásoknak összhangban kell állniuk az Európai Unió Alapjogi Chartájával, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel. |
Módosítás 36 Rendeletre irányuló javaslat 60 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(60) A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét. Az adatkezelőnek biztosítania és kötelezettségének megfelelően bizonyítania kell, hogy valamennyi adatfeldolgozási művelet összhangban áll e rendelettel. |
(60) A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét, különös tekintettel a dokumentálásra, az adatbiztonságra, a hatásvizsgálatokra, az adatvédelmi tisztviselőre és az adatvédelmi hatóságok által végzett felügyeletre. Az adatkezelőnek biztosítania kell és képesnek kell lennie bizonyítani, hogy valamennyi adatfeldolgozási művelet összhangban áll e rendelettel. Ezt független belső vagy külső ellenőröknek kell felülvizsgálniuk. |
Módosítás 37 Rendeletre irányuló javaslat 61 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(61) A rendelet követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg mind az adatfeldolgozás megtervezésének mind magának az adatfeldolgozásnak az időpontjában. Az adatkezelő az e rendelettel való összhang biztosítása és bizonyítása érdekében belső szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz. |
(61) A rendelet követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg mind az adatfeldolgozás megtervezésének mind magának az adatfeldolgozásnak az időpontjában. Az adatkezelő az e rendelettel való összhang biztosítása és bizonyítása érdekében belső szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz. A beépített adatvédelem elve megköveteli, hogy az adatvédelem a technológia teljes életciklusába beágyazódjon, az igen korai tervezési szakasztól egészen a végső telepítésig, alkalmazásig és leszerelésig. Ebbe bele kell tartoznia az adatkezelő vagy -feldolgozó által használt termékekért és szolgáltatásokért vállalt felelősségnek is. Az alapértelmezett adatvédelem a szolgáltatásokkal és termékekkel kapcsolatban olyan adatvédelmi beállításokat követel meg, amelyeknek alapértelmezett módon kell megfelelniük az általános adatvédelmi elveknek, mint például az adatminimalizálásnak és a célhoz kötöttségnek. |
Módosítás 38 Rendeletre irányuló javaslat 62 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(62) Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége a felügyelő hatóságok ellenőrzése és intézkedései tekintetében is megköveteli az e rendelet szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, feltételeit és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet. |
(62) Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége a felügyeleti hatóságok ellenőrzése és intézkedései tekintetében is megköveteli az e rendelet szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet. A közös adatkezelők közötti megállapodásoknak tükrözniük kell a közös adatkezelők tényleges szerepét és a köztük fennálló kapcsolatokat. Az e rendelet értelmében történő adatfeldolgozáshoz hozzá kell, hogy tartozzon annak engedélyezése, hogy az adatkezelő az adatokat egy közös adatkezelőnek vagy a nevében történő adatfeldolgozás céljából egy adatfeldolgozóhoz továbbítsa. |
Módosítás 39 Rendeletre irányuló javaslat 63 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(63) Amennyiben az Unióban lakóhellyel rendelkező érintettek személyes adatait az Unióban nem letelepedett olyan adatkezelő dolgozza fel, akinek adatfeldolgozási tevékenysége termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához vagy az ilyen érintettek viselkedésének nyomon követéséhez kapcsolódik, az adatkezelőnek képviselőt kell kijelölnie, kivéve ha az adatkezelő egy megfelelő szintű védelmet biztosító harmadik országban telepedett le, vagy az adatkezelő kis- vagy középvállalkozás, vagy hatóság vagy állami szerv, vagy ha az adatkezelő csak alkalmi jelleggel kínál termékeket és szolgáltatásokat ezen érintetteknek. A képviselő az adatkezelő nevében jár el, és bármelyik felügyelő hatóság megkeresheti. |
(63) Amennyiben az érintettek személyes adatait az Unióban nem letelepedett adatkezelő dolgozza fel az Unióban, az adatkezelőnek képviselőt kell kijelölnie, kivéve ha az adatkezelő egy megfelelő szintű védelmet biztosító harmadik országban telepedett le, vagy az adatfeldolgozás bármely összefüggő 12 hónap során kevesebb mint 5000 érintettre és nem a személyes adatok különleges kategóriáira vonatkozik, vagy az adatkezelő egy hatóság vagy állami szerv, vagy ha az adatkezelő csak alkalmi jelleggel kínál termékeket és szolgáltatásokat ezen érintetteknek. A képviselő az adatkezelő nevében jár el, és bármelyik felügyelő hatóság megkeresheti. |
Módosítás 40 Rendeletre irányuló javaslat 64 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(64) Annak megállapítása érdekében, hogy az adatkezelő csupán alkalmi jelleggel kínál-e termékeket és szolgáltatásokat az Unióban lakóhellyel rendelkező érintetteknek, azt kell megvizsgálni, hogy az adatkezelő tevékenységeinek összességéből kitűnik-e az, hogy a termékek és szolgáltatások ilyen érintettek számára történő nyújtása kiegészítő jelleggel bír-e a fő tevékenységekhez képest. |
(64) Annak megállapítása érdekében, hogy az adatkezelő csupán alkalmi jelleggel kínál-e termékeket és szolgáltatásokat az érintetteknek az Unióban, azt kell megvizsgálni, hogy az adatkezelő tevékenységeinek összességéből kitűnik-e az, hogy a termékek és szolgáltatások ilyen érintettek számára történő nyújtása kiegészítő jelleggel bír-e a fő tevékenységekhez képest. |
Módosítás 41 Rendeletre irányuló javaslat 65 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(65) Az adatkezelőnek vagy -feldolgozónak az e rendelettel való összhang igazolása érdekében dokumentálnia kell minden adatfeldolgozási tevékenységet. Minden adatkezelő vagy -feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt – kérésre – hozzáférhetővé tenni az adatfeldolgozási műveletek esetleges ellenőrzése céljából. |
(65) Ahhoz, hogy az adatkezelő vagy ‑feldolgozó igazolni tudja az e rendelettel való összhangot, vezetnie kell az e rendeletben előírt követelményeknek való megfeleléshez szükséges dokumentációt. Minden adatkezelő vagy ‑feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt – kérésre – hozzáférhetővé tenni a rendeletnek való megfelelés értékelése céljából. Azonban egyaránt hangsúlyt kell fektetni a helyes gyakorlatra és a szabályok betartására, nem csupán a dokumentáció elkészítésére. |
Módosítás 42 Rendeletre irányuló javaslat 66 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(66) A biztonság fenntartása és a jelen rendelettel ellentétes adatfeldolgozás megelőzése érdekében az adatkezelőnek vagy -feldolgozónak értékelnie kell az adatfeldolgozás természetéből fakadó kockázatokat, és meg kell tennie az e kockázatok csökkentésére alkalmas intézkedéseket. Ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, a védendő személyes adatok jellegével és a belőlük fakadó kockázatokkal kapcsolatban figyelembe véve a technika állását és alkalmazásuk költségeit. Az adatfeldolgozás biztonságát biztosító technikai szabványok és szervezeti intézkedések kialakítása során a Bizottságnak elő kell mozdítania a technológiai semlegességet, az átjárhatóságot és az innovációt, valamint adott esetben együtt kell működnie harmadik országokkal. |
(66) A biztonság fenntartása és a jelen rendelettel ellentétes adatfeldolgozás megelőzése érdekében az adatkezelőnek vagy -feldolgozónak értékelnie kell az adatfeldolgozás természetéből fakadó kockázatokat, és meg kell tennie az e kockázatok csökkentésére alkalmas intézkedéseket. Ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, a védendő személyes adatok jellegével és a belőlük fakadó kockázatokkal kapcsolatban figyelembe véve a technika állását és alkalmazásuk költségeit. Az adatfeldolgozás biztonságát biztosító technikai szabványok és szervezeti intézkedések kialakítása során elő kell mozdítani a technológiai semlegességet, az átjárhatóságot és az innovációt, valamint adott esetben ösztönözni kell a harmadik országokkal folytatott együttműködést. |
Módosítás 43 Rendeletre irányuló javaslat 67 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(67) A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – jelentős gazdasági veszteséget és társadalmi kárt okozhat – a személyazonossággal való visszaélést is beleértve – az érintett egyén számára. Az adatkezelőnek ezért haladéktalanul, amennyiben lehetséges, az ilyen adatsértésről való tudomásszerzést követő 24 órán belül értesítenie kell a felügyelő hatóságot. Ha ez 24 órán belül nem tehető meg, az értesítéshez csatolni kell a késedelem indokainak ismertetését. A szükséges óvintézkedések lehetővé tétele érdekében haladéktalanul értesíteni kell azokat az egyéneket, akiknek személyes adatait a jogsértés hátrányosan befolyásolhatja. Az érintett személyes adatait vagy magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, fizikai károkozáshoz, súlyos sértéshez vagy hírnévrontáshoz vezet. Az értesítésnek tartalmaznia kell a személyes adatokat érintő jogsértés jellegének leírását, valamint az érintett egyénnek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintetteknek szóló tájékoztatást az ésszerűség keretei között a lehető leghamarabb meg kell tenni, szorosan együttműködve a felügyelő hatósággal, és az az által vagy más releváns hatóságok (például bűnüldöző hatóságok) által nyújtott iránymutatást betartva. Például ha annak a lehetősége, hogy az érintettek enyhíthetik a kár közvetlen veszélyét, az érintettek sürgős értesítését igényelné, míg az adatsértés folytatásával vagy hasonló adatsértés elkövetésével szemben alkalmazott megfelelő intézkedések hosszabb időtartamot indokolhatnak. |
(67) A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – jelentős gazdasági veszteséget és társadalmi kárt okozhat – a személyazonossággal való visszaélést is beleértve – az érintett egyén számára. Az adatkezelőnek ezért haladéktalanul, vagyis feltehetőleg legfeljebb 72 órán belül értesítenie kell a felügyelő hatóságot. Adott esetben az értesítéshez csatolni kell a késedelem indokainak ismertetését. A szükséges óvintézkedések lehetővé tétele érdekében haladéktalanul értesíteni kell azokat az egyéneket, akiknek személyes adatait a jogsértés hátrányosan befolyásolhatja. Az érintett személyes adatait vagy magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, fizikai károkozáshoz, súlyos sértéshez vagy hírnévrontáshoz vezet. Az értesítésnek tartalmaznia kell a személyes adatokat érintő jogsértés jellegének leírását, valamint az érintett egyénnek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintetteknek szóló tájékoztatást az ésszerűség keretei között a lehető leghamarabb meg kell tenni, szorosan együttműködve a felügyelő hatósággal, és az az által vagy más releváns hatóságok (például bűnüldöző hatóságok) által nyújtott iránymutatást betartva. Például ha annak a lehetősége, hogy az érintettek enyhíthetik a kár közvetlen veszélyét, az érintettek sürgős értesítését igényelné, míg az adatsértés folytatásával vagy hasonló adatsértés elkövetésével szemben alkalmazott megfelelő intézkedések hosszabb időtartamot indokolhatnak. |
Módosítás 44 Rendeletre irányuló javaslat 71 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(71a) A hatásvizsgálat bármely fenntartható adatvédelmi rendszer legfontosabb alapja, amely biztosítja, hogy a vállalatok a kezdetektől fogva ismerik adatfeldolgozási műveleteik összes lehetséges következményeit. Alapos hatásvizsgálatok esetében lényegesen korlátozottabb az adatokat vagy a magánéletet sértő műveletek valószínűsége. Az adatvédelmi hatásvizsgálatoknak ezért a személyes adatok kezelésének teljes időtartamára ki kell terjedniük, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig, részletesen leírva a tervezett adatfeldolgozási műveleteket, az érintettek jogaira és szabadságaira vonatkozó kockázatokat, a kockázatok kezelésére tervezett intézkedéseket, a rendelettel való összhang igazolását szolgáló biztosítékokat, biztonsági intézkedéseket és mechanizmusokat. |
Módosítás 45 Rendeletre irányuló javaslat 71 b preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(71b) Az adatkezelőknek az adatkezelés teljes időtartama alatt a személyes adatok védelmére kell koncentrálniuk, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig, már a kezdeteknél beruházva egy egységességi mechanizmussal felügyelt fenntartható adatgazdálkodási rendszerbe. |
Módosítás 46 Rendeletre irányuló javaslat 73 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(73) Az adatvédelmi hatásvizsgálatot hatóságnak vagy állami szervnek kell elvégeznie, amennyiben ilyen hatásvizsgálatra még nem került sor azon nemzeti jogszabály elfogadásával összefüggésben, amelyen a hatóság vagy állami szerv feladatainak elvégzése alapul, és amely szabályozza a szóban forgó sajátos feldolgozási műveletet vagy műveleteket. |
törölve |
Módosítás 47 Rendeletre irányuló javaslat 74 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(74) Amennyiben egy adatvédelmi hatásvizsgálat azt jelzi, hogy az adatfeldolgozó műveletek valószínűleg magas szintű, különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, mint például kizárhatják az egyéneket a jogaik gyakorlásából vagy különleges új technológiákat alkalmaznak, a műveletek megkezdése előtt konzultálni kell a felügyelő hatósággal arról a kockázatos feldolgozásról, amely esetlegesen nem áll összhangban e rendelettel, és javaslatokat készíteni e helyzet orvoslására. Ezt a konzultációt egyaránt el kell végezni a nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése során. |
(74) Amennyiben egy adatvédelmi hatásvizsgálat azt jelzi, hogy az adatfeldolgozó műveletek valószínűleg magas szintű, különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, mint például kizárhatják az egyéneket a jogaik gyakorlásából vagy különleges új technológiákat alkalmaznak, a műveletek megkezdése előtt konzultálni kell az adatvédelmi tisztviselővel vagy a felügyelő hatósággal arról a kockázatos feldolgozásról, amely esetlegesen nem áll összhangban e rendelettel, és javaslatokat készíteni e helyzet orvoslására. A nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése során a felügyeleti hatósággal is konzultálni kell. |
Módosítás 48 Rendeletre irányuló javaslat 74 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(74a) A hatásvizsgálatok csak akkor lesznek eredményesek, ha az adatkezelők gondoskodnak arról, hogy teljesítsék az eredetileg azokban lefektetett ígéreteket. Az adatkezelőknek ezért időszakos adatvédelmi megfelelőségvizsgálatokat kell lefolytatniuk, amelyek igazolják, hogy az érvényes adatfeldolgozási mechanizmusok összhangban vannak az adatvédelmi hatásvizsgálatban lefektetett biztosítékokkal. Emellett azt is demonstrálniuk kell, hogy az adatkezelő képes megfelelni az érintettek önálló választásainak. Továbbá amennyiben a vizsgálat megfelelőségi ellentmondásokat talál, fel kell azokra hívnia a figyelmet, és ajánlásokat kell megfogalmaznia a teljes mértékű megfelelés elérésének módjára. |
Módosítás 49 Rendeletre irányuló javaslat 75 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(75) Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a magánszférában a feldolgozást nagyvállalkozás végzi, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat, akár az adatkezelő alkalmazásában állnak, akár nem. |
(75) Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a feldolgozás 12 hónapon belül 5000-nél több érintettre vonatkozik, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel érzékeny adatokra vonatkozó feldolgozási művelet vagy olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Annak megállapítása során, hogy jelentős számú érintettre vonatkozóan dolgoznak-e fel adatokat, nem kell figyelembe venni azokat az archivált adatokat, amelyeket oly módon korlátoznak, hogy azokra nem vonatkozik az adatokhoz való rendes hozzáférés, amelyek nem képezik az adatkezelő által végzett adatfeldolgozási műveletek tárgyát, és amelyeket már nem lehet módosítani. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat, és különleges védelemben részesülnek az elbocsátás ellen, akár az adatkezelő alkalmazásában állnak, akár nem, és függetlenül attól, hogy ezt a feladatot teljes munkaidőben végzik-e. A végső felelősség továbbra is a szervezet vezetéséé. Az adatvédelmi tisztviselővel különösen a személyes adatok automatizált feldolgozására szolgáló rendszerek megtervezését, beszerzését, fejlesztését és telepítését megelőzően kell konzultálni a beépített és az alapértelmezett adatvédelmi elvek biztosítása érdekében. |
Módosítás 50 Rendeletre irányuló javaslat 75 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(75a) Az adatvédelmi tisztviselőnek legalább a következő képesítésekkel kell rendelkeznie: az adatvédelmi jog lényegének és alkalmazásának – többek között a technikai és szervezeti intézkedéseknek és eljárásoknak – a mélyreható ismerete; a beépített és az alapértelmezett adatvédelemre és az adatbiztonságra vonatkozó technikai követelményekben való jártasság; ágazatspecifikus ismeretek az adatkezelő vagy -feldolgozó méretének és a feldolgozandó adatok érzékenységének megfelelően; ellenőrzések, konzultációk, dokumentálás és naplófájl-elemzés elvégzésére irányuló képesség; valamint a munkavállalói képviselettel való együttműködési képesség. Az adatkezelőnek lehetővé kell tennie az adatvédelmi tisztviselő számára, hogy továbbképzési programokban vegyen részt a feladatainak ellátásához szükséges különleges ismeretek fenntartása céljából. Az adatvédelmi tisztviselőnek történő kijelölés nem szükségszerűen követeli meg az adott alkalmazott teljes időben történő foglalkoztatását. |
Módosítás 51 Rendeletre irányuló javaslat 76 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(76) A szövetségeket vagy az adatkezelők kategóriáit képviselő más szerveket ösztönözni kell eljárási szabályzat létrehozására e rendelet keretein belül annak érdekében, hogy megkönnyítsék e rendelet hatékony alkalmazását, figyelembe véve a meghatározott ágazatokban végzett feldolgozás sajátos jellegzetességeit. |
(76) A szövetségeket vagy az adatkezelők kategóriáit képviselő más szerveket a munkavállaló képviselőivel folytatott konzultációt követően ösztönözni kell eljárási szabályzat létrehozására e rendelet keretein belül annak érdekében, hogy megkönnyítsék e rendelet hatékony alkalmazását, figyelembe véve a meghatározott ágazatokban végzett feldolgozás sajátos jellegzetességeit. E szabályzatok megkönnyítenék az e rendeletnek való megfelelést az ágazat számára. |
Módosítás 52 Rendeletre irányuló javaslat 77 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(77) Az átláthatóság és az e rendelettel való összhang elősegítése érdekében ösztönözni kell olyan tanúsítási mechanizmusok, adatvédelmi címkék és jelzők létrehozását, amelyek lehetővé teszik az érintetteknek az adott termékek és szolgáltatások adatvédelmi szintjének gyors felmérését. |
(77) Az átláthatóság és az e rendelettel való összhang elősegítése érdekében ösztönözni kell olyan tanúsítási mechanizmusok, adatvédelmi címkék és egységesített jelzők létrehozását, amelyek lehetővé teszik az érintetteknek az adott termékek és szolgáltatások adatvédelmi szintjének gyors, megbízható és ellenőrizhető felmérését. Európai szinten létre kell hozni egy európai adatvédelmi címkét, melynek célja, hogy bizalmat ébresszen az érintettek körében, az adatkezelők számára jogbiztonságot teremtsen, ugyanakkor „exportálja” az európai adatvédelmi normákat azáltal, hogy lehetővé teszi a nem európai vállalkozások számára, hogy ha tanúsítással rendelkeznek, könnyebben belépjenek az európai piacokra. |
Módosítás 53 Rendeletre irányuló javaslat 79 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(79) E rendelet nem sérti az Unió és harmadik országok között kötött, a személyes adatok továbbításáról – beleértve az érintetteknek szolgáltatott megfelelő biztosítékokat is – szóló nemzetközi megállapodásokat. |
(79) E rendelet nem sérti az Unió és harmadik országok között kötött, a személyes adatok továbbításáról szóló nemzetközi megállapodásokat, beleértve az érintetteknek szolgáltatott megfelelő, a polgárok alapvető jogainak kellő szintű védelmét szavatoló biztosítékokat is. |
Módosítás 54 Rendeletre irányuló javaslat 80 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(80) A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ezekben az esetekben a személyes adatok az említett országokba további engedély beszerzése nélkül is továbbíthatók. |
(80) A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. A Bizottság a harmadik országnak küldött, teljes körű indokolással ellátott értesítést követően dönthet úgy is, hogy visszavonja ezt a határozatot. |
Módosítás 55 Rendeletre irányuló javaslat 82 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(82) A Bizottságnak hasonlóképpen felismerheti, hogy az adott harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani. Ebben az esetben rendelkezni kell a Bizottság és ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról. |
(82) A Bizottságnak hasonlóképpen felismerheti, hogy az adott harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Bármely olyan jogszabály, amely lehetővé teszi az Unióban feldolgozott személyes adatokhoz való, területen kívüli hozzáférést az uniós vagy a tagállami jog felhatalmazása nélkül, a megfelelőség hiánya jelének tekintendő. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani. Ebben az esetben rendelkezni kell a Bizottság és ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról. |
Módosítás 56 Rendeletre irányuló javaslat 83 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(83) Megfelelőségi határozat hiányában az adatkezelő vagy -feldolgozó intézkedéseket hoz a védelem harmadik országban fellépő hiányosságainak ellensúlyozására, az érintett számára megfelelő biztosítékok rendelkezésre bocsátása útján. Ezek a megfelelő biztosítékok magukban foglalják a kötelező erejű vállalati szabályok, a Bizottság által elfogadott egységes adatvédelmi feltételek, a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek vagy a felügyelő hatóság által engedélyezett szerződési feltételek vagy olyan egyéb megfelelő és arányos intézkedések alkalmazását, amelyek az adattovábbítási művelet vagy az adattovábbítási műveletek csoportjának összes körülménye fényében igazolhatók, amennyiben a felügyelő hatóság engedélyezi. |
(83) Megfelelőségi határozat hiányában az adatkezelő vagy -feldolgozó intézkedéseket hoz a védelem harmadik országban fellépő hiányosságainak ellensúlyozására, az érintett számára megfelelő biztosítékok rendelkezésre bocsátása útján. Ezek a megfelelő biztosítékok magukban foglalják a kötelező erejű vállalati szabályok, a Bizottság által elfogadott egységes adatvédelmi feltételek, a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek vagy a felügyelő hatóság által engedélyezett szerződési feltételek alkalmazását. Ezeknek a megfelelő biztosítékoknak garantálniuk kell az érintettek jogainak az Unión belüli feldolgozásnak megfelelő tiszteletét, különösen ami a célhoz kötöttséget, illetve a hozzáféréshez, a javításhoz, a törléshez és a kártérítés igényléséhez való jogot illeti. E biztosítékoknak konkrétabban garantálniuk kell a személyesadat-feldolgozás elveinek betartását, védelmezniük kell az érintettek jogait és hatékony jogorvoslati mechanizmusokról kell rendelkezniük, biztosítaniuk kell a beépített és alapértelmezett adatvédelem elveinek tiszteletben tartását, illetve garantálniuk kell az adatvédelmi tisztviselő meglétét. |
Módosítás 57 Rendeletre irányuló javaslat 84 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(84) Az a lehetőség, miszerint az adatkezelő vagy -feldolgozó alkalmazhatja a Bizottság vagy a felügyelő hatóság által elfogadott egységes adatvédelmi feltételeket, nem zárja ki sem azt, hogy az adatkezelő vagy -feldolgozó szélesebb körű szerződésben alkalmazza ezen egységes adatvédelmi feltételeket, sem a további feltételek hozzáadását, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyelő hatóság által elfogadott egységes szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. |
(84) Az a lehetőség, miszerint az adatkezelő vagy -feldolgozó alkalmazhatja a Bizottság vagy a felügyelő hatóság által elfogadott egységes adatvédelmi feltételeket, nem zárja ki sem azt, hogy az adatkezelő vagy -feldolgozó szélesebb körű szerződésben alkalmazza ezen egységes adatvédelmi feltételeket, sem a további feltételek vagy kiegészítő biztosítékok hozzáadását, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a felügyelő hatóság által elfogadott egységes szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. A Bizottság által elfogadott általános adatvédelmi előírások különböző helyzetekre vonatkozhatnak, nevezetesen az Európai Unióban letelepedett adatkezelők által az Európai Unión kívül letelepedett adatkezelők számára, illetve az Európai Unióban letelepedett adatkezelők által az Európai Unión kívül letelepedett feldolgozók, köztük alfeldolgozók számára történő adatközlésre. Az adatkezelőket és –feldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi előírásokat kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb biztosítékokat nyújtsanak. |
Módosítás 58 Rendeletre irányuló javaslat 85 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(85) Az adott vállalkozáscsoport alkalmazhatja a jóváhagyott kötelező erejű vállalati szabályokat az Unióból az ugyanazon vállalkozáscsoporton belüli szervezetekhez irányuló nemzetközi adattovábbítások során, amennyiben e vállalati szabályok a személyes adatok továbbítása kategóriái megfelelő biztosítékainak biztosítására szolgáló lényeges alapelveket és érvényesíthető jogokat tartalmaznak. |
(85) Az adott vállalkozáscsoport alkalmazhatja a jóváhagyott kötelező erejű vállalati szabályokat az Unióból az ugyanazon vállalkozáscsoporton belüli szervezetekhez irányuló nemzetközi adattovábbítások során, amennyiben e vállalati szabályok a személyes adatok továbbítása kategóriái megfelelő biztosítékainak biztosítására szolgáló minden lényeges alapelvet és érvényesíthető jogot tartalmaznak. |
Módosítás 59 Rendeletre irányuló javaslat 86 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(86) Rendelkezni kell a továbbítás lehetőségéről bizonyos körülmények esetében, ha az érintett hozzájárulását adta, ha a továbbítás szerződés vagy jogi igény érvényesítése keretében szükséges, ha a fontos közérdek uniós vagy tagállami jogban szereplő védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánossággal vagy a jogos érdekkel rendelkező személyekkel való konzultáció. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő adatok vagy adatkategóriák összességére, és amennyiben a nyilvántartás célja a jogos érdekkel rendelkező személyekkel való konzultáció, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek. |
(86) Rendelkezni kell a továbbítás lehetőségéről bizonyos körülmények esetében, ha az érintett hozzájárulását adta, ha a továbbítás szerződés vagy jogi igény érvényesítése keretében szükséges, ha a fontos közérdek uniós vagy tagállami jogban szereplő védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánossággal vagy a jogos érdekkel rendelkező személyekkel való konzultáció. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő adatok vagy adatkategóriák összességére, és amennyiben a nyilvántartás célja a jogos érdekkel rendelkező személyekkel való konzultáció, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek, teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait. |
Módosítás 60 Rendeletre irányuló javaslat 87 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(87) Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyelő hatóságok vagy társadalombiztosítási ügyekért felelős hivatalok közötti, illetve a bűncselekmények megelőzésére, nyomozására, felderítésére vagy üldözésére hatáskörrel rendelkező hatóságok felé irányuló nemzetközi adattovábbítás esetében. |
(87) Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyelő hatóságok közötti, társadalombiztosítási ügyekért vagy a közegészségügyért felelős hivatalok közötti, illetve a bűncselekmények megelőzésére, nyomozására, felderítésére vagy üldözésére hatáskörrel rendelkező – többek között a pénzmosás megelőzésével és a terrorizmus finanszírozása elleni küzdelemmel foglalkozó – hatóságok felé irányuló nemzetközi adattovábbítás esetében. A személyes adatok továbbítását ezenkívül jogszerűnek kell tekinteni akkor is, ha az az érintett vagy egy másik személy életének védelme érdekében szükséges, és amennyiben az érintett nem képes hozzájárulást adni. A személyes adatok fontos közérdek alapján indokolt továbbítása csak alkalomszerűen vehető igénybe. Minden egyes esetben el kell végezni az adattovábbítás körülményeinek gondos értékelését. |
Módosítás 61 Rendeletre irányuló javaslat 88 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(88) Az adattovábbítás összes körülményének mérlegelése alapján a gyakorinak vagy tömegesnek nem minősülő továbbítások is az adatkezelő vagy -feldolgozó jogos érdekének tekinthetők. A történelmi, statisztikai és tudományos kutatási célú feldolgozás esetében figyelembe kell venni a társadalom tudásnövelésre irányuló jogos érdekét. |
A történelmi, statisztikai és tudományos kutatási célú feldolgozás esetében figyelembe kell venni a társadalom tudásnövelésre irányuló jogos érdekét. |
Módosítás 62 Rendeletre irányuló javaslat 89 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(89) Amennyiben a Bizottság nem határozott a harmadik országbeli védelem megfelelő szintjéről, az adatkezelő vagy -feldolgozó olyan megoldásokat alkalmaz, amely adattovábbítás esetében is biztosítja, hogy az érintettek hozzájussanak az Unió területén történő adatfeldolgozás tekintetében élvezett alapvető jogokhoz és biztosítékhoz. |
(89) Amennyiben a Bizottság nem határozott a harmadik országbeli védelem megfelelő szintjéről, az adatkezelő vagy -feldolgozó olyan megoldásokat alkalmaz, amelyek jogilag kötelező érvényű garanciát nyújtanak az érintetteknek arra vonatkozóan, hogy azok az adattovábbítást követően továbbra is hozzájussanak az Unió területén történő adatfeldolgozás tekintetében élvezett alapvető jogokhoz és biztosítékhoz, amennyiben a feldolgozás nem tömeges, nem ismétlődő jellegű és nem szervezett. Az említett garancia révén gondoskodni kell a pénzügyi kártérítésről az adatok elveszése, illetve az azokhoz való engedély nélküli hozzáférés vagy azok engedély nélküli feldolgozása esetén, továbbá – a nemzeti jogszabályoktól függetlenül – kötelezettséget kell vállalni a teljes körű tájékoztatásra az adatokhoz való, harmadik országbeli hatóságok általi valamennyi hozzáféréssel kapcsolatban. |
Módosítás 63 Rendeletre irányuló javaslat 90 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(90) Néhány harmadik ország olyan törvényeket, rendeleteket és más jogalkotási eszközöket alkalmaz, amelyek közvetlenül szabályozzák a tagállamok természetes vagy jogi személyei által végzett adatfeldolgozási tevékenységet. E törvények, rendeletek és más jogalkotási eszközök országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja az egyéneknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, amennyiben az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor áll fenn, ha a közlés olyan, az uniós jogban vagy azon tagállam jogában elismert fontos közérdekből szükséges, amelynek hatálya alá az adatkezelő tartozik. A Bizottságnak felhatalmazáson alapuló jogi aktusban kell részletesen meghatároznia a fontos közérdek megvalósulásának feltételeit. |
(90) Néhány harmadik ország olyan törvényeket, rendeleteket és más jogalkotási eszközöket alkalmaz, amelyek közvetlenül szabályozzák a tagállamok természetes vagy jogi személyei által végzett adatfeldolgozási tevékenységet. E törvények, rendeletek és más jogalkotási eszközök országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja az egyéneknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, amennyiben az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor áll fenn, ha a közlés olyan, az uniós jogban vagy azon tagállam jogában elismert fontos közérdekből szükséges, amelynek hatálya alá az adatkezelő tartozik. A Bizottságnak felhatalmazáson alapuló jogi aktusban kell részletesen meghatároznia a fontos közérdek megvalósulásának feltételeit. Azokban az esetekben, amikor az adatkezelők vagy -feldolgozók ellentmondásos megfelelési követelményekkel találják szemben magukat az Unió és egy harmadik ország jogszabályai közötti különbségek miatt, a Bizottságnak gondoskodnia kell arról, hogy az uniós jog mindig elsőbbséget élvezzen. A Bizottságnak iránymutatást és segítséget kell nyújtania az adatkezelő és ‑feldolgozó részére, és törekednie kell a kérdéses harmadik országgal fennálló jogszabályi konfliktus feloldására. |
Módosítás 64 Rendeletre irányuló javaslat 92 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(92) A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok létrehozása a tagállamokban alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak. |
(92) A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok létrehozása a tagállamokban alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak. A hatóságoknak feladataik teljes körű ellátásához – figyelemmel a lakosság méretére és a személyesadat-feldolgozás mennyiségére – megfelelő pénzügyi és személyzeti erőforrásokkal kell rendelkezniük. |
Módosítás 65 Rendeletre irányuló javaslat 94 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(94) Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyelő hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat – hatékony ellátásához szükséges megfelelő anyagi és személyzeti erőforrásokat, helyiségeket és infrastruktúrát. |
(94) Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyelő hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat – hatékony ellátásához szükséges megfelelő anyagi és személyzeti erőforrásokat, helyiségeket és infrastruktúrát, különös figyelmet fordítva a személyzet megfelelő technikai és jogi készségeire. |
Módosítás 66 Rendeletre irányuló javaslat 95 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(95) A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és különösen biztosítani kell azt, hogy az említett tagokat a tagállam parlamentje vagy kormánya nevezze ki, valamint szabályozni kell a tagok szükséges képesítését és beosztását. |
(95) A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és különösen biztosítani kell azt, hogy az említett tagokat a tagállam parlamentje vagy kormánya nevezze ki, kellően gondoskodva a politikai beavatkozás lehetőségének minimalizálásáról, valamint szabályozni kell a tagok szükséges képesítését, az összeférhetetlenség elkerülését és a tagok beosztását. |
Módosítás 67 Rendeletre irányuló javaslat 97 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(97) Amennyiben az adatkezelő vagy -feldolgozó uniós szervezetének tevékenységével összefüggésben végzett adatfeldolgozásra egynél több tagállamban kerül sor, egyetlen felügyelő hatóság lesz illetékes az adatkezelő vagy -feldolgozó egész Unió területén belüli tevékenységeinek nyomon követésére és a kapcsolódó határozatok meghozatalára a következetes alkalmazás elősegítése, a jogbiztonság biztosítása, és az ilyen adatkezelőkre és -feldolgozókra háruló adminisztratív terhek csökkentése érdekében. |
(97) Amennyiben az adatkezelő vagy ‑feldolgozó uniós szervezetének tevékenységével összefüggésben végzett adatfeldolgozásra egynél több tagállamban kerül sor, egyetlen felügyelő hatóság biztosítja az egyablakos ügyintézést és jár el az adatkezelők vagy -feldolgozók felügyeletéért felelős fő hatóságként az egész Unió területén, és hozza meg a kapcsolódó határozatokat a következetes alkalmazás elősegítése, a jogbiztonság biztosítása, és az ilyen adatkezelőkre és -feldolgozókra háruló adminisztratív terhek csökkentése érdekében. |
Módosítás 68 Rendeletre irányuló javaslat 98 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(98) Az ilyen egyablakos ügyintézést biztosító illetékes hatóság annak a tagállamnak a felügyelő hatósága, ahol az adatkezelő vagy -feldolgozó fő szervezete található. |
(98) Az ilyen egyablakos ügyintézést biztosító fő hatóság annak a tagállamnak a felügyelő hatósága, ahol az adatkezelő vagy ‑feldolgozó fő szervezete vagy képviselője található. Bizonyos esetekben az illetékes hatóság kérésére az Európai Adatvédelmi Testület nevezheti ki a fő hatóságot az egységességi mechanizmus segítségével. |
Módosítás 69 Rendeletre irányuló javaslat 98 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(98a) Lehetővé kell tenni, hogy azok az érintettek, akiknek a személyes adatait egy másik tagállamban letelepedett adatkezelő vagy -feldolgozó dolgozza fel, panaszaikkal a választásuk szerinti felügyelő hatósághoz fordulhassanak. A fő adatvédelmi hatóságnak össze kell hangolnia munkáját a többi érintett hatóság munkájával. |
Módosítás 70 Rendeletre irányuló javaslat 101 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(101) Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani. |
(101) Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett vagy a közérdekből eljáró egyesületek panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet vagy az egyesületet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani. |
Módosítás 71 Rendeletre irányuló javaslat 105 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(105) E rendelet Unió-szerte következetes alkalmazásának biztosítása érdekében létre kell hozni a felügyelő hatóságok egymás közötti és a Bizottsággal való együttműködését szolgáló egységességi mechanizmust. Ezt a mechanizmust különösen akkor kell alkalmazni, amikor valamely felügyelő hatóság olyan feldolgozási műveletekkel kapcsolatban kíván intézkedést hozni, amelyek termékek vagy szolgáltatások különböző tagállamokbeli érintettek számára történő nyújtásához, vagy az ilyen érintettek nyomon követéséhez kapcsolódnak, vagy amelyek lényegesen érinthetik a személyes adatok szabad áramlását. A mechanizmus abban az esetben is alkalmazandó, ha a felügyelő hatóság vagy a Bizottság kéri az ügy egységességi eljárásban való kezelését. E mechanizmust a Bizottság azon intézkedéseinek sérelme nélkül lehet alkalmazni, amelyeket a Szerződések szerinti hatásköreinek gyakorlása során tesz. |
(105) E rendelet Unió-szerte következetes alkalmazásának biztosítása érdekében létre kell hozni a felügyelő hatóságok egymás közötti és a Bizottsággal való együttműködését szolgáló egységességi mechanizmust. Ezt a mechanizmust különösen akkor kell alkalmazni, amikor valamely felügyelő hatóság olyan feldolgozási műveletekkel kapcsolatban kíván intézkedést hozni, amelyek termékek vagy szolgáltatások különböző tagállamokbeli érintettek számára történő nyújtásához, vagy az ilyen érintettek nyomon követéséhez kapcsolódnak, vagy amelyek lényegesen érinthetik a személyes adatok szabad áramlását. A mechanizmus abban az esetben is alkalmazandó, ha a felügyelő hatóság vagy a Bizottság kéri az ügy egységességi eljárásban való kezelését. Ezenfelül az érintetteknek jogosultak kell lenniük arra, hogy számon kérjék a következetességet, amennyiben úgy ítélik meg, hogy egy tagállam adatvédelmi hatósága által hozott intézkedés nem felel meg ennek a kritériumnak. E mechanizmust a Bizottság azon intézkedéseinek sérelme nélkül lehet alkalmazni, amelyeket a Szerződések szerinti hatásköreinek gyakorlása során tesz. |
Módosítás 72 Rendeletre irányuló javaslat 106 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(106a) E rendelet következetes alkalmazásának biztosítása érdekében az Európai Adatvédelmi Testület egyes konkrét esetekben az illetékes felügyelő hatóságokra nézve kötelező határozatot fogadhat el. |
Módosítás 73 Rendeletre irányuló javaslat 107 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(107) Az e rendelettel való összhang biztosítása érdekében a Bizottság véleményt fogadhat el e tárggyal kapcsolatban, vagy határozatot hozhat, amelyben felkéri a felügyelő hatóságot a tervezett intézkedés felfüggesztésére. |
törölve |
Módosítás 74 Rendeletre irányuló javaslat 110 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(110) Uniós szinten létre kell hozni az Európai Adatvédelmi Testületet. A Testület felváltja a 95/46/EK irányelvvel létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportot. A Testület a tagállamok felügyelő hatóságainak vezetőiből és az európai adatvédelmi biztosból áll. A Bizottság részt vesz a Testület tevékenységében. Az Európai Adatvédelmi Testület az Unió egész területén hozzájárul e rendelet következetes alkalmazásához, ideértve a Bizottság részére történő tanácsadást és a felügyelő hatóságok közötti, Unión belüli együttműködés előmozdítását is. Az Európai Adatvédelmi Testület feladatai ellátása során függetlenül jár el. |
(110) Uniós szinten létre kell hozni az Európai Adatvédelmi Testületet. A Testület felváltja a 95/46/EK irányelvvel létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportot. A Testület a tagállamok felügyelő hatóságainak vezetőiből és az európai adatvédelmi biztosból áll. Az Európai Adatvédelmi Testület az Unió egész területén hozzájárul e rendelet következetes alkalmazásához, ideértve az uniós intézmények részére történő tanácsadást és a felügyelő hatóságok közötti, Unión belüli együttműködés előmozdítását, többek között a közös műveletek koordinálását is. Az Európai Adatvédelmi Testület feladatai ellátása során függetlenül jár el. Az Európai Adatvédelmi Testület fokozza a párbeszédet az érintett felekkel, például az érintettek egyesületeivel, a fogyasztói szervezetekkel, az adatkezelőkkel és más érintett érdekelt felekkel és szakértőkkel. |
Módosítás 75 Rendeletre irányuló javaslat 111 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(111) Minden érintettnek joga van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joga van a bírósági jogorvoslathoz, ha álláspontja szerint sérültek az e rendelet szerinti jogai, illetve ha a felügyelő hatóság a panaszra nem válaszol vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg. |
(111) Az érintetteknek joguk van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joguk van az Alapjogi Charta 47. cikkének megfelelő hatékony bírósági jogorvoslathoz, ha álláspontjuk szerint sérültek az e rendelet szerinti jogaik, illetve ha a felügyelő hatóság a panaszra nem válaszol vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg. |
Módosítás 76 Rendeletre irányuló javaslat 112 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(112) Az érintetteknek az adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott, a tagállami jognak megfelelően létrehozott valamennyi szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében panaszt emelni a felügyelő hatósággal szemben vagy bírósági jogorvoslatot igénybe venni, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint személyes adatokat sértettek meg. |
(112) A tagállami jognak megfelelően létrehozott valamennyi, közérdekű feladatot ellátó szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében és azok beleegyezésével panaszt emelni a felügyelő hatóságnál, vagy az érintettek megbízásából bírósági jogorvoslatot igénybe venni, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint sérültek e rendelet rendelkezései. |
Módosítás 77 Rendeletre irányuló javaslat 114 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(114) Az érintett bírósági jogvédelmét erősítendő azokban az esetekben, amelyekben az illetékes felügyelő hatóság székhelye nem az érintett lakóhelye szerinti tagállamban van, az érintett az érintettek adataik védelmével kapcsolatos jogainak és érdekeinek védelmével foglalkozó bármely szervtől, szervezettől vagy egyesülettől kérheti, hogy az érintett nevében indítson eljárást a felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. |
(114) Az érintett bírósági jogvédelmét erősítendő azokban az esetekben, amelyekben az illetékes felügyelő hatóság székhelye nem az érintett lakóhelye szerinti tagállamban van, az érintett a közérdekből eljáró bármely szervet, szervezetet vagy egyesületet megbízhatja, hogy indítson eljárást a felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. |
Módosítás 78 Rendeletre irányuló javaslat 115 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(115) Azokban az esetekben, amelyekben a valamely másik tagállamban székhellyel rendelkező illetékes felügyelő hatóság nem jár el, vagy nem megfelelő intézkedéseket tett valamely panasz nyomán, az érintett a szokásos tartózkodási helye szerinti tagállam felügyelő hatóságától kérheti, hogy indítson eljárást e felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. A kérelmet elbíráló felügyelő hatóság – bírósági felülvizsgálat tárgyát képező – határozatban dönthet arról, hogy helyt adhat-e a kérelemnek, vagy sem. |
(115) Azokban az esetekben, amelyekben a valamely másik tagállamban székhellyel rendelkező illetékes felügyelő hatóság nem jár el, vagy nem megfelelő intézkedéseket tett valamely panasz nyomán, az érintett a szokásos tartózkodási helye szerinti tagállam felügyelő hatóságától kérheti, hogy indítson eljárást e felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. Ez kizárólag az uniós lakosokra vonatkozik. A kérelmet elbíráló felügyelő hatóság – bírósági felülvizsgálat tárgyát képező – határozatban dönthet arról, hogy helyt adhat-e a kérelemnek, vagy sem. |
Módosítás 79 Rendeletre irányuló javaslat 116 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(116) Az adatkezelő vagy -feldolgozó elleni eljárást illetően a felperes választhat, hogy az eljárást annak a tagállamnak a bírósága előtt indítja meg, ahol az adatkezelő vagy -feldolgozó telephellyel rendelkezik, vagy az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő közhatalmi jogosítványait gyakorolva eljáró hatóság. |
(116) Az adatkezelő vagy -feldolgozó elleni eljárást illetően a felperes választhat, hogy az eljárást annak a tagállamnak a bírósága előtt indítja meg, ahol az adatkezelő vagy -feldolgozó telephellyel rendelkezik, vagy uniós tartózkodás esetén az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő közhatalmi jogosítványait gyakorolva eljáró uniós vagy tagállami hatóság. |
Módosítás 80 Rendeletre irányuló javaslat 118 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(118) A jogellenes adatfeldolgozás miatt esetlegesen kárt szenvedett személy kártérítését az adatkezelőnek vagy -feldolgozónak kell állnia, aki/amely akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén. |
(118) A jogellenes adatfeldolgozás miatt esetlegesen akár anyagi, akár más természetű kárt szenvedett személy kártérítését az adatkezelőnek vagy ‑feldolgozónak kell állnia, aki/amely kizárólag akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén. |
Módosítás 81 Rendeletre irányuló javaslat 119 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(119) Szankciót kell kiróni minden olyan személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki/amely nem tesz eleget e rendeletnek. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében. |
(119) Szankciót kell kiróni minden olyan személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki/amely nem tesz eleget e rendeletnek. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében. A szankciókra vonatkozó szabályokkal kapcsolatban az uniós jog általános szabályaival és az Alapjogi Chartával összhangban álló, megfelelő eljárási biztosítékokat kell bevezetni, például biztosítani kell a hatékony bírósági jogorvoslathoz és a joszerű eljáráshoz való jogot, valamint a többszöri eljárás tilalma elvének betartását. |
Módosítás 82 Rendeletre irányuló javaslat 119 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(119a) A szankciók alkalmazása során a tagállamoknak teljes mértékben tiszteletben kell tartaniuk a megfelelő eljárási biztosítékokat, például a hatékony bírósági jogorvoslathoz és a jogszerű eljáráshoz való jogot, valamint a többszöri eljárás tilalma elvének betartását. |
Módosítás 83 Rendeletre irányuló javaslat 121 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(121) Az újságírás, az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás kivételnek számít e rendelet meghatározott rendelkezéseiben szereplő követelmények vonatkozásában, annak érdekében, hogy a személyes adatok védelmét összhangba hozzák a véleménynyilvánítás szabadságával, különösen az információk megismerésének és közlésének jogával, amelyet elsősorban az Európai Unió Alapjogi Chartájának 11. cikke biztosít. Ez alkalmazandó különösen a személyes adatok audiovizuális területen, valamint a hírarchívumokban és sajtókönyvtárakban történő feldolgozására. Következésképpen a tagállamoknak jogalkotási intézkedések elfogadásával kell meghatározni az ezen alapvető jogok közötti egyensúly érdekében szükséges kivételeket és eltéréseket. E kivételeket és eltéréseket a tagállamok az általános elvek, az érintett jogai, az adatkezelő és -feldolgozó, a harmadik országokba vagy nemzetközi szervezetekhez irányuló adattovábbítás, a független felügyelő hatóságok és az együttműködés és a következetesség tekintetében állapítják meg. Ez azonban nem vezethet az e rendelet más rendelkezései alóli kivételek tagállamok általi meghatározásához. Annak érdekében, hogy figyelembe vegyék a véleménynyilvánítás szabadságához való jog jelentőségét minden demokratikus társadalomban, az e szabadsághoz tartozó olyan fogalmakat, mint az újságírás, kiterjesztően kell értelmezni. Ezért a tagállamoknak az e rendelet szerint szabályozandó kivételek és eltérések alkalmazásában „újságírással kapcsolatosnak” kell minősíteniük azokat a tevékenységeket, amely célja a nyilvánosság számára információk, vélemények vagy gondolatok közlése, függetlenül attól a médiumtól, amelyet a közvetítésre felhasználnak. E tevékenységek nem korlátozódhatnak a média-vállalkozásokra, és azok nyereség elérése érdekében vagy nonprofit célból is végezhetők. |
(121) Szükség esetén mentességeket vagy eltéréseket kell biztosítani az e rendelet meghatározott rendelkezéseiben szereplõ követelmények alól a személyesadat-feldolgozás tekintetében annak érdekében, hogy a személyes adatok védelmét összhangba hozzák a véleménynyilvánítás szabadságával, különösen az információk megismerésének és közlésének jogával, amelyet elsõsorban az Európai Unió Alapjogi Chartájának 11. cikke biztosít. Következésképpen a tagállamoknak jogalkotási intézkedések elfogadásával kell meghatározni az ezen alapvetõ jogok közötti egyensúly érdekében szükséges kivételeket és eltéréseket. E kivételeket és eltéréseket a tagállamok az általános elvek, az érintett jogai, az adatkezelõ és -feldolgozó, a harmadik országokba vagy nemzetközi szervezetekhez irányuló adattovábbítás, a független felügyelõ hatóságok, az együttmûködés és a következetesség, illetve az egyedi adatfeldolgozási helyzetek tekintetében állapítják meg. Ez azonban nem vezethet az e rendelet más rendelkezései alóli kivételek tagállamok általi meghatározásához. Annak érdekében, hogy figyelembe vegyék a véleménynyilvánítás szabadságához való jog jelentõségét minden demokratikus társadalomban, az e szabadsághoz tartozó fogalmakat kiterjesztõen kell értelmezni annak érdekében, hogy magában foglalják az olyan tevékenységeket, amelyek célja a nyilvánosság számára információk, vélemények vagy gondolatok közlése, függetlenül attól a médiumtól, amelyet a közvetítésre felhasználnak, figyelembe véve a technológiai fejlõdést is. E tevékenységek nem korlátozódhatnak a média-vállalkozásokra, és azok nyereség elérése érdekében vagy nonprofit célból is végezhetõk. |
Módosítás 84 Rendeletre irányuló javaslat 122 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(122a) Az egészségre vonatkozó személyes adatokat kezelõ szakembernek lehetõleg anonimizált vagy álnevesített adatokat kell kapnia, hogy a beteg személyazonosságát csak a beteg kezelõorvosa vagy a szóban forgó adatfeldolgozást kérõ szakorvos ismerje. |
Módosítás 85 Rendeletre irányuló javaslat 123 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(123) A népegészség terén az érintett hozzájárulása nélkül is szükséges lehet az egészségügyi vonatkozású személyes adatok közérdekből történő feldolgozása. Ebben az összefüggésben a „népegészség” fogalmát a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról szóló, 2008. december 16-i 1338/2008/EK európai parlamenti és tanácsi rendeletben meghatározottak szerint úgy kell értelmezni, hogy az valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot, beleértve a morbiditást és a fogyatékosságot, az egészségi állapotot befolyásoló tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra kiosztott források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi személyes adatok ilyen közérdekű feldolgozása nem eredményezheti azt, hogy a személyes adatokat más célokból harmadik személyek, így munkáltatók, biztosítók és bankok dolgozzák fel. |
(123) A népegészség terén az érintett hozzájárulása nélkül is szükséges lehet az egészségügyi vonatkozású személyes adatok közérdekbõl történõ feldolgozása. Ebben az összefüggésben a „népegészség” fogalmát a 1338/2008/EK európai parlamenti és tanácsi rendeletben1 meghatározottak szerint úgy kell értelmezni, hogy az valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot, beleértve a morbiditást és a fogyatékosságot, az egészségi állapotot befolyásoló tényezõk, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra kiosztott források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. |
|
1Az Európai Parlament és a Tanács 2008. december 16-i 1338/2008/EK rendelete a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.). |
Módosítás 86 Rendeletre irányuló javaslat 123 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(123a) A különleges adatkategóriának minõsülõ egészségügyi vonatkozású személyes adatok feldolgozása történelmi, statisztikai vagy tudományos kutatás céljából lehet szükséges. E rendelet ennélfogva kivételt biztosít a hozzájárulási követelmény alól a jelentõs közérdeket szolgáló kutatások esetében. |
Módosítás 87 Rendeletre irányuló javaslat 124 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(124) A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással összefüggésben is alkalmazni kell. Következésképpen a munkavállalók személyes adatainak a munkaviszonnyal összefüggő feldolgozásának szabályozása érdekében a tagállamok e rendelet keretein belül jogszabályban különös szabályokat fogadhatnak el a személyes adatoknak a foglalkoztatási ágazatban való feldolgozására. |
(124) A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással és a szociális biztonsággal összefüggésben is alkalmazni kell. A tagállamok az e rendeletben megállapított szabályokkal és minimumkövetelményekkel összhangban szabályozhatják a munkavállalók személyes adatainak a foglalkoztatással és a szociális biztonsággal kapcsolatban történõ feldolgozását. Amennyiben valamely tagállamban a foglalkoztatási viszony kérdéseinek szabályozására a munkavállalók képviselõi és a vállalkozásnak vagy a vállalkozáscsoport fõ vállalkozásának vezetõi közötti megállapodás (kollektív szerzõdés) révén vagy a 2009/28/EK európai parlamenti és tanácsi irányelv1 szerint törvényes jogalap létezik, a személyes adatok foglalkoztatással összefüggõ feldolgozásának is szabályozhatónak kell lennie ilyen megállapodás keretében. |
|
1Az Európai Üzemi Tanács létrehozásáról vagy a közösségi szintû vállalkozások és vállalkozáscsoportok munkavállalóinak tájékoztatását és a velük folytatott konzultációt szolgáló eljárás kialakításáról szóló, 2009. május 6-i 2009/38/EK európai parlamenti és tanácsi irányelv (HL L 122, 2009.05.16., 28. o.). |
Módosítás 88 Rendeletre irányuló javaslat 125 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(125a) A személyes adatokat következésképpen feldolgozhatják az olyan levéltári szolgálatok is, amelyek fõ feladata vagy törvényi kötelezettsége, hogy közérdekbõl összegyûjtsék, megõrizzék, osztályozzák, közöljék, kiaknázzák és terjesszék az archívumokat. A tagállamoknak össze kell hangolniuk a személyes adatok védelméhez való jogot a levéltári szabályokkal és az állampolgárok adminisztratív adatokhoz való nyilvános hozzáférésére vonatkozó szabályokkal. A tagállamoknak elõ kell mozdítaniuk, hogy elsõsorban az európai levéltári munkacsoport olyan szabályokat dolgozzon ki, amelyek biztosítják az adatok harmadik személyekkel szembeni bizalmas jellegét, illetve az adatok valódiságát, integritását és megfelelõ megõrzését. |
Módosítás 89 Rendeletre irányuló javaslat 126 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(126) E rendelet alkalmazásában a tudományos kutatás magában foglalja az alapkutatást, az alkalmazott kutatást, valamint a magánfinanszírozású kutatást, emellett figyelembe kell vennie az Európai Unió működéséről szóló szerződés 179. cikke (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést. |
(126) E rendelet alkalmazásában a tudományos kutatás magában foglalja az alapkutatást, az alkalmazott kutatást, valamint a magánfinanszírozású kutatást, emellett figyelembe kell vennie az Európai Unió mûködésérõl szóló szerzõdés 179. cikke (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitûzést. A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása nem eredményezheti a személyes adatok más célból való feldolgozását, kivéve ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján. |
Módosítás 90 Rendeletre irányuló javaslat 128 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(128) E rendelet az Európai Unió működéséről szóló szerződés 17. cikke értelmében tiszteletben tartja és nem sérti az egyházak és vallási szervezetek vagy közösségek nemzeti jog szerinti jogállását a tagállamokban. Ennek következtében, amennyiben valamely tagállamban egy egyház a rendelet hatálybalépésének időpontjában átfogó szabályokat alkalmaz a személyek adatfeldolgozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazandók, amennyiben azokat összhangba hozzák e rendelettel. Az ilyen egyházak és vallási szervezetek kötelesek gondoskodni egy teljesen független felügyelő hatóság létrehozásáról. |
(128) E rendelet az Európai Unió működéséről szóló szerződés 17. cikke értelmében tiszteletben tartja és nem sérti az egyházak és vallási szervezetek vagy közösségek nemzeti jog szerinti jogállását a tagállamokban. Ennek következtében, amennyiben valamely tagállamban egy egyház a rendelet hatálybalépésének idõpontjában megfelelõ szabályokat alkalmaz a személyek adatfeldolgozással kapcsolatos védelme tekintetében, a létezõ szabályok tovább alkalmazandók, amennyiben azokat összhangba hozzák e rendelettel, és a rendeletnek megfelelõnek ismerik el. |
Módosítás 91 Rendeletre irányuló javaslat 129 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(129) E rendelet célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen a gyermek hozzájárulásával kapcsolatos szempontok és feltételek meghatározása; az adatok különös kategóriáinak feldolgozása; az egyértelműen túlzó kérelmek feltételeinek megállapítása és az érintett jogainak gyakorlására vonatkozó díjak; az érintett tájékoztatására és a hozzáférési jogra vonatkozó szempontok és követelmények; a személyes adatok tárolásának megszüntetésére és a törlésre vonatkozó jog; a profilalkotáson alapuló intézkedések; az adatkezelő feladataira vonatkozó szempontok és követelmények és a beépített és alapértelmezett adatvédelem; az adatfeldolgozó; a dokumentációra és a feldolgozás biztonságára vonatkozó szempontok és követelmények; a személyes adatok megsértésének megállapítására és a felügyelő hatóság részére történő bejelentésre vonatkozó szempontok és követelmények és azok a körülmények, amelyek fennállása esetén a személyes adatok védelmének megsértése várhatóan hátrányosan érinti az érintettet; az adatvédelmi hatásvizsgálatot igénylő feldolgozási műveletek szempontjai és követelményei; az előzetes konzultációt igénylő magas szintű különös kockázatok meghatározásának szempontjai és követelményei; az adatvédelmi tisztviselő kinevezése és feladatai; az eljárási szabályzatok; a tanúsítási mechanizmusok szempontjai és követelményei; a kötelező erejű vállalati szabályok útján való továbbítás szempontjai és követelményei; a továbbítás eltérései; a közigazgatási szankciók; az egészségügyi célú feldolgozás; a foglalkoztatással összefüggő feldolgozás, valamint a történelmi, statisztikai és tudományos kutatási célú feldolgozás tekintetében. Kiemelten fontos, hogy a Bizottság az előkészítő munka folyamán megfelelő egyeztetéseket folytasson, többek között szakértői szinten is. A felhatalmazáson alapuló jogi aktusok elõkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történõ egyidejû, idõben és megfelelõ módon történõ eljuttatásáról. |
(129) E rendelet célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen a tájékoztatás ikonalapú módjára vonatkozó feltételek meghatározása; a törlésre vonatkozó jog; az eljárási szabályzatok rendeletnek való megfelelésének elismerése; a tanúsítási mechanizmusok szempontjai és követelményei; a valamely harmadik ország vagy nemzetközi szervezet által biztosított védelem megfelelő szintje; a kötelező erejű vállalati szabályok útján való továbbítás szempontjai és követelményei; a közigazgatási szankciók; az egészségügyi célú feldolgozás és a foglalkoztatással összefüggõ feldolgozás tekintetében. Kiemelten fontos, hogy a Bizottság az elõkészítõ munka folyamán megfelelõ egyeztetéseket folytasson, többek között – különösen az Európai Adatvédelmi Testülettel – szakértõi szinten is. A felhatalmazáson alapuló jogi aktusok elõkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történõ egyidejû, idõben és megfelelõ módon történõ eljuttatásáról. |
Módosítás 92 Rendeletre irányuló javaslat 130 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(130) E rendelet egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni a gyermekek személyes adatainak feldolgozására vonatkozó egységes űrlapok; az érintettek jogainak gyakorlására vonatkozó különös egységes eljárások és formanyomtatványok, az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra vonatkozó egységes formanyomtatványok és eljárások; az adathordozhatóság joga; az adatkezelő beépített és alapértelmezett adatvédelem és dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok és eljárások; az adatfeldolgozás biztonságára vonatkozó különös követelmények; a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésének egységes formanyomtatványa és eljárásai és a személyes adatok megsértésének érintettel való közlése; az adatvédelmi hatásvizsgálat követelményei és eljárásai; az előzetes engedélyezés és előzetes konzultáció formanyomtatványai és eljárásai; a tanúsítás műszaki követelményei és mechanizmusai; a harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlés; a kölcsönös segítségnyújtás; a közös mûveletek; az egységességi mechanizmus keretében hozott határozatok tekintetében. Az említett hatásköröket a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i 182/2011/EU európai parlamenti és tanácsi rendeletnek megfelelően kell gyakorolni. Ezzel összefüggésben a Bizottságnak sajátos intézkedések alkalmazását mérlegeli a mikro-, ki- és középvállalkozások tekintetében. |
(130) E rendelet egységes feltételek mellett történõ végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni a gyermekek személyes adatainak feldolgozására ellenõrizhetõ hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében egységes ûrlapok; az érintettekkel a jogaik gyakorlásáról szóló kommunikációra vonatkozó egységes formanyomtatványok; az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra vonatkozó egységes formanyomtatványok, beleértve a személyes adatok érintettel való közlését; az adatkezelõ és az adatfeldolgozó által megõrizendõ dokumentációra vonatkozó egységes formanyomtatványok, a személyes adatok megsértése felügyelõ hatóság részére történõ bejelentésének és a személyes adatok megsértése dokumentálásának egységes formanyomtatványa; a felügyelõ hatóság elõzetes konzultációjának és tájékoztatásának formanyomtatványai tekintetében. Az említett hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek1 megfelelõen kell gyakorolni. Ezzel összefüggésben a Bizottságnak sajátos intézkedések alkalmazását kell mérlegelnie a mikro-, kis- és középvállalkozások tekintetében. |
|
1Az Európai Parlament és a Tanács 2011. február 16-i 182/2011/EU rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenõrzési mechanizmusok szabályainak és általános elveinek megállapításáról. Ezzel összefüggésben a Bizottságnak sajátos intézkedések alkalmazását kell mérlegelnie a mikro-, kis- és középvállalkozások tekintetében |
Módosítás 93 Rendeletre irányuló javaslat 131 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(131) Vizsgálóbizottsági eljárást kell alkalmazni a gyermekek hozzájárulására vonatkozó egységes formanyomtatványok; az érintettek jogainak gyakorlására vonatkozó különös egységes eljárások és formanyomtatványok, az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra és az adathordozási jogra vonatkozó egységes formanyomtatványok és eljárások; az adatkezelő beépített és alapértelmezett adatvédelem és dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok és eljárások; az adatfeldolgozás biztonságára vonatkozó különös követelmények; a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésének egységes formanyomtatványa és eljárásai és a személyes adatok megsértésének érintettel való közlése; az adatvédelmi hatásvizsgálat követelményei és eljárásai; az előzetes engedélyezés és előzetes konzultáció formanyomtatványai és eljárásai; a tanúsítás műszaki követelményei és mechanizmusai; a harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlés; a kölcsönös segítségnyújtás; a közös műveletek és az egységességi eljárás szerinti határozatok elfogadására, feltéve hogy az említett jogi aktusok általános hatállyal bírnak. |
(131) Vizsgálóbizottsági eljárást kell alkalmazni az egységes formanyomtatványok elfogadására: a gyermekek személyes adatainak feldolgozására ellenõrizhetõ hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében egységes ûrlapok; az érintettekkel a jogaik gyakorlásáról szóló kommunikációra vonatkozó egységes formanyomtatványok; az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra vonatkozó egységes formanyomtatványok, beleértve a személyes adatok érintettel való közlését; az adatkezelõ és az adatfeldolgozó által megõrizendõ dokumentációra vonatkozó egységes formanyomtatványok, a személyes adatok megsértése felügyelõ hatóság részére történõ bejelentésének és a személyes adatok megsértése dokumentálásának egységes formanyomtatványa; a felügyelõ hatóság elõzetes konzultációjának és tájékoztatásának formanyomtatványai tekintetében, feltéve, hogy az említett jogi aktusok általános hatállyal bírnak. |
Módosítás 94 Rendeletre irányuló javaslat 132 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(132) A Bizottságnak azonnal alkalmazandó végrehajtási aktusokat kell elfogadnia az olyan kellően indokolt esetekben, amennyiben valamely harmadik ország, vagy annak régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít megfelelő védelmi szintet, továbbá a felügyelő hatóság által az egységességi mechanizmus keretében közölt tények esetében a rendkívüli sürgősség ezt megköveteli. |
törölve |
Módosítás 95 Rendeletre irányuló javaslat 134 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(134) E rendelet hatályon kívül helyezi a 95/46/EK irányelvet. Mindazonáltal a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyelő hatóságok által kiadott engedélyek továbbra is hatályban maradnak. |
(134) E rendelet hatályon kívül helyezi a 95/46/EK irányelvet. Mindazonáltal a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyelő hatóságok által kiadott engedélyek továbbra is hatályban maradnak. A személyes adatok harmadik országoknak való továbbításával kapcsolatban a Bizottság által hozott határozatoknak és a felügyelõ hatóságok által kiadott engedélyeknek a 41. cikk (8) bekezdése értelmében az e rendelet életbe lépése után ötéves átmeneti idõszakra továbbra is hatályban kell maradniuk, kivéve, ha ezen idõszak vége elõtt a Bizottság módosítja, felváltja vagy hatályon kívül helyezi a rendeletet. |
Módosítás 96 Rendeletre irányuló javaslat 2 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Tárgyi hatály |
Tárgyi hatály |
(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon történő feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. |
(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történõ feldolgozására, függetlenül feldolgozási módtól, valamint azoknak a személyes adatoknak a nem automatizált módon történõ feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. |
(2) E rendelet nem alkalmazandó az alábbi személyesadat-feldolgozásokra: |
(2) E rendelet nem alkalmazandó az alábbi személyesadat-feldolgozásokra: |
a) az uniós jog hatályán kívül eső, így különösen a nemzetbiztonságot érintő tevékenységek során végzett adatfeldolgozás; |
a) az uniós jog hatályán kívül esõ tevékenységek során végzett adatfeldolgozás; |
b) az Unió intézményei, szervei, hivatalai és ügynökségei által végzett adatfeldolgozás; |
|
c) a tagállamok által az Európai Unióról szóló szerződés 2. fejezetének hatálya alá tartozó tevékenységek során végzett adatfeldolgozás; |
c) a tagállamok által az Európai Unióról szóló szerződés V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett adatfeldolgozás; |
d) a természetes személy által haszonszerzési cél nélkül kizárólag saját személyes célra vagy háztartási tevékenysége keretében végzett adatfeldolgozás; |
d) a természetes személy által kizárólag személyes célra vagy háztartási tevékenysége keretében végzett adatfeldolgozás. Ez a kivétel a személyes adatok olyan esetben való közlésére is vonatkozik, amikor ésszerûen elvárható, hogy csak korlátozott számú személyek férnek hozzá; |
e) az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett adatfeldolgozás. |
e) (A magyar nyelvi változatot nem érinti.) |
(3) E rendelet nem sérti a 2000/31/EK irányelv alkalmazását, különösen az irányelv 12–15. cikkébe foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat. |
(3) E rendelet nem sérti a 2000/31/EK irányelv alkalmazását, különösen az irányelv 12–15. cikkébe foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat. |
Módosítás 97 Rendeletre irányuló javaslat 3 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Területi hatály |
Területi hatály |
(1) E rendeletet kell alkalmazni az Unióban letelepedett adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben végzett személyesadat-feldolgozásra. |
(1) E rendeletet kell alkalmazni az Unióban letelepedett adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben végzett személyesadat-feldolgozásra attól függetlenül, hogy az adatfeldolgozás az Unióban vagy azon kívül történik. |
(2) E rendeletet kell alkalmazni a nem az Unióban letelepedett adatkezelő által végzett, az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozására, ha a feldolgozási tevékenységek |
(2) E rendeletet kell alkalmazni a nem az Unióban letelepedett adatkezelõ vagy -feldolgozó által végzett, az érintettek személyes adatainak feldolgozására az Unióban, ha a feldolgozási tevékenységek |
a)termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához kapcsolódnak; vagy |
a)termékek vagy szolgáltatások ilyen érintettek számára történõ nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy |
b) viselkedésük nyomon követéséhez kapcsolódnak. |
b) az ilyen érintettek nyomon követéséhez kapcsolódnak. |
(3) E rendeletet kell alkalmazni a nem az Unióban, hanem olyan helyen letelepedett adatkezelő által végzett személyesadat-feldolgozásra, ahol a nemzetközi közjog értelmében valamely tagállam nemzeti joga alkalmazandó. |
(3) E rendeletet kell alkalmazni a nem az Unióban, hanem olyan helyen letelepedett adatkezelő által végzett személyesadat-feldolgozásra, ahol a nemzetközi közjog értelmében valamely tagállam nemzeti joga alkalmazandó. |
Módosítás 98 Rendeletre irányuló javaslat 4 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Fogalommeghatározások |
Fogalommeghatározások |
E rendelet alkalmazásában: |
E rendelet alkalmazásában: |
1. „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy; |
|
2. „személyes adat”: az érintettre vonatkozó bármely információ; |
2. „személyes adat”: az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító, például a név, egy azonosító szám, helymeghatározó adat, egyedi azonosító vagy az adott személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi vagy nemi identitására vonatkozó egy vagy több tényezõre történõ utalás révén; |
|
2a. „álneves adat”: olyan személyes adat, amelynek esetében további információk felhasználása nélkül nem állapítható meg, hogy az adat mely konkrét érintettre vonatkozik, amennyiben e további információk külön vannak tárolva, és az érintett kilétének megállapítását megakadályozandó gondoskodtak bizonyos technikai és szervezeti lépésekrõl; |
|
2b. „kódolt adat”: olyan személyes adat, amelyet technológiai védelmi intézkedések révén értelmezhetetlenné tettek a hozzáférési joggal nem rendelkezõ valamennyi személy számára; |
3. „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés; |
3. „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés; |
|
3a. „profilalkotás”: a személyes adatok automatizált feldolgozásának bármely olyan formája, amelynek célja valamely természetes személyhez kapcsolódó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy elõrejelzése; |
4. „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető; |
4. „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető; |
5. „adatkezelő”: az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; ha a célokat, feltételeket és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki; |
5. „adatkezelõ”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelõt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki; |
6. „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében; |
6. „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében; |
7. „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják; |
7. „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják; |
|
7a. „harmadik fél”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelõvel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelõ vagy -feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására; |
8. „az érintett hozzájárulása”: az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok feldolgozásához; |
8. „az érintett hozzájárulása”: az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok feldolgozásához; |
9. „személyes adatok megsértése”: a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; |
9. „személyes adatok megsértése”: a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, módosítása, jogosulatlan felfedése vagy az azokhoz való jogosulatlan hozzáférés; |
10. „genetikai adat”: az egyén jellemzőire vonatkozó bármely olyan adat, amelyet a születés előtti korai fejlődés során örökölt vagy szerzett; |
10. „genetikai adat”: az egyén genetikai jellemzõire vonatkozó valamennyi olyan személyes adat, amelyet a születés elõtti korai fejlõdés során örökölt vagy szerzett, és amely az érintett személytõl vett biológiai minta elemzésének – különösen kromoszómaelemzés, a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, illetve az ezekbõl nyerhetõ információkkal megegyezõ információk megszerzését lehetõvé tevõ bármilyen más elem vizsgálatának – eredménye; |
11. „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzőjére vonatkozó adat, amely lehetővé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat; |
11. „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzõjére vonatkozó személyes adat, amely lehetõvé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat; |
12. „egészségügyi adat”: minden olyan adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik; |
12. „egészségügyi adat”: minden olyan személyes adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik; |
13. „fő szervezet”: az adatkezelő vonatkozásában a letelepedés azon helye az Unióban, ahol a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket meghozzák; amennyiben a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket nem az Unióban hozzák meg, a fő szervezet az a hely, ahol az Unióban létrehozott adatkezelő tevékenységeivel összefüggésben a fő feldolgozási tevékenységeket végzik. A feldolgozó vonatkozásában a „fő szervezet” a központi ügyvezetés helye az Unióban; |
13. „fõ szervezet”: az akár adatkezelõ, akár feldolgozó vállalat vagy vállatok csoportjának székhelye az Unióban, ahol a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fõ döntéseket meghozzák. Többek között az alábbi objektív kritériumok kerülhetnek megfontolásra: az adatkezelõ vagy -feldolgozó székhelyének helye; azon szervezet egy vállalatcsoporton belüli helye, amely a vállalatirányítási funkciók és adminisztratív feladatok ellátása szempontjából a legjobb helyzetben van ahhoz, hogy az e rendeletben meghatározott szabályokkal foglalkozzon és azokat érvényesítse; az a hely, ahol az adatfeldolgozást meghatározó tényleges és valós irányítási tevékenységet tartós jelleggel végzik; |
14. „képviselő”: az az Unióban letelepedett természetes vagy jogi személy, aki, illetve amely az adatkezelő kifejezett szándékának megfelelően tevékenykedik, és akit, illetve amelyet az adatkezelőre e rendelet értelmében háruló kötelezettségek vonatkozásában a felügyelő hatóság vagy az Unió más szerve az adatkezelő helyett megkeres; |
14. „képviselõ”: az az Unióban letelepedett természetes vagy jogi személy, aki, illetve amely az adatkezelõ kifejezett szándékának megfelelõen az adatkezelõt képviseli az adatkezelõre e rendelet értelmében háruló kötelezettségek vonatkozásában; |
15. „vállalkozás”: gazdasági tevékenységet folytató jogalany, függetlenül a jogi formájától, ideértve különösen a rendszeres gazdasági tevékenységet folytató természetes és jogi személyeket, partnerségeket és egyesületeket; |
15. „vállalkozás”: gazdasági tevékenységet folytató jogalany, függetlenül a jogi formájától, ideértve különösen a rendszeres gazdasági tevékenységet folytató természetes és jogi személyeket, partnerségeket és egyesületeket; |
16. „vállalkozáscsoport”: az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások; |
16. „vállalkozáscsoport”: az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások; |
17. „kötelező erejű vállalati szabályok”: az Unió valamelyik tagállamában letelepedett adatkezelő vagy feldolgozó által kidolgozott személyesadat-védelmi politikák a személyes adatok adatkezelő vagy feldolgozó részére, vállalkozáscsoporton belüli, egy vagy több harmadik államba történő továbbítása vagy továbbítássorozata tekintetében; |
17. „kötelező erejű vállalati szabályok”: az Unió valamelyik tagállamában letelepedett adatkezelő vagy feldolgozó által kidolgozott személyesadat-védelmi politikák a személyes adatok adatkezelő vagy feldolgozó részére, vállalkozáscsoporton belüli, egy vagy több harmadik államba történő továbbítása vagy továbbítássorozata tekintetében; |
18. „gyermek”: bármely 18 évesnél fiatalabb személy; |
18. „gyermek”: bármely 18 évesnél fiatalabb személy; |
19. „felügyelő hatóság”: a tagállam által a 46. cikk értelmében létrehozott hatóság. |
19. „felügyelő hatóság”: a tagállam által a 46. cikk értelmében létrehozott hatóság. |
Módosítás 99 Rendeletre irányuló javaslat 5 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A személyes adatok feldolgozására vonatkozó alapelvek |
A személyes adatok feldolgozására vonatkozó alapelvek |
(1) A személyes adatok: |
(1) A személyes adatok: |
a) feldolgozását jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni; |
a) feldolgozását jogszerûen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (jogszerûség, tisztesség és átláthatóság); |
b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal ellentétesen; |
b) gyûjtése csak meghatározott, egyértelmû és törvényes célból történhet, és további feldolgozásuk nem végezhetõ e célokkal ellentétesen (célhoz kötöttség); |
c) megfelelőek, relevánsak, és nem haladják meg a feldolgozás céljához szükséges legkisebb mértéket, és csak akkor és addig dolgozhatók fel, amikor és ameddig e célok nem érhetők el olyan információ feldolgozásával, amely nem vonatkozik személyes adatokra; |
c) megfelelőek, relevánsak, és nem haladják meg a feldolgozás céljához szükséges legkisebb mértéket, és csak akkor és addig dolgozhatók fel, amikor és ameddig e célok nem érhetõk el olyan információ feldolgozásával, amely nem vonatkozik személyes adatokra (adatminimalizálás); |
d) pontosak és naprakész állapotban kell azokat tartani; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, tekintettel feldolgozásuk céljaira, haladéktalanul törlésre vagy helyesbítésre kerüljenek; |
d) pontosak és amennyiben szükséges, naprakész állapotban kell azokat tartani; minden ésszerû intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, tekintettel feldolgozásuk céljaira, haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság); |
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok további tárolására csak annyiban kerülhet sor, amennyiben az adatokat kizárólag történelmi, statisztikai vagy tudományos kutatási célból, a 83. cikk szerinti szabályokkal és feltételekkel összhangban dolgozzák fel, és amennyiben időszakos felülvizsgálatot végeznek a tárolás további szükségességének vizsgálata érdekében; |
e) tárolásának olyan formában kell történnie, amely az érintettek közvetlen vagy közvetett azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetõvé; a személyes adatok további tárolására csak annyiban kerülhet sor, amennyiben az adatokat kizárólag történelmi, statisztikai vagy tudományos kutatási, illetve archiválási célból, a 83. és a 83a. cikk szerinti szabályokkal és feltételekkel összhangban dolgozzák fel, és amennyiben idõszakos felülvizsgálatot végeznek a tárolás további szükségességének vizsgálata érdekében, valamint ha megfelelõ mûszaki és szervezeti intézkedéseket tettek annak érdekében, hogy az adatokhoz való hozzáférés csak e célokból legyen lehetséges (tárolásminimalizálás); |
|
(ea) feldolgozása olyan módon történik, ami ténylegesen lehetõvé teszi az érintett számára, hogy gyakorolja jogait (hatékonyság); |
|
(eb) feldolgozása olyan módon történik, ami védelmet biztosít megfelelõ technikai vagy szervezeti intézkedések révén az engedély nélküli vagy jogellenes feldolgozás, valamint a véletlen adatvesztés, -megsemmisülés vagy -károsodás ellen (integritás); |
f) feldolgozása az adatkezelő felelősségére történik, akinek minden feldolgozási művelet tekintetében biztosítania és igazolnia kell az e rendelet rendelkezéseivel való összhangot. |
f) feldolgozása az adatkezelõ felelõsségére történik, akinek biztosítania kell és igazolnia kell tudni az e rendelet rendelkezéseivel való összhangot (elszámoltathatóság). |
Módosítás 100 Rendeletre irányuló javaslat 6 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatfeldolgozás jogszerűsége |
Az adatfeldolgozás jogszerűsége |
(1) A személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az alábbiak valamelyike teljesül: |
(1) A személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az alábbiak valamelyike teljesül: |
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő feldolgozásához; |
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő feldolgozásához; |
b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; |
b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; |
c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; |
c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; |
d) az adatfeldolgozás az érintett létfontosságú érdekének védelme miatt szükséges; |
d) az adatfeldolgozás az érintett létfontosságú érdekének védelme miatt szükséges; |
e) az adatfeldolgozás közérdekű feladat végrehajtásához vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásához szükséges; |
e) az adatfeldolgozás közérdekű feladat végrehajtásához vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásához szükséges; |
f) az adatfeldolgozás az adatkezelő jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
f) az adatfeldolgozás az adatkezelő jogszerű érdekének érvényesítéséhez szükséges, vagy adatközlés esetén a harmadik fél érdekének érvényesítéséhez, akivel közlik az adatokat, és amely kielégíti az érintett jogos elvárásait az adatkezelővel kialakított kapcsolata alapján, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
(2) A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása a 83. cikk szerinti feltételek és biztosítékok fennállása esetében jogszerű. |
(2) A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása a 83. cikk szerinti feltételek és biztosítékok fennállása esetében jogszerű. |
(3) Az (1) bekezdés c) és e) pontja szerinti adatfeldolgozás alapjáról: |
(3) Az (1) bekezdés c) és e) pontja szerinti adatfeldolgozás alapjáról: |
a) uniós jogszabályban vagy |
a) uniós jogszabályban vagy |
b) az adatkezelőre irányadó tagállami jogszabályban kell rendelkezni. |
b) az adatkezelőre irányadó tagállami jogszabályban kell rendelkezni. |
A tagállami jogszabálynak közérdekű célt vagy mások jogainak és szabadságának védelmét kell szolgálnia, tiszteletben kell tartania a személyes adatok védelméhez való jog lényegét, és arányosnak kell lennie a kitűzött jogszerű céllal. |
A tagállami jogszabálynak közérdekű célt vagy mások jogainak és szabadságának védelmét kell szolgálnia, tiszteletben kell tartania a személyes adatok védelméhez való jog lényegét, és arányosnak kell lennie a kitűzött jogszerű céllal. E rendelet keretein belül a tagállamok jogszabályai előírhatják a feldolgozás jogszerűségének részleteit, különösen az adatkezelők tekintetében, a feldolgozás célját és a célhoz kötöttséget, az adatok és az érintettek jellegét, a feldolgozásra vonatkozó intézkedéseket és eljárásokat, a címzetteket, valamint a tárolás időtartamát. |
(4) Amennyiben a további feldolgozás célja nem egyeztethető össze a személyes adatok gyűjtésének céljával, a feldolgozás jogalapjának mindenképpen az (1) bekezdés a)-e) pontja valamelyikének kell lennie. Ez különösen az általános szerződési feltételek módosítására alkalmazandó. |
|
(5) A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés f) pontja szerinti különös ágazatokra és adatfeldolgozási helyzetekre - beleértve a gyermekekre vonatkozó személyes adatok feldolgozását - vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 101 Rendeletre irányuló javaslat 7 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A hozzájárulás feltételei |
A hozzájárulás feltételei |
(1) Az adatkezelőre hárul annak bizonyítása, hogy az érintett hozzájárult személyes adatainak konkrét célokból történő feldolgozásához. |
(1) Amennyiben a feldolgozás hozzájáruláson alapul, az adatkezelőre hárul annak bizonyítása, hogy az érintett hozzájárult személyes adatainak konkrét célokból történő feldolgozásához. |
(2) Amennyiben az érintett hozzájárulását valamely más ügyre is vonatkozó írásos nyilatkozattal összefüggésben kell megadni, a hozzájárulás kérésének megjelenésében megkülönböztethetőnek kell lennie ettől a más ügytől. |
(2) Amennyiben az érintett hozzájárulását valamely más ügyre is vonatkozó írásos nyilatkozattal összefüggésben adják meg, a hozzájárulás kérésének megjelenésében egyértelműen megkülönböztethetőnek kell lennie ettől a más ügytől. Az érintett hozzájárulására vonatkozó, az e rendeletet részben megsértő előírások semmisnek tekintendők. |
(3) Az érintett bármikor visszavonhatja hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti hozzájáruláson alapuló feldolgozás jogszerűségét. |
(3) A feldolgozás egyéb jogalapjainak sérelme nélkül, az érintett bármikor visszavonhatja hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti hozzájáruláson alapuló feldolgozás jogszerűségét. A hozzájárulás visszavonása nem lehet nehezebb, mint annak megadása. Az adatkezelő tájékoztatja az érintettet, ha a hozzájárulás visszavonása az adatkezelő által nyújtott szolgáltatás vagy a vele fenntartott kapcsolat végét eredményezheti. |
(4) A hozzájárulás nem teremt jogalapot a feldolgozásra, ha jelentős egyenlőtlenség áll fenn az érintett és az adatkezelő helyzete között. |
(4) A hozzájárulás az adott célra korlátozódik, és a cél megszűnésekor elveszti érvényességét, illetve amikor a személyes adat feldolgozására már nincs szükség annak a célnak az eléréséhez, amihez az adatokat eredetileg gyűjtötték. Valamely szerződés teljesítése, illetve szolgáltatás nyújtása nem tehető függővé a szerződés teljesítéséhez, illetve a szolgáltatás nyújtásához a 6. cikk (1) bekezdésének b) pontja értelmében nem szükséges adatok feldolgozásához adott hozzájárulástól. |
Módosítás 102 Rendeletre irányuló javaslat 8 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Gyermekek személyes adatainak feldolgozása |
Gyermekek személyes adatainak feldolgozása |
(1) E rendelet alkalmazásában, a közvetlenül gyermekeknek nyújtott információs társadalommal összefüggő szolgáltatásokkal összefüggésben a 13 év alatti gyermekek személyes adatainak feldolgozása csak akkor és olyan mértékben jogszerű, ha a gyermek szülője vagy gyámja ahhoz hozzájárult vagy engedélyezte. Az adatkezelő ésszerű erőfeszítéseket tesz, hogy ellenőrizhető hozzájárulást szerezzen be, figyelemmel az elérhető technológiára. |
(1) E rendelet alkalmazásában, a közvetlenül gyermekeknek nyújtott termékekkel vagy szolgáltatásokkal összefüggésben a 13 év alatti gyermekek személyes adatainak feldolgozása csak akkor és olyan mértékben jogszerű, ha a gyermek szülője vagy jogi képviselője ahhoz hozzájárult vagy engedélyezte. Az adatkezelő ésszerű erőfeszítéseket tesz, hogy ellenőrizze az ilyen hozzájárulást, figyelemmel az elérhető technológiára, anélkül, hogy szükségtelen személyesadat-feldolgozást okozna. |
|
1a. A gyermekek, a szülők és a jogi képviselők általi hozzájárulás kifejezése érdekében nyújtott információkat – beleértve a személyes adat adatkezelő általi gyűjtését és felhasználását – egyértelmű, a célközönség számára megfelelő nyelvezettel kell megadni. |
(2) Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, mint például a gyermekkel kapcsolatos szerződés érvényességére, formájára vagy hatályára vonatkozó szabályokat. |
(2) Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, mint például a gyermekkel kapcsolatos szerződés érvényességére, formájára vagy hatályára vonatkozó szabályokat. |
(3) A Bizottság a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadhat el annak érdekében, hogy részletesen meghatározza az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésének módszereire vonatkozó szempontokat és előírásokat. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében |
(3) Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikkel összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) bekezdésben szereplő hozzájárulás ellenőrzésének módszereire. |
(4) A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 103 Rendeletre irányuló javaslat 9 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A személyes adatok különleges kategóriáinak feldolgozása |
Különleges adatkategóriák |
(1) Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, az egészségügyi adatok vagy a szexuális életre, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása. |
(1) Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy filozófiai-világnézeti meggyőződésre, szexuális irányultságra vagy nemi identitásra, a szakszervezeti tagságra és tevékenységekre utaló személyes adatok, valamint a genetikai vagy biometrikus adatok, az egészségügyi adatok vagy a szexuális életre, közigazgatási szankciókra, ítéletekre, bűncselekményekre vagy bűncselekmények gyanújára, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása. |
(2) Az (1) bekezdés nem alkalmazható abban az esetben, ha: |
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha: |
a) az érintett a 7. és 8. cikk szerinti feltételeknek megfelelően hozzájárulását adta az említett személyes adatok feldolgozásához, kivéve, ha az uniós vagy nemzeti jog úgy rendelkezik, hogy az érintett nem mentesíthet az (1) bekezdésben említett tilalom alól; vagy |
a) az érintett a 7. és 8. cikk szerinti feltételeknek megfelelően hozzájárulását adta az említett személyes adatok egy vagy több meghatározott célból történő feldolgozásához, kivéve, ha az uniós vagy nemzeti jog úgy rendelkezik, hogy az érintett nem mentesíthet az (1) bekezdésben említett tilalom alól, vagy |
|
(aa) az adatfeldolgozás olyan szerzõdés teljesítéséhez vagy végrehajtásához szükséges, amelyben az érintett az egyik fél, vagy az a szerzõdés megkötését megelõzõen az érintett kérésére történõ lépések megtételéhez szükséges; |
b) az adatfeldolgozás az adatkezelő különös kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben a megfelelő biztosítékokról rendelkező uniós vagy nemzeti jogszabályok ezt lehetővé teszik; vagy |
b) az adatfeldolgozás az adatkezelő különös kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben az érintett alapvető jogaira és érdekeire – például a megkülönböztetésmentességhez való jogra – vonatkozó megfelelő biztosítékokról rendelkező uniós vagy nemzeti jogszabályok vagy kollektív szerződések ezt lehetővé teszik, a 82. cikkben felsorolt feltételek és biztosítékok betartásával; vagy |
c) az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, amennyiben az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni; vagy |
c) az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, amennyiben az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni; vagy |
d) az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szervezet céljainak megfelelően, és az adatok nem adhatók ki az érintettek hozzájárulása nélkül; vagy |
d) az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szervezet céljainak megfelelően, és az adatok nem adhatók ki az érintettek hozzájárulása nélkül; vagy |
e) az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott; vagy |
e) az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott; vagy |
f) az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek; vagy |
f) az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek; vagy |
g) az adatfeldolgozás közérdekű feladat ellátásához szükséges olyan uniós jogszabály vagy nemzeti jogszabály alapján, amely az érintett jogos érdekeinek biztosítására megfelelő intézkedéseket ír elő; vagy |
g) az adatfeldolgozás jelentős közérdek miatti feladat ellátásához szükséges olyan uniós jogszabály vagy nemzeti jogszabály alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jogot, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő intézkedéseket ír elő; vagy |
h) az egészségügyi adatok feldolgozása egészségügyi célból szükséges, a 81. cikk szerinti feltételek és biztosítékok mellett; vagy |
h) az egészségügyi adatok feldolgozása egészségügyi célból szükséges, a 81. cikk szerinti feltételek és biztosítékok mellett; vagy |
i) az adatfeldolgozás történelmi, statisztikai, vagy tudományos kutatási célból szükséges, a 83. cikk szerinti feltételek és biztosítékok mellett; vagy |
i) az adatfeldolgozás történelmi, statisztikai, vagy tudományos kutatási célból szükséges, a 83. cikk szerinti feltételek és biztosítékok mellett; vagy |
|
(ia) az adatfeldolgozás levéltári szolgálatok céljából szükséges, a 83a. cikk szerinti feltételek és biztosítékok mellett; vagy |
j) a büntetőítéletekre vagy kapcsolódó biztonsági intézkedésekre vonatkozó adatok feldolgozása vagy a hatóság ellenőrzése mellett történik, vagy ha az adatfeldolgozásra olyan jogszabályi vagy szabályozási kötelezettségnek való megfelelés érdekében kerül sor, amelynek az adatfeldolgozó a hatálya alá tartozik, illetve fontos közérdek miatt végzett feladat teljesítése érdekében, amennyiben azt megfelelő biztosítékokat nyújtó uniós vagy tagállami jogszabály teszi lehetővé. A büntetőítéletekről csak a hatóság ellenőrzésével vezethető teljes körű nyilvántartás. |
j) a közigazgatási szankciókra, ítéletekre, bűncselekményekre, büntetőítéletekre vagy kapcsolódó biztonsági intézkedésekre vonatkozó adatok feldolgozása vagy a hatóság ellenőrzése mellett történik, vagy ha az adatfeldolgozásra olyan jogszabályi vagy szabályozási kötelezettségnek való megfelelés érdekében kerül sor, amelynek az adatfeldolgozó a hatálya alá tartozik, illetve fontos közérdek miatt végzett feladat teljesítése érdekében, amennyiben azt az érintett alapvető jogaira és érdekeire vonatkozóan megfelelő biztosítékokat nyújtó uniós vagy tagállami jogszabály teszi lehetővé. A büntetõítéletekrõl csak a hatóság ellenõrzésével vezethetõ nyilvántartás. |
(3) A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) bekezdés szerinti különleges kategóriáinak feldolgozására és a (2) bekezdésben meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(3) Az Európai Adatvédelmi Testületet megbízást kap arra, hogy a 66. cikkel összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a személyes adatok (1) bekezdés szerinti különleges kategóriáinak feldolgozására és a (2) bekezdésben meghatározott kivételekre. |
Módosítás 104 Rendeletre irányuló javaslat 10 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, az adatkezelő nem köteles kiegészítő információkat beszerezni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendelet valamelyik rendelkezésének. |
(1) Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő vagy –feldolgozó számára, hogy közvetlenül vagy közvetetten azonosítson egy természetes személyt, illetve azok kizárólag álnevekkel kapcsolatos adatokból állnak, az adatkezelő nem dolgoz fel vagy szerez kiegészítő információkat annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendelet valamelyik rendelkezésének. |
|
(2) Amennyiben az adatkezelő nem tudja betartani e rendelet valamely előírását az (1) bekezdés miatt, az adatkezelő nem köteles betartani e rendelet ama bizonyos előírását. Amennyiben ennek következtében az adatkezelő nem tudja teljesíteni az érintett kérését, erről megfelelően tájékoztatja az érintettet. |
Módosítás 105 Rendeletre irányuló javaslat 10 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
10a. cikk |
|
Az érintettek jogaira vonatkozó általános elvek |
|
(1) Az adatvédelem alapját az érintett világos és egyértelmű jogai képezik, amelyeket az adatkezelőnek tiszteletben kell tartania. Az e rendeletben foglalt rendelkezések célja e jogok erõsítése, pontosítása, szavatolása és adott esetben kodifikálása. |
|
(2) E jogok közé tartozik többek között az egyértelmű, könnyen érthető tájékoztatás nyújtása az érintett személyes adatainak feldolgozásával, adatainak hozzáféréséhez, helyesbítéséhez és törléséhez való joggal, az adatok megszerzéséhez való joggal, a profilalkotás kifogásolásához való joggal, panasz benyújtásához való joggal az illetékes adatvédelmi hatósághoz és bírósági eljárás indításához való joggal, valamint a jogszerűtlen adatfeldolgozási műveletből eredő kár ellentételezéséhez és megtérítéséhez való joggal kapcsolatban. E jogokat általánosságban véve térítésmentesen kell tudni gyakorolni. Az adatkezelõ ésszerû határidõn belül válaszol az érintett kérésére. |
Módosítás 106 Rendeletre irányuló javaslat 11 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az adatkezelőnek a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében átlátható és könnyen hozzáférhető politikákkal kell rendelkeznie. |
(1) Az adatkezelőnek a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében tömör, átlátható, egyértelmű és könnyen hozzáférhető politikákkal kell rendelkeznie. |
(2) Az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést, különösen a kifejezetten gyermekeknek szóló tájékoztatást, az érintett részére érthető formában, az érintett befogadóképességének megfelelő, világos és közérthető nyelven nyújtja. |
(2) Az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést, különösen a kifejezetten gyermekeknek szóló tájékoztatást, az érintett részére érthető formában, világos és közérthető nyelven nyújtja. |
Módosítás 107 Rendeletre irányuló javaslat 12 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az adatkezelő kialakítja a 14. cikk szerinti tájékoztatáshoz, valamint az érintettek 13. cikkben és 15–19. cikkben említett jogainak gyakorlásához szükséges eljárásokat. Az adatkezelő különösen a 13. cikkben és a 15–19. cikkben említett tevékenységek iránti kérelmek megkönnyítésére szolgáló mechanizmusokat biztosítja. Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja továbbá a kérelmek elektronikus úton történő benyújtásának lehetőségét is. |
(1) Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja továbbá a kérelmek elektronikus úton történő benyújtásának lehetőségét is, ahol lehetséges. |
(2) Az adatkezelő késedelem nélkül és legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet arról, hogy történt-e a 13. cikk és a 15–19. cikk szerinti intézkedés, valamint szolgáltatja a kért információt. E határidő egy hónappal meghosszabbítható, ha több érintett gyakorolja jogait, és együttműködésük ésszerű mértékben szükséges az adatkezelő szükségtelen és aránytalan törekvésének megakadályozása szempontjából. Ezt a tájékoztatást írásban kell nyújtani. Amennyiben az érintett a kérést elektronikus formában terjeszti elő, az információt elektronikus formában kell megadni, kivéve, ha az érintett eltérően igényli. |
(2) Az adatkezelő indokolatlan késedelem nélkül és legkésőbb a kérelem beérkezésétől számított 40 naptári napon belül tájékoztatja az érintettet arról, hogy történt-e a 13. cikk és a 15–19. cikk szerinti intézkedés, valamint szolgáltatja a kért információt. E határidő egy hónappal meghosszabbítható, ha több érintett gyakorolja jogait, és együttműködésük ésszerű mértékben szükséges az adatkezelő szükségtelen és aránytalan törekvésének megakadályozása szempontjából. Ezt a tájékoztatást írásban kell nyújtani, és – amennyiben lehetséges – az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, ahol közvetlen hozzáférést bocsátanak az érintett rendelkezésére a saját személyes adataihoz. Amennyiben az érintett a kérést elektronikus formában terjeszti elő, az információt – ha lehetséges – elektronikus formában kell megadni, kivéve, ha az érintett eltérően igényli. |
(3) Amennyiben az adatkezelő megtagadja, hogy az érintett kérelme nyomán intézkedéseket hozzon, tájékoztatja az érintettet az elutasítás okairól, valamint a felügyelő hatósághoz címzett panasz és a bírósági jogorvoslati kérelem lehetőségéről. |
(3) Amennyiben az adatkezelő az érintett kérelme nyomán nem hoz intézkedéseket, tájékoztatja az érintettet az intézkedéshozatal elmaradásának okairól, valamint a felügyelő hatósághoz címzett panasz és a bírósági jogorvoslati kérelem lehetőségéről. |
(4) Az (1) bekezdés szerinti tájékoztatás és a kérelemre tett intézkedések térítésmentesek. Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, az adatkezelő díjat számíthat fel a tájékoztatásért vagy a kért intézkedés megtételéért, vagy visszautasíthatja a kért intézkedés megtételét. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen túlzó jellegének bizonyítása . |
(4) Az (1) bekezdés szerinti tájékoztatás és a kérelemre tett intézkedések térítésmentesek. Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, az adatkezelő az adminisztrációs költségeket figyelembe vevő, ésszerű díjat számíthat fel a tájékoztatásért vagy a kért intézkedés megtételéért. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen túlzó jellegének bizonyítása. |
(5) A Bizottság felhatalmazást kap arra, hogy a (4) bekezdés szerinti egyértelműen túlzó kérelmekre és díjakra vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
(6) A Bizottság egységes formanyomtatványokat és eljárásokat határozhat meg a (2) bekezdésben említett értesítés esetében, ideértve az elektronikus formátum megállapítását is. Ennek során a Bizottság megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 108 Rendeletre irányuló javaslat 13 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A címzettekhez kapcsolódó jogok |
Az adatok helyesbítése és törlése esetén fennálló értesítési követelmény |
Az adatkezelő minden olyan címzettet tájékoztat a 16. és 17. cikk értelmében végzett valamennyi törlésről vagy zárolásról, akivel/amellyel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. |
Az adatkezelő minden olyan címzettet tájékoztat a 16. és 17. cikk értelmében végzett valamennyi törlésről vagy zárolásról, akinek/amelynek az adatot továbbították, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az adatkezelő annak kérésére tájékoztatja az érintettet e címzettekről. |
Módosítás 109 Rendeletre irányuló javaslat 13 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
13a. cikk |
|
Szabványosított információs politikák |
|
(1) Az érintettre vonatkozó személyes adatok gyûjtése során az adatkezelõnek az alábbiakról tájékoztatnia kell az érintettet az adatközlés elõtt a 14. cikk értelmében: |
|
a) a kért személyes adatok köre meghaladja-e a feldolgozás egyes konkrét céljaihoz szükséges minimális szintet; |
|
b) a kért személyes adatok tárolása meghaladja-e a feldolgozás egyes konkrét céljaihoz szükséges minimális szintet; |
|
c) feldolgozzák-e a személyes adatokat a gyûjtés során meghatározottakon kívüli célokra is; |
|
d) továbbítják-e a személyes adatokat kereskedelmi harmadik feleknek is; |
|
e) értékesítik vagy kölcsönzik-e a személyes adatokat; |
|
f) kódolt formában tárolják-e a személyes adatokat. |
|
(2) Az (1) bekezdésben foglalt adatokat a X. melléklet értelmében sorokba rendezett táblázatos formában kell közölni, szöveg és szimbólumok használatával, az alábbi három oszlopban: |
|
a) az első oszlop ezen adatokat jelképező grafikus formákat tartalmaz; |
|
b) a második oszlop az ezen adatokat leíró alapvető információkat tartalmaz; |
|
c) a harmadik oszlop olyan grafikus formákat tartalmaz, amelyek jelzik egy adott adat megvalósulását. |
|
(3) Az (1) és (2) bekezdésben említett információkat könnyen látható és olvasható módon kell bemutatni, valamint olyan nyelven kell megjeleníteni, amelyet az adott tagállam fogyasztói – akiknek a tájékoztatást szánják – könnyen megértenek. Amennyiben az adatokat elektronikus úton jelenítik meg, számítógéppel olvashatóknak kell lenniük. |
|
(4) További radatokat nem kell közölni. Az (1) bekezdésben említett részletes magyarázatokat vagy az adatokhoz kapcsolódó további megjegyzéseket a 14. cikkben foglalt tájékoztatási követelményekkel együtt lehet nyújtani. |
|
(5) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérése után – a (2) bekezdésben és az 1. mellékletben említett adatok és megjelenítésük további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
Módosítás 110 Rendeletre irányuló javaslat 14 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az érintett tájékoztatása |
Az érintett tájékoztatása |
(1) Az érintettre vonatkozó személyes adatok gyűjtése során az adatkezelőnek legalább az alábbiakról tájékoztatnia kell az érintettet: |
(1) Az érintettre vonatkozó személyes adatok gyűjtése során az adatkezelőnek legalább az alábbiakról tájékoztatnia kell az érintettet, a 13a. cikk értelmében tett tájékoztatás után: |
a) az adatkezelő, és – ha van ilyen – az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a személyazonossága és részletes elérhetősége; |
a) az adatkezelő, és – ha van ilyen – az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a személyazonossága és részletes elérhetősége; |
b) az adatfeldolgozás céljai, amelyekre a személyes adatok szolgálnak, beleértve a szerződési feltételeket és az általános feltételeket a 6. cikk (1) bekezdésének b) pontja szerinti feldolgozás esetén, és az adatkezelő jogos érdekeit a 6. cikk (1) bekezdésének f) pontja szerinti feldolgozás esetén; |
b) az adatfeldolgozás céljai, amelyekre a személyes adatok szolgálnak, illetve a személyes adatok feldolgozásának biztonságára vonatkozó információk, beleértve a szerződési feltételeket és az általános feltételeket a 6. cikk (1) bekezdésének b) pontja szerinti feldolgozás esetén, és adott esetben a 6. cikk (1) bekezdésének f) pontja szerinti követelmények végrehajtására és teljesítésére vonatkozó információk; |
c) a személyes adatok tárolásának időtartama; |
c) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának kritériumai; |
d) azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokba való betekintést, azok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását; |
d) azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokba való betekintést, azok helyesbítését vagy törlését, illetve kifogásolhatja az ilyen személyes adatok feldolgozását vagy az adatok megszerzését; |
e) a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége; |
e) a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége; |
f) a személyes adatok címzettjei, illetve a címzettek kategóriái; |
f) a személyes adatok címzettjei, illetve a címzettek kategóriái; |
g) az adatkezelő harmadik országba vagy nemzetközi szervezet részére történő adattovábbítási szándéka esetén az e harmadik ország vagy nemzetközi szervezet által biztosított védelem szintje, a Bizottság megfelelőségi határozatára való hivatkozás mellett; |
g) az adatkezelő harmadik országba vagy nemzetközi szervezet részére történő adattovábbítási szándéka esetén és a Bizottság megfelelőségi határozata birtokában vagy annak hiányában, vagy a 42. cikkben, 43. cikkben, illetve a 44. cikk (1) bekezdésének h) pontjában említett adattovábbítás esetén a megfelelő biztosítékokra, valamint ezek másolatának megszerzésére szolgáló eszközökre való hivatkozás mellett; |
|
(ga) adott esetben a profilalkotás, a profilalkotáson alapuló intézkedések meglétére, valamint a profilalkotásnak az érintettre gyakorolt várható hatásaira vonatkozó tájékoztatás; |
|
(gb) érdemi tájékoztatás bármely automatizált feldolgozással kapcsolatos logikáról; |
h) az érintett vonatkozásában a tisztességes feldolgozás biztosításához szükséges minden további tájékoztatás, tekintettel a személyes adatok gyűjtésének különös körülményeire. |
h) az érintett vonatkozásában a tisztességes feldolgozás biztosításához szükséges minden további tájékoztatás, tekintettel a személyes adatok gyűjtésének és feldolgozásának különös körülményeire, különösen bizonyos olyan feldolgozási tevékenységek és műveletek meglétére, amelyek egy személyes adatokra vonatkozó hatásvizsgálat jelzése szerint nagy kockázatot hordozhatnak; |
|
(ha) adott esetben tájékoztatás arról, hogy a személyes adatot valamely hatóság számára átadták-e az elmúlt 12 hónapban. |
(2) Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy önkéntes jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről. |
(2) Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy választható jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről. |
|
2a. Az adatkezelőknek a feldolgozás (1) bekezdés d) pontja szerinti tisztességessé tételéhez szükséges további tájékoztatásról való döntés során figyelemmel kell lenniük a 38. cikk szerinti bármely releváns iránymutatásra. |
(3) Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak a személyes adatok. |
(3) Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak az egyes személyes adatok. Amennyiben a személyes adatok nyilvánosan elérhető forrásokból származnak, általános tájékoztatást lehet adni. |
(4) Az adatkezelő az (1), (2) és (3) bekezdés szerinti tájékoztatást akkor nyújtja: |
(4) Az adatkezelő az (1), (2) és (3) bekezdés szerinti tájékoztatást akkor nyújtja: |
a) amikor a személyes adatot az érintettől beszerzi, vagy |
a) amikor a személyes adatot az érintettől beszerzi vagy indokolatlan késedelem nélkül, amikor a fenti feltétel nem teljesül; vagy |
|
aa) egy, a 73. cikkben felsorolt szerv, szervezet vagy társulás kérésére; |
b) ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés vagy -feldolgozás különös körülményeire tekintettel az adatgyűjtést követő ésszerű időtartamon belül, illetve, ha az adatokat más címzetthez kívánják továbbítani, legkésőbb az adatok első közlésekor. |
b) ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés vagy -feldolgozás különös körülményeire tekintettel az adatgyűjtést követő ésszerű időtartamon belül, illetve, ha az adatokat más címzetthez kívánják továbbítani, legkésőbb az adatok első továbbításakor, illetve ha az adatot az érintett személlyel folytatott kommunikációra használják fel, legkésőbb az ezzel at érintettel való első kapcsolatfelvétel időpontjában; vagy |
|
(ba) csak kérésre, amennyiben az adatokat a személyes adatok feldolgozását melléktevékenységként végző kis- vagy mikorvállalkozás dolgozza fel. |
(5) Az (1)–(4) bekezdés nem alkalmazható, ha: |
(5) Az (1)–(4) bekezdés nem alkalmazható, ha: |
a) az érintett már rendelkezik az (1), (2) és (3) bekezdés szerinti információkkal; vagy |
a) az érintett már rendelkezik az (1), (2) és (3) bekezdés szerinti információkkal; vagy |
b) az adatot nem az érintettől szerezték be, és a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel; vagy |
b) az adatot történelmi, statisztikai vagy tudományos célból dolgozzák fel a 81. cikkben vagy a 83. cikkben említett feltételek és biztosítékok mellett, az adatot nem az érintettől szerezték be, és a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel, és az adatkezelő bárki számára hozzáférhető módon tette közzé az adatot; vagy |
c) az adatot nem az érintettől szerezték be, és a rögzítést vagy a közlést jogszabály kifejezetten előírja; vagy |
c) az adatot nem az érintettől szerezték be, és a rögzítést vagy a közlést az adatkezelőre vonatkozó olyan jogszabály kifejezetten előírja, amely megfelelő intézkedéseket ír elő az érintett jogos érdekeinek védelme céljából, figyelemmel a személyes adatok feldolgozása és azok jellege jelentette kockázatokra; vagy |
d) az adatot nem az érintettől szerezték be, és az ilyen tájékoztatás nyújtása sérti másoknak az uniós jogban vagy a tagállam jogában a 21. cikkel összhangban meghatározott jogait és szabadságait. |
d) az adatot nem az érintettől szerezték be, és az ilyen tájékoztatás nyújtása sérti más természetes személyeknek az uniós jogban vagy a tagállam jogában a 21. cikkel összhangban meghatározott jogait és szabadságait; |
|
da) az adatokat uniós vagy tagállami jogszabály által szabályozott szakmai titoktartási kötelezettség vagy törvényen alapuló titoktartási kötelezettség hatálya alá tartozó személy dolgozza fel szakmája gyakorlása során, ilyen személy birtokába kerül vagy ilyen személy tudomására jut, kivéve ha közvetlenül az érintettől szerzik meg az adatot. |
(6) Az (5) bekezdés b) pontja szerinti esetben az adatkezelő megteszi a megfelelő intézkedéseket az érintett jogos érdekeinek védelme érdekében. |
(6) Az (5) bekezdés b) pontja szerinti esetben az adatkezelő megteszi a megfelelő intézkedéseket az érintett jogainak és jogos érdekeinek védelme érdekében. |
(7) A Bizottság felhatalmazást kap arra, hogy az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el: az (1) bekezdés f) pontja szerinti címzettek kategóriáira vonatkozó feltételek, az (1) bekezdés g) pontja szerinti esetleges adattovábbításról szóló értesítésre vonatkozó követelmények, a különös ágazatok és helyzetek esetében az (1) bekezdés h) pontja szerint szükséges további tájékoztatásra vonatkozó feltételek, valamint az (5) bekezdés b) pontjában meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok. Ennek során a Bizottság mérlegeli megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében. |
|
(8) A Bizottság a különböző ágazatok és adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel – szükség esetén – egységes formanyomtatványokat határozhat meg az (1)–(3) bekezdés szerinti tájékoztatásnyújtás esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 111 Rendeletre irányuló javaslat 15 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az érintett hozzáférési joga |
Az érintett hozzáférési joga az adatokhoz és azok megszerzéséhez |
(1) Az érintett erre irányuló kérelem benyújtásával jogosult az adatkezelőtől bármikor megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e. Az ilyen személyes adatok feldolgozása esetén az adatkezelő az alábbiakról nyújt tájékoztatást: |
(1) A 12. cikk (4) bekezdésének értelmében az érintett erre irányuló kérelem benyújtásával jogosult az adatkezelőtől bármikor megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e, emellett világos és közérthető nyelven az alábbi tájékoztatásra jogosult: |
a) az adatfeldolgozás céljai; |
a) az adatfeldolgozás céljai a személyes adatok egyes kategóriáira nézve; |
b) az érintett személyesadat-kategóriák; |
b) az érintett személyesadat-kategóriák; |
c) a címzettek vagy a címzettek kategóriái, akik számára az adatokat ki kívánják adni vagy kiadták, ideértve különösen a harmadik országokbeli címzetteket; |
c) a címzettek, akik számára az adatokat ki kívánják adni vagy kiadták, ideértve a harmadik országokbeli címzetteket; |
d) a személyes adatok tárolásának időtartama; |
d) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának kritériumai; |
e) azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását; |
e) azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását; |
f) a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége; |
f) a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége; |
g) értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról; |
|
h) az ilyen feldolgozás jelentősége és várható következményei, legalább a 20. cikkben említett intézkedések esetében. |
h) az ilyen feldolgozás jelentősége és várható következményei. |
|
ha) érdemi tájékoztatás bármely automatizált feldolgozással kapcsolatos logikáról; |
|
hb) a 21. cikk sérelme nélkül, személyes adatoknak valamely hatósággal a hatóság kérése miatti közlése esetén annak megerősítése, hogy kérelmet nyújtottak be. |
(2) Az érintettnek joga van az adatkezelőtől a feldolgozás alatt álló személyes adatok közlését kérni. Amennyiben az érintett a kérést elektronikus formában terjeszti elő, az információt elektronikus formában kell megadni, kivéve, ha az érintett eltérően igényli. |
(2) Az érintettnek joga van az adatkezelőtől a feldolgozás alatt álló személyes adatok közlését kérni. Amennyiben az érintett a kérést elektronikus formában terjeszti elő, az információt elektronikus és strukturált formátumban kell megadni, kivéve, ha az érintett eltérően igényli. Az 10. cikk sérelme nélkül, az adatkezelő megtesz minden ésszerű lépést annak megállapítására, hogy az adatokhoz való hozzáférést kérő személy maga az érintett. |
|
(2a) Amennyiben a személyes adatokat az érintett bocsátotta rendelkezésre, és a személyes adatokat elektronikus úton dolgozzák fel, az érintettnek joga van arra, hogy kérje az adatkezelőtől a megadott személyes adatok széles körben használt elektronikus és interoprábilis formátumú másolatát, amely lehetővé teszi az érintett általi további használatot anélkül, hogy akadályozná a személyes adatok visszavonásával érintett adatkezelőt. Ahol műszaki szempontból megvalósítható és elérhető, az adatot az érintett kérésére közvetlenül továbbítják az adatkezelők között. |
|
(2b) Ez a cikk nem érinti az adatok törlésére irányuló kötelezettséget, amennyiben azok az 5. cikk (1) bekezdésének e) pontja alapján már nem szükségesek. |
|
(2c) A 14. cikk (5) bekezdésének da) pontja szerinti adatok esetében nem lehet az (1) és (2) bekezdésnek megfelelő hozzáférési joggal rendelkezni, kivéve, ha az érintett jogosult a szóban forgó titoktartást megszüntetni, és ennek megfelelően jár el. |
(3) A Bizottság felhatalmazást kap arra, hogy a 86. cikkel összhangban az érintettnek a személyes adatok tartalmáról szóló, az (1) bekezdés g) pontja szerinti értesítésére vonatkozó feltételek és követelmények további meghatározása érdekében felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
(4) A Bizottság a különböző ágazatok adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel egységes formanyomtatványokat és eljárásokat határozhat meg az (1) bekezdés szerinti tájékoztatás-kérés és nyújtás esetében, beleértve az érintett személyazonosságának ellenőrzését és a személyes adatok érintettel való közlését. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 112 Rendeletre irányuló javaslat 17 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A személyes adatok tárolásának megszüntetéséhez és a törléshez való jog |
A törléshez való jog |
(1) Az érintett kérheti az adatkezelőtől a rá vonatkozó személyes adatok törlését, valamint az ilyen adatok további terjesztésétől való tartózkodást, különösen az érintett által gyermekkorában elérhetővé tett személyes adatok vonatkozásában, ha: |
(1) Az érintett kérheti az adatkezelőtől a rá vonatkozó személyes adatok törlését, valamint az ilyen adatok további terjesztésétől való tartózkodást, továbbá harmadik felektől az említett személyes adatok internetes linkjének, másolatának vagy másodpéldányának törlését, ha: |
a) az adatokra már nincs szükség az adatgyűjtés vagy más módon történő feldolgozás céljából; |
a) az adatokra már nincs szükség az adatgyûjtés vagy más módon történõ feldolgozás céljából; |
b) az érintett visszavonta a 6. cikk (1) bekezdésének a) pontja értelmében a feldolgozás alapját képező hozzájárulását, vagy lejárt az engedélyezett adattárolási időtartam, vagy a személyes adatok feldolgozásának nincs más jogalapja; |
b) az érintett visszavonta a 6. cikk (1) bekezdésének a) pontja értelmében a feldolgozás alapját képező hozzájárulását, vagy lejárt az engedélyezett adattárolási időtartam, vagy a személyes adatok feldolgozásának nincs más jogalapja; |
c) az érintett a 19. cikk értelmében kifogásolja a személyes adatok feldolgozását; |
c) az érintett a 19. cikk értelmében kifogásolja a személyes adatok feldolgozását; |
|
(ca) az Unióban székhellyel rendelkező valamely bíróság vagy felügyelő hatóság jogerős ítéletet hozott arra vonatkozóan, hogy az érintett adatokat törölni kell; |
d) az adatfeldolgozás egyéb okokból nem áll összhangban e rendelettel. |
d) az adatok feldolgozása jogszerűtlenül történt. |
|
1a. Az (1) bekezdés alkalmazása attól függ, hogy az adatkezelő meg tudja-e állapítani, hogy maga az érintett kérte a törlést. |
(2) Amennyiben az (1) bekezdés szerinti adatkezelő nyilvánosságra hozza a személyes adatokat, a technikai intézkedéseket is beleértve megtesz minden ésszerű lépést, hogy – azon adatok vonatkozásában, amelyek nyilvánosságra hozatala az adatkezelő felelősségi körébe tartozik – értesítse az ilyen adatokat feldolgozó harmadik felet arról, hogy az érintett kérte a személyes adat bármely nyilvános internetes linkjének, másolatának vagy másodpéldányának törlését. Amennyiben az adatkezelő harmadik felet hatalmazott fel a személyes adatok nyilvánosságra hozatalára, az adatkezelő felelősséggel tartozik e nyilvánosságra hozatalért. |
(2) Amennyiben az (1) bekezdés szerinti adatkezelő a 6. cikk (1) bekezdésén alapuló igazolás nélkül hozza nyilvánosságra a személyes adatokat, a 77. cikk sérelme nélkül megteszi az adatok – akár harmadik fél általi – töröltetésére irányuló ésszerű lépéseket. Amennyiben lehetséges, az adatkezelő tájékoztatja az érintettet a harmadik fél által megtett lépésekről. |
(3) Az adatkezelő késedelem nélkül elvégzi a törlést, kivéve, amennyiben a személyes adat megőrzése az alábbi okokból szükséges: |
(3) Az adatkezelő és adott esetben a harmadik fél késedelem nélkül elvégzi a törlést, kivéve, amennyiben a személyes adat megőrzése az alábbi okokból szükséges: |
a) a 80. cikkel összhangban a véleménynyilvánítás szabadságának gyakorlása; |
a) a 80. cikkel összhangban a véleménynyilvánítás szabadságának gyakorlása; |
b) a 81. cikkel összhangban a népegészség területén közérdekből; |
b) a 81. cikkel összhangban a népegészség területén közérdekből; |
c) a 83. cikkel összhangban álló történelmi, statisztikai vagy tudományos célú kutatási célok; |
c) a 83. cikkel összhangban álló történelmi, statisztikai vagy tudományos célú kutatási célok; |
d) az adatkezelőre vonatkozó uniós vagy nemzeti jogszabályba foglalt, a személyes adat megőrzésére vonatkozó jogi kötelezettség; a nemzeti jogszabályok közérdekű célt szolgálnak, tiszteletben tartják a személyes adatok védelméhez való jogot, és arányosak a kitűzött jogszerű céllal; |
d) az adatkezelőre vonatkozó uniós vagy nemzeti jogszabályba foglalt, a személyes adat megőrzésére vonatkozó jogi kötelezettség; a nemzeti jogszabályok közérdekű célt szolgálnak, tiszteletben tartják a személyes adatok védelméhez való jogot, és arányosak a kitűzött jogszerű céllal; |
e) a (4) bekezdés szerinti esetekben. |
e) a (4) bekezdés szerinti esetekben. |
(4) Az adatkezelő a személyes adatok törlése helyett korlátozza azok feldolgozását, ha: |
(4) Az adatkezelő a személyes adatok törlése helyett oly módon korlátozza azok feldolgozását, hogy azokra nem vonatkozik az adatokhoz való rendes hozzáférés és nem tartoznak az adatfeldolgozási műveletek hatálya alá, továbbá már nem módosíthatók, ha: |
a) az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát; |
a) az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát; |
b) az adatkezelőnek feladata ellátásához már nincs szüksége a személyes adatokra, de bizonyítási célból meg kell tartania az adatokat; |
b) az adatkezelőnek feladata ellátásához már nincs szüksége a személyes adatokra, de bizonyítási célból meg kell tartania az adatokat; |
c) a feldolgozás jogellenes, és az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri; |
c) a feldolgozás jogellenes, és az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri; |
|
(ca) az Unióban székhellyel rendelkező valamely bíróság vagy felügyelő hatóság jogerős ítéletet hozott arra vonatkozóan, hogy az érintett adatokat korlátozni kell; |
d) az érintett a 18. cikk (2) bekezdése értelmében kéri a személyes adatok más automatizált feldolgozó rendszerbe történő továbbítását. |
d) az érintett a 15. cikk (2a) bekezdése értelmében kéri a személyes adatok más automatizált feldolgozó rendszerbe történõ továbbítását. |
|
(da) a tárolástechnológia adott módja nem teszi lehetővé a törlést, és azt e rendelet életbe lépése előtt telepítették. |
(5) A (4) bekezdés szerinti személyes adatok a tárolás kivételével csak bizonyítás céljára vagy az érintett hozzájárulásával vagy más természetes vagy jogi személy jogainak védelme, illetve közérdekű cél érdekében dolgozhatók fel. |
(5) A (4) bekezdés szerinti személyes adatok a tárolás kivételével csak bizonyítás céljára vagy az érintett hozzájárulásával vagy más természetes vagy jogi személy jogainak védelme, illetve közérdekű cél érdekében dolgozhatók fel. |
(6) Amennyiben a személyes adatok feldolgozása a (4) bekezdés értelmében korlátozott, az adatkezelő a feldolgozás korlátozásának feloldása előtt tájékoztatja az érintettet. |
(6) Amennyiben a személyes adatok feldolgozása a (4) bekezdés értelmében korlátozott, az adatkezelő a feldolgozás korlátozásának feloldása előtt tájékoztatja az érintettet. |
(7) Az adatkezelő olyan mechanizmusokat vezet be, amelyek biztosítják a személyes adatok törlésére és/vagy az adattárolás szükségességének időszakos felülvizsgálatára meghatározott határidő tiszteletben tartását. |
|
(8) A törlést követően az adatkezelő a továbbiakban nem dolgozhat fel más módon ilyen személyes adatokat. |
(8) A törlést követően az adatkezelő a továbbiakban nem dolgozhat fel más módon ilyen személyes adatokat. |
|
(8a) Az adatkezelő olyan mechanizmusokat vezet be, amelyek biztosítják a személyes adatok törlésére és/vagy az adattárolás szükségességének időszakos felülvizsgálatára meghatározott határidő tiszteletben tartását. |
(9) A Bizottság felhatalmazást kap arra, hogy az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el: |
(9) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követően – az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el: |
a) konkrét ágazatok és különleges adatfeldolgozási helyzetek esetében az (1) bekezdés alkalmazására vonatkozó feltételek; |
a) konkrét ágazatok és különleges adatfeldolgozási helyzetek esetében az (1) bekezdés alkalmazására vonatkozó feltételek; |
b) a személyes adat linkje, másolata vagy másodpéldánya nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő – (2) bekezdésben említett – törlésének feltételei; |
b) a személyes adat linkje, másolata vagy másodpéldánya nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő – (2) bekezdésben említett – törlésének feltételei; |
c) a személyesadat-feldolgozás (4) bekezdésben említett korlátozására vonatkozó szempontok és feltételek. |
c) a személyesadat-feldolgozás (4) bekezdésben említett korlátozására vonatkozó szempontok és feltételek. |
Módosítás 113 Rendeletre irányuló javaslat 18 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adathordozhatósághoz való jog |
törölve |
(1) A személyes adatok strukturált és széles körben használt formátumban történő elektronikus feldolgozása esetén az érintettnek joga van arra, hogy kérje az adatkezelőtől a feldolgozás alatt álló adatok széles körben használt elektronikus és strukturált formátumú másolatát, amely lehetővé teszi az érintett általi további használatot. |
|
(2) Amennyiben a személyes adatokat az érintett bocsátotta rendelkezésre, és a feldolgozás hozzájáruláson vagy szerződésen alapul, az érintett jogosult arra, hogy ezeket a személyes adatokat és az érintett által rendelkezésre bocsátott, automatizált feldolgozó rendszerben tárolt bármely egyéb információt széles körben használt elektronikus formátumban egy másik rendszerbe továbbítson, anélkül hogy akadályozná a személyes adatok visszavonásával érintett adatkezelőt. |
|
(3) A Bizottság meghatározhatja az (1) bekezdés szerinti elektronikus formátumot, valamint a személyes adatok (2) bekezdés szerinti továbbításához használt technikai szabványokat, módokat és eljárásokat. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 114 Rendeletre irányuló javaslat 19 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A kifogásoláshoz való jog |
A kifogásoláshoz való jog |
(1) Az érintett egyedi helyzetével kapcsolatos indokok alapján bármikor kifogásolhatja személyes adatainak a 6. cikk (1) bekezdésének d), e) és f) pontján alapuló feldolgozását, kivéve, ha az adatkezelő igazolja, hogy a feldolgozást olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben. |
(1) Az érintett bármikor kifogásolhatja személyes adatainak a 6. cikk (1) bekezdésének d) és e) pontján alapuló feldolgozását, kivéve, ha az adatkezelő igazolja, hogy a feldolgozást olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben. |
(2) Ha a személyes adatokat közvetlen üzletszerzés érdekében dolgozzák fel, az érintett térítésmentesen kifogásolhatja személyes adatainak ilyen üzletszerzés érdekében való feldolgozását. E jogra kifejezetten, érthető módon fel kell hívni az érintett figyelmét, és a felhívásnak egyértelműen megkülönböztethetőnek kell lennie minden más információtól. |
(2) Ha a személyes adatok feldolgozása a 6. cikk (1) bekezdésének f) pontja szerint történik, az érintett bármikor és bármiféle indoklás nélkül térítésmentesen kifogásolhatja személyes adatainak általános vagy bármely konkrét célból való feldolgozását. |
|
(2a) A (2) bekezdésben említett jogra kifejezetten, érthető módon és formában fel kell hívni az érintett figyelmét, és különösen a kifejezetten gyermekeknek szóló tájékoztatás esetében, világos és közérthető nyelven, és a felhívásnak egyértelműen megkülönböztethetőnek kell lennie minden más információtól. |
|
(2b) Az információs társadalommal kapcsolatos szolgáltatások alkalmazásával összefüggésben és a 2002/58/EK irányelv sérelme nélkül, a tiltakozáshoz való jogot automatikus módon is lehet gyakorolni olyan technikai szabvány alkalmazásával, amely lehetőv teszi az érintett számára, hogy óhajait egyértelmű módon fejezze ki. |
(3) Az (1) és (2) bekezdés szerinti kifogásolás esetében az adatkezelő a továbbiakban nem használhatja vagy dolgozhatja fel más módon az érintett személyes adatokat. |
(3) Az (1) és (2) bekezdés szerinti kifogásolás esetében az adatkezelő a továbbiakban nem használhatja vagy dolgozhatja fel más módon az érintett személyes adatokat a kifogásban meghatározott célokra. |
(A Bizottság szövege (2) bekezdésének utolsó mondata a Parlament módosításában a (2a) bekezdés lett). | |
Módosítás 115 Rendeletre irányuló javaslat 20 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Profilalkotáson alapuló intézkedések |
Profilalkotás |
(1) Minden természetes személynek joga van ahhoz, hogy ne terjedhessen ki rá olyan intézkedés hatálya, amely e természetes személyre nézve jogi hatással járna, vagy őt jelentős mértékben érintené, és amely kizárólag automatizált feldolgozáson alapul, és amelynek célja a természetes személyre vonatkozó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy előrejelzése. |
(1) A 6. cikk előírásainak sérelme nélkül, minden természetes személynek joga van a profilalkotás kifogásolásához a 19. cikkel összhangban. Az érintettet jól látható módon tájékoztatják a profilalkotás kifogásolásához való jogról. |
(2) E rendelet egyéb rendelkezéseire figyelemmel, valamely személyre csak abban az esetben vonatkozhat az (1) bekezdés szerinti intézkedés, ha a feldolgozást: |
(2) E rendelet egyéb rendelkezéseire figyelemmel, valamely személy csak abban az esetben lehet az érintettre hátrányos jogi hatással lévő intézkedésekhez vezető vagy az érintett érdekeire, jogaira vagy szabadságaira nézve hasonlóan jelentős hatással járó profilalkotás alanya, ha a feldolgozást: |
a) valamely szerződés megkötése vagy teljesítése során végzik, ha a szerződés érintett kérelmére történő megkötése vagy teljesítése teljesül, vagy ha biztosítják az érintett jogos érdekeinek biztosítására alkalmas intézkedéseket, például az emberi beavatkozás kérésére vonatkozó jogot; vagy |
a) valamely szerződés megkötéséhez vagy teljesítéséhez szükséges, ha a szerződés érintett kérelmére történő megkötése vagy teljesítése teljesül, feltéve, hogy biztosítják az érintett jogos érdekeinek biztosítására alkalmas intézkedéseket; vagy |
b) olyan uniós vagy nemzeti jogszabály írja elő kifejezetten, amely rendelkezik az érintett jogos érdekeinek biztosítására alkalmas intézkedésekről is; vagy |
b) olyan uniós vagy nemzeti jogszabály írja elő kifejezetten, amely rendelkezik az érintett jogos érdekeinek biztosítására alkalmas intézkedésekről is; |
c) az érintett hozzájárulása alapján végzik, a 7. cikkben megállapított feltételek és a megfelelő biztosítékok mellett. |
c) az érintett hozzájárulása alapján végzik, a 7. cikkben megállapított feltételek és a megfelelő biztosítékok mellett. |
(3) A valamely természetes személlyel kapcsolatos egyes személyes szempontok értékelését célzó automatizált személyesadat-feldolgozás nem alapulhat kizárólag a személyes adatok 9. cikkben említett különleges kategóriáin. |
(3) Tilos az olyan profilalkotás, amely egyének közötti megkülönböztetést vált ki faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, szexuális irányultság vagy nemi identitás alapján, illetve amely ilyen hatást kiváltó intézkedésekhez vezet. Az adatkezelő hatékony védelmet alkalmaz a profilalkotásból eredő lehetséges megkülönböztetés ellen. A profilalkotás nem alapulhat kizárólag a személyes adatok 9. cikkben említett különleges kategóriáin. |
(4) A (2) bekezdésben említett esetekben az adatkezelő által a 14. cikk alapján nyújtandó tájékoztatás felöleli az (1) bekezdés szerinti intézkedés céljából történő feldolgozás megvalósulására, és az ilyen feldolgozásnak az érintett tekintetében várható hatásaira vonatkozó információkat. |
|
(5) A Bizottság felhatalmazást kap arra, hogy az érintett (2) bekezdés szerinti jogos érdekeinek biztosítására alkalmas intézkedésekre vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(5) Az érintettre hátrányos jogi hatással lévő intézkedésekhez vezető vagy az érintett érdekeire, jogaira vagy szabadságaira nézve hasonlóan jelentős hatással járó profilalkotás nem alapulhat kizárólag vagy elsősorban automatizált feldolgozáson, és emberi értékelést is tartalmaz, ideértve az ilyen értékelést követő határozat magyarázatát. Az érintett (2) bekezdés szerinti jogos érdekeinek biztosítására alkalmas intézkedések emberi értékelést és az ilyen értékelést követő határozat magyarázatát is tartalmaznak. |
|
(5a) Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban az (2) bekezdés alapján iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a profilalkotásra vonatkozó szempontok és feltételek további meghatározása érdekében. |
Módosítás 116 Rendeletre irányuló javaslat 21 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Korlátozások |
Korlátozások |
(1) Az uniós vagy a tagállami jog jogszabályi intézkedések útján korlátozhatja az 5. cikk a)–e) pontjában, valamint a 11–20. cikkben és a 32. cikkben foglalt jogok és kötelezettségek körét, amennyiben e korlátozás az alábbiak biztosításához szükséges és arányos intézkedésnek minősül a demokratikus társadalomban: |
(1) Az uniós vagy a tagállami jog jogszabályi intézkedések útján korlátozhatja a 11–19. cikkekben és a 32. cikkben foglalt jogok és kötelezettségek körét, amennyiben e korlátozás világosan meghatározott közérdekű célt szolgál, tiszteletben tartja a személyes adatok védelméhez való jogot, arányos a kitűzött jogszerű céllal és tiszteletben tartja az érintett alapvető jogait és érdekeit, emellett az alábbiak biztosításához szükséges és arányos intézkedésnek minősül a demokratikus társadalomban: |
a) közbiztonság; |
a) közbiztonság; |
b) bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás lefolytatása; |
b) bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás lefolytatása; |
c) az Unió vagy a tagállam egyéb közérdeke, különösen az Unió vagy a tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, valamint a piac stabilitásának és integritásának védelmét; |
c) adózási kérdések; |
d) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; |
d) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; |
e) az a), b) c) és d) pontban említett esetekben – akár alkalmanként – a közhatalom gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység; |
e) az a), b) c) és d) pontban említett esetekben egy illetékes közhatósági funkció gyakorlása keretében folytatott ellenőrzési, felügyeleti és szabályozási tevékenység; |
f) az érintett, vagy mások jogainak és szabadságainak védelme. |
f) az érintett, vagy mások jogainak és szabadságainak védelme. |
(2) Az (1) bekezdésben említett jogszabályi intézkedések részletes rendelkezéseket tartalmaznak legalább az adatfeldolgozással elérni kívánt célok és az adatkezelő meghatározása tekintetében. |
(2) Az (1) bekezdésben említett jogszabályi intézkedéseknek szükségeseknek és arányosaknak kell lenniük a demokratikus társadalomban, és azok részletes rendelkezéseket tartalmaznak legalább az alábbiak tekintetében: |
|
a) az adatfeldolgozással elérni kívánt célok; |
|
b) az adatkezelő meghatározása; |
|
c) a feldolgozás konkrét céljai és eszközei; |
|
d) a visszaélés, illetve a jogtalan hozzáférés vagy továbbítás megakadályozását célzó biztosítékok; |
|
e) az érintettek joga arra, hogy tájékoztatást kapjanak a korlátozásról. |
|
(2a) Az (1) bekezdésben említett jogszabályozási intézkedések sem nem engedik meg a magán adatkezelők számára, sem nem kötelezik őket arra, hogy az eredeti célok szempontjából szigorúan szükséges adatokon kívül további adatokat tároljanak. |
(A bizottsági szöveg (2) bekezdésének utolsó része a Parlamenti módosításában az a) és a b) pont alatt szerepelnek). | |
Módosítás 117 Rendeletre irányuló javaslat 22 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatkezelő felelőssége |
Az adatkezelő felelőssége és elszámoltathatósága |
(1) Az adatkezelő elfogadja azokat a politikákat és végrehajtja azokat a megfelelő intézkedéseket, amelyekkel biztosítja és igazolni tudja azt, hogy a személyes adatok feldolgozása e rendelettel összhangban történik. |
(1) Az adatkezelõ – a technika állására, a személyesadat-feldolgozás természetére, a feldolgozás kereteire, hatályára és céljaira, az érintettek jogait és szabadságait érintõ kockázatokra, valamint a szervezet típusára tekintettel – mind az adatfeldolgozás módjának meghatározása, mind a feldolgozás során elfogadja azokat a megfelelõ politikákat és megfelelõ és igazolható technikai és szervezési intézkedéseket, amelyekkel biztosítja és átlátható módon igazolni tudja azt, hogy a személyes adatok feldolgozása e rendelettel összhangban történik. |
|
(1a) Az adatkezelõ – a technika állására és a végrehajtás költségeire tekintettel – minden ésszerû lépést megtesz olyan megfelelési politikák és eljárások végrehajtására, amelyek folyamatosan tiszteletben tartják az érintettek autonóm döntéseit. E megfelelési politikákat legalább kétévente felül kell vizsgálni, és szükség esetén aktualizálni kell. |
(2) Az (1) bekezdés szerinti intézkedések különösen a következőket tartalmazzák: |
|
a) a 28. cikk szerinti dokumentáció vezetése; |
|
b) a 30. cikkben rögzített adatvédelmi követelmények érvényesítése; |
|
c) a 33. cikk szerinti adatvédelmi hatásvizsgálat lefolytatása; |
|
d) a 34. cikk (1) és (2) bekezdése értelmében a felügyelő hatóság előzetes engedélyezéséhez vagy előzetes konzultációhoz szükséges feltételek teljesítése; |
|
e) a 35. cikk (1) bekezdése szerinti adatvédelmi tisztviselő kijelölése. |
|
(3) Az adatkezelő végrehajtja az (1) és (2) bekezdésben említett intézkedések hatékonyságának felülvizsgálatához szükséges mechanizmusokat. Amennyiben ez arányos, a felülvizsgálatot független belső vagy külső ellenőr végzi. |
(3) Az adatkezelõnek képesnek kell lennie az (1) és (2) bekezdésben említett intézkedések megfelelõségének és hatékonyságának igazolására. Az adatkezelõ tevékenységére vonatkozó valamennyi rendszeres általános jelentés – például a tõzsdén jegyzett társaságok kötelezõen elkészítendõ jelentései – tartalmazza az (1) bekezdésben említett politikák és intézkedések összefoglaló leírását. |
|
(3a) Az adatkezelő jogosult a személyes adatok Unión belüli továbbítására azon vállalkozáscsoporton belül, amelynek részét képezi, amennyiben az adatfeldolgozás a vállalkozáscsoport egymáshoz kapcsolódó üzleti területei közötti törvényes belső adminisztratív célok érdekében szükséges, és amennyiben belső adatvédelmi rendelkezések vagy azokkal egyenértékű, a 38. cikkben említett eljárási szabályzatok garantálják a megfelelő szintű adatvédelmet, valamint az érintettek érdekeinek védelmét. |
(4) A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti – a (2) bekezdésben már említettektől eltérő – megfelelő intézkedésekre, a (3) bekezdésben említett felülvizsgálati és ellenőrzési mechanizmusok feltételeire, valamint a (3) bekezdés szerinti arányossági szempontokra vonatkozó további feltételek és követelmények meghatározása érdekében, továbbá különösen a mikro-, kis- és középvállalkozásokra vonatkozó különös intézkedések mérlegelése mellett a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 118 Rendeletre irányuló javaslat 23 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Beépített és alapértelmezett adatvédelem |
Beépített és alapértelmezett adatvédelem |
(1) Az adatkezelő – a technika állására és végrehajtás költségeire tekintettel – mind az adatfeldolgozás módjának meghatározása, mind a feldolgozás során megfelelő technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen e rendelet követelményeinek, és biztosítsa az érintettek jogainak védelmét. |
(1) Az adatkezelõ és adott esetben az adatfeldolgozó – a technika állására, az aktuális mûszaki ismeretekre, a legjobb nemzetközi gyakorlatokra és az adatfeldolgozásban rejlõ kockázatokra tekintettel – mind az adatfeldolgozás céljának és módjának meghatározása, mind a feldolgozás során megfelelõ és arányos technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen e rendelet követelményeinek, és biztosítsa az érintettek jogainak védelmét, különösen az 5. cikkben megállapított elvek tekintetében. A beépített adatvédelemnek különös figyelmet kell fordítania a személyes adatok teljes életciklusának irányítására az adatgyûjtéstõl a feldolgozáson át az adatok törléséig, szisztematikusan összpontosítva a személyes adatok pontosságára, bizalmas jellegére, integritására, fizikai biztonságára és törlésére vonatkozó átfogó eljárási biztosítékokra. Amennyiben az adatkezelõ a 33. cikk szerinti adatvédelmi hatásvizsgálatot végzett, az eredményeket ezen intézkedések és eljárások kidolgozása során figyelembe kell venni. |
|
(1a) A különbözõ gazdasági szektorokban való széles körû alkalmazás elõmozdítása érdekében a 2004/18/EK európai parlamenti és tanácsi irányelv1 és a 2004/17/EK európai parlamenti és tanácsi irányelv2 (közüzemi irányelv) szerinti közbeszerzési eljárásokban elõfeltétellé kell tenni a beépített adatvédelmet. |
(2) Az adatkezelőnek olyan mechanizmusokat kell végrehajtania, amelyek alapértelmezett módon biztosítják azt, hogy kizárólag a feldolgozás egyes konkrét céljaihoz szükséges személyes adatok kerülnek feldolgozásra, és különösen azt, hogy az adatgyűjtés vagy -tárolás során az adatok mennyisége és az adattárolási időtartam tekintetében sem lépik túl az e célokhoz szükséges legkisebb mértéket . Ezeknek a mechanizmusoknak különösen azt kell biztosítaniuk, hogy a személyes adatok alapértelmezett módon ne váljanak határozatlan számú egyén számára hozzáférhetővé. |
(2) Az adatkezelõnek biztosítania kell, hogy alapértelmezett módon kizárólag a feldolgozás egyes konkrét céljaihoz szükséges személyes adatok kerüljenek feldolgozásra, és különösen azt, hogy az adatgyûjtés, -tárolás vagy -terjesztés során sem az adatok mennyisége, sem az adattárolási idõtartam tekintetében ne lépjék túl az e célokhoz szükséges legkisebb mértéket. Ezeknek a mechanizmusoknak különösen azt kell biztosítaniuk, hogy a személyes adatok alapértelmezett módon ne váljanak határozatlan számú egyén számára hozzáférhetõvé, és hogy az érintettek ellenõrizhessék személyes adataik szétosztását. |
(3) A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti megfelelő intézkedésekre és mechanizmusokra, különösen az ágazatokhoz, termékekhez és szolgáltatásokhoz kapcsolódó beépített adatvédelmi követelményekre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
(4) A Bizottság az (1) és (2) bekezdésben rögzített követelményekre vonatkozó egységes technikai előírásokat állapíthat meg. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
|
1 Az Európai Parlament és a Tanács 2004. március 31-i 2004/18/EK irányelve az építési beruházásra, az árubeszerzésre és a szolgáltatásnyújtásra irányuló közbeszerzési szerzõdések odaítélési eljárásainak összehangolásáról (HL L 134., 2004.4.30., 114. o.) 2 Az Európai Parlament és a Tanács 2004. március 31-i 2004/17/EK irányelve a vízügyi, energiaipari, szállítási és postai szolgáltatási ágazatokban mûködõ vállalkozások beszerzési eljárásainak összehangolásáról (HL L 134., 2004.4.30., 1. o.). |
Módosítás 119 Rendeletre irányuló javaslat 24 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Közös adatkezelők |
Közös adatkezelők |
Amennyiben az adatkezelő másokkal együtt határozza meg a személyes adatok feldolgozásának céljait, feltételeit és módját, a közös adatkezelők egymás között megállapodásban szabályozzák az e rendelet szerinti kötelezettségeknek való megfeleléssel kapcsolatos felelősségüket, különösen az érintett jogainak gyakorlásának vonatkozó eljárások és mechanizmusok tekintetében. |
Amennyiben több adatkezelõ közösen határozza meg a személyes adatok feldolgozásának céljait és módját, a közös adatkezelõk egymás között megállapodásban szabályozzák az e rendelet szerinti kötelezettségeknek való megfeleléssel kapcsolatos felelõsségüket, különösen az érintett jogainak gyakorlásának vonatkozó eljárások és mechanizmusok tekintetében. A megállapodásnak megfelelõen tükröznie kell a közös adatkezelõk érintettekkel szembeni felelõsségi körét és velük való kapcsolatát, és a megállapodás lényegét az érintett rendelkezésére kell bocsátani. Amennyiben a felelõsség nem egyértelmû, az adatkezelõk egyetemlegesen felelõsek. |
Módosítás 120 Rendeletre irányuló javaslat 25 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A nem az Unió területén letelepedett adatkezelõk képviselõi |
A nem az Unió területén letelepedett adatkezelők képviselői |
(1) A 3. cikk (2) bekezdése szerinti helyzetben az adatkezelő uniós képviselőt jelöl ki. |
(1) A 3. cikk (2) bekezdése szerinti helyzetben az adatkezelő uniós képviselőt jelöl ki. |
(2) E kötelezettséget nem kell alkalmazni: |
(2) E kötelezettséget nem kell alkalmazni: |
a) a harmadik országban letelepedett adatkezelőre, ha a Bizottság úgy határozott, hogy a harmadik ország a 41. cikk értelmében megfelelő védelmi szintet biztosít; vagy |
a) a harmadik országban letelepedett adatkezelőre, ha a Bizottság úgy határozott, hogy a harmadik ország a 41. cikk értelmében megfelelő védelmi szintet biztosít; vagy |
b) a 250 főnél kevesebb főt foglalkoztató vállalkozásra; vagy |
b) a bármely egymást követõ 12 hónapból álló idõszak során 5000-nél kevesebb érintettre vonatkozó személyes adatokat feldolgozó és a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriái, a tartózkodási helyre utaló adatok, illetve a gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozását nem folytató adatkezelõre; vagy |
c) állami hatóságra vagy szervre; vagy |
c) állami hatóságra vagy szervre; vagy |
d) az Unióban lakóhellyel rendelkező érintetteknek csak alkalmi jelleggel termékeket és szolgáltatásokat kínáló adatkezelőre. |
d) az érintetteknek az Unióban csak alkalmi jelleggel termékeket és szolgáltatásokat kínáló adatkezelõre, kivéve, ha a személyes adatok feldolgozása a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáit, tartózkodási helyre utaló adatokat, gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatokat érint. |
(3) A képviselőnek azon tagállamok egyikében kell székhellyel/lakóhellyel rendelkeznie, ahol azon érintettek lakóhelye található, akiknek a személyes adatait feldolgozzák a termékek vagy szolgáltatások nyújtása keretében, vagy akiknek a viselkedését nyomon követik. |
(3) A képviselõnek azon tagállamok egyikében kell székhellyel/lakóhellyel rendelkeznie, ahol a termékek vagy szolgáltatások érintettek számára történõ nyújtása vagy az érintettek nyomon követése történik. |
(4) A képviselő adatkezelő általi kijelölése nem érinti a magával az adatkezelővel szembeni keresetindításhoz való jogot. |
(4) A képviselő adatkezelő általi kijelölése nem érinti a magával az adatkezelővel szembeni keresetindításhoz való jogot. |
Módosítás 121 Rendeletre irányuló javaslat 26 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatfeldolgozó |
Az adatfeldolgozó |
(1) Az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelő technikai és szervezési intézkedések és eljárások tekintetében kellő garanciákat nyújt oly módon, hogy a feldolgozás megfelel e rendelet követelményeinek, és biztosítja az érintett jogainak védelmét, különösen az elvégzendő feldolgozást szabályozó technikai biztonsági és szervezési intézkedések tekintetében, továbbá köteles biztosítani az említett intézkedések teljesítését. |
(1) Az adatkezelõ – amennyiben az adatfeldolgozás az õ nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelõ technikai és szervezési intézkedések és eljárások tekintetében kellõ garanciákat nyújt oly módon, hogy a feldolgozás megfelel e rendelet követelményeinek, és biztosítja az érintett jogainak védelmét, különösen az elvégzendõ feldolgozást szabályozó technikai biztonsági és szervezési intézkedések tekintetében, továbbá köteles biztosítani az említett intézkedések teljesítését. |
(2) Az adatfeldolgozó által történő adatfeldolgozást olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában különösen megköveteli, hogy az: |
(2) Az adatfeldolgozó által történő adatfeldolgozást olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti. Az adatkezelõ és az adatfeldolgozó szabadon határozzák meg e rendelet követelményeivel összefüggõ szerepeiket és feladataikat, ugyanakkor biztosítják, hogy az adatfeldolgozó: |
a) kizárólag az adatkezelő utasítása alapján járjon el, különösen, ha tilos a felhasznált személyes adatok továbbítása; |
a) kizárólag az adatkezelõ utasítása alapján dolgozzon fel személyes adatokat, kivéve, ha az Unió vagy a tagállam jogszabályai másként rendelkeznek; |
b) csak olyan személyeket alkalmazzon, akik titoktartási kötelezettséget vállaltak, vagy törvényes titoktartási kötelezettség alatt állnak; |
b) csak olyan személyeket alkalmazzon, akik titoktartási kötelezettséget vállaltak, vagy törvényes titoktartási kötelezettség alatt állnak; |
c) megtegye a 30. cikk szerinti összes szükséges intézkedést; |
c) megtegye a 30. cikk szerinti összes szükséges intézkedést; |
d) másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe; |
d) megállapítja másik adatfeldolgozó kizárólag az adatkezelő előzetes engedélyével történő igénybevételének feltételeit, kivéve, ha ezek megállapítása másként történik; |
e) amennyiben az adatfeldolgozás jellegére tekintettel lehetséges, az adatkezelővel kötött megállapodásban határozza meg az érintett III. fejezet szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolására irányuló adatkezelői kötelezettség teljesítéséhez szükséges technikai és szervezési követelményeket; |
e) amennyiben az adatfeldolgozás jellegére tekintettel lehetséges, az adatkezelõvel kötött megállapodásban határozza meg az érintett III. fejezet szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolására irányuló adatkezelõi kötelezettség teljesítésével összefüggõ megfelelõ és lényeges technikai és szervezési követelményeket; |
f) támogassa az adatkezelőt a 30–34. cikk szerinti kötelezettségek teljesítésében; |
f) támogassa az adatkezelõt a 30–34. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatfeldolgozás jellegét és az adatfeldolgozó rendelkezésére álló információkat; |
g) az adatfeldolgozást követően adja át az összes eredményt az adatkezelőnek, és a személyes adatokat más módon ne dolgozza fel; |
g) az adatfeldolgozást követõen juttassa vissza az összes eredményt az adatkezelõnek, a személyes adatokat más módon ne dolgozza fel, és törölje a meglévõ másolatokat, kivéve, ha uniós vagy tagállami jogszabályok az adatok tárolását írják elõ; |
h) az e cikkben meghatározott kötelezettségek teljesítésének ellenőrzéséhez szükséges minden tájékoztatást tegyen elérhetővé az adatkezelő és a felügyelő hatóság számára. |
h) az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges minden tájékoztatást tegyen elérhetõvé az adatkezelõ számára, és tegye lehetõvé a helyszíni vizsgálatot. |
(3) Az adatkezelő és az adatfeldolgozó írásba foglalja az adatkezelő utasításait és az adatfeldolgozó (2) bekezdés szerinti kötelezettségeit. |
(3) Az adatkezelő és az adatfeldolgozó írásba foglalja az adatkezelő utasításait és az adatfeldolgozó (2) bekezdés szerinti kötelezettségeit. |
|
(3a) Az (1) bekezdésben említett kellõ garanciák az e rendelet 38. vagy 39. cikke szerinti eljárási szabályzatok vagy tanúsítási mechanizmusok betartásával igazolhatók. |
(4) Amennyiben valamely adatfeldolgozó az adatkezelő utasításaitól eltérő módon dolgozza fel a személyes adatokat, az adatfeldolgozó e feldolgozás tekintetében adatkezelőnek minősül, és rá a közös adatkezelőkre vonatkozó, a 24. cikkben rögzített szabályokat kell alkalmazni. |
(4) Amennyiben valamely adatfeldolgozó az adatkezelõ utasításaitól eltérõ módon dolgozza fel a személyes adatokat, vagy az adatfeldolgozás módját és céljait meghatározó féllé válik, az adatfeldolgozó e feldolgozás tekintetében adatkezelõnek minõsül, és rá a közös adatkezelõkre vonatkozó, a 24. cikkben rögzített szabályokat kell alkalmazni. |
(5) A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti adatfeldolgozó felelősségére, kötelezettségeire és feladataira és a személyes adatoknak a vállalkozáscsoporton belül történő feldolgozásának megkönnyítésére, különösen az ellenőrzésre és jelentéstételre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 122 Rendeletre irányuló javaslat 28 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Dokumentáció |
Dokumentáció |
(1) Valamennyi adatkezelő és -feldolgozó, valamint – ha van ilyen – az adatkezelő képviselője dokumentálja a feladatkörébe tartozó összes feldolgozási műveletet. |
(1) Valamennyi adatkezelõ és -feldolgozó az e rendeletben meghatározott követelmények teljesítéséhez szükséges, rendszeresen frissített dokumentációt vezet. |
(2) A dokumentáció legalább az alábbi információt tartalmazza: |
(2) Emellett minden adatkezelõ és -feldolgozó dokumentálja legalább az alábbi információkat: |
a) az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó és – ha van ilyen – a képviselő neve és elérhetősége; |
a) az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó és – ha van ilyen – a képviselő neve és elérhetősége; |
b) az adatvédelmi tisztviselő neve és elérhetősége, ha van ilyen; |
b) az adatvédelmi tisztviselő neve és elérhetősége, ha van ilyen; |
c) az adatfeldolgozás céljai, beleértve az adatkezelő jogos érdekeit, amennyiben a feldolgozás a 6. cikk (1) bekezdésének f) pontján alapul; |
|
d) az érintettek kategóriáinak, valamint a rájuk vonatkozó személyes adatok kategóriáinak ismertetése; |
|
e) a személyes adatok címzettjei vagy címzetti kategóriái, beleértve a jogos érdekre hivatkozással a személyes adatokat megszerző adatkezelőket; |
e) a személyes adatokat megszerzõ adatkezelõk neve és elérhetõsége, ha vannak ilyenek; |
f) adott esetben az adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország és a nemzetközi szervezet azonosítását, valamint a 44. cikk (1) bekezdésének h) pontja szerinti esetekben a megfelelő biztosítékok igazolását; |
|
g) a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározása; |
|
h) a 22. cikk (3) bekezdésében említett mechanizmusok leírása. |
|
(3) Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kérelemre a felügyelő hatóság rendelkezésére bocsátja a dokumentációt. |
|
(4) Az (1) és (2) bekezdésben szereplő kötelezettségek nem vonatkoznak az alábbi adatkezelőkre és adatfeldolgozókra: |
törölve |
a) kereskedelmi érdek nélkül személyes adatokat feldolgozó természetes személyek; vagy |
|
b) a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő tevékenységként dolgoz fel. |
|
(5) A Bizottság felhatalmazást kap arra, hogy – különösen az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselőjének feladataira tekintettel – az (1) bekezdés szerinti dokumentációra vonatkozó szempontok és követelmények további meghatározása érdekében, a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
(6) A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdés szerinti dokumentáció esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 123 Rendeletre irányuló javaslat 29 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kötelezettségei teljesítése során – kérelemre – együttműködik a felügyelő hatósággal különösen azáltal, hogy rendelkezésre bocsátja az 53. cikk (2) bekezdésének a) pontja szerinti információt, és hozzáférést biztosít az említett bekezdés b) pontjának megfelelően. |
(1) Az adatkezelõ és – ha van ilyen – az adatfeldolgozó, valamint az adatkezelõ képviselõje kötelezettségei teljesítése során – kérelemre – együttmûködik a felügyelõ hatósággal különösen azáltal, hogy rendelkezésre bocsátja az 53. cikk (2) bekezdésének a) pontja szerinti információt, és hozzáférést biztosít az említett bekezdés b) pontjának megfelelõen. |
Módosítás 124 Rendeletre irányuló javaslat 30 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatfeldolgozás biztonsága |
Az adatfeldolgozás biztonsága |
(1) Az adatkezelő és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, végrehajtja a megfelelő technikai és szervezési intézkedéseket az adatfeldolgozás kockázatainak és a védendő személyes adatok jellegének megfelelő védelmi szint biztosítása érdekében. |
(1) Az adatkezelõ és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, a 33. cikk szerinti adatvédelmi hatásvizsgálat eredményeit figyelembe véve végrehajtja a megfelelõ technikai és szervezési intézkedéseket az adatfeldolgozás kockázatainak megfelelõ védelmi szint biztosítása érdekében. |
|
(1a) A technológiai fejlődés állására és a végrehajtás költségeire való tekintettel az ilyen biztonsági politika gondoskodik arról, hogy |
|
a) biztosítani lehessen a személyes adatok sértetlenségének igazolását; |
|
b) biztosítani lehessen a személyes adatokat feldolgozó rendszerek és szolgáltatások folyamatos bizalmas jellegét, integritását, elérhetőségét és rugalmasságát; |
|
c) az információs rendszerek és szolgáltatások rendelkezésre állását, integritását és bizalmas jellegét befolyásoló fizikai vagy műszaki probléma esetén kellő időben vissza lehessen állítani az adatok rendelkezésre állását és az azokhoz való hozzáférést; |
|
d) az érzékeny személyes adatok 8. és 9. cikk szerinti feldolgozása esetén további biztonsági intézkedések legyenek érvényben annak érdekében, hogy biztosítható legyen a kockázati helyzetekkel kapcsolatos tudatosság, valamint hogy az adatokra esetlegesen veszélyt jelentő sebezhetőség vagy esemény észlelése esetén szinte azonnal megelőző, korrekciós vagy enyhítő intézkedéseket lehessen hozni; |
|
e) a folyamatos hatékonyság biztosítása érdekében rendszeresen elvégezzék az alkalmazott biztonsági politikák, eljárások és tervek vizsgálatát, értékelését és hatékonyságának felmérését. |
(2) Az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően végrehajtja az (1) bekezdés szerinti intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése elleni védelme, valamint a feldolgozás jogellenes formáinak, különösen a személyes adatok jogosulatlan nyilvánosságra hozatalának, terjesztésének vagy az azokhoz való hozzáférésnek vagy azok megváltoztatásának megelőzése érdekében. |
(2) Az (1) bekezdés szerinti intézkedések legalább |
|
a) biztosítják, hogy a személyes adatokhoz kizárólag a felhatalmazott alkalmazottak és kizárólag törvényesen engedélyezett céllal férhessenek hozzá; |
|
b) védik a tárolt vagy továbbított személyes adatokat azok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése vagy megváltoztatása, engedély nélküli vagy jogellenes tárolása, feldolgozása, közzététele, valamint az azokhoz való engedély nélküli vagy jogellenes hozzáférés ellen; továbbá |
|
c) biztosítják a személyes adatok feldolgozására vonatkozó biztonsági politika végrehajtását. |
(3) A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti technikai és szervezeti intézkedésekre – beleértve a technika állásának meghatározását –, a konkrét ágazatokra és a különleges adatfeldolgozás helyzeteire vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, figyelembe véve különösen a technológiai fejlődést és a beépített és az alapértelmezett adatvédelmi megoldásokat, kivéve ha a (4) bekezdést kell alkalmazni. |
(3) Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) és (2) bekezdés szerinti technikai és szervezeti intézkedésekre – beleértve a technika állásának meghatározását –, a konkrét ágazatokra és a különleges adatfeldolgozás helyzeteire vonatkozóan, figyelembe véve különösen a technológiai fejlõdést és a beépített és az alapértelmezett adatvédelmi megoldásokat. |
(4) A Bizottság a szükséges esetekben végrehajtási jogi aktusok útján pontosan meghatározhatja az (1) és (2) bekezdés szerinti követelményeket a különböző helyzetek, így különösen: |
|
a) a személyes adatokhoz való jogosulatlan hozzáférés megelőzése; |
|
b) a személyes adatok jogosulatlan közlésének, olvasásának, másolásának, módosításának, törlésének vagy eltávolításának megelőzése; |
|
c) a feldolgozási műveletek törvényességi felülvizsgálatának biztosítása tekintetében. |
|
E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
(A bizottsági szöveg (2) bekezdése részben megfelel a Parlament módosításában szereplõ b) pontnak.) | |
Módosítás 125 Rendeletre irányuló javaslat 31 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A felügyelõ hatóság értesítése a személyes adatok megsértésérõl |
A felügyelõ hatóság értesítése a személyes adatok megsértésérõl |
(1) Az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül, amennyiben lehetséges a személyes adatok megsértéséről való tudomásszerzéstől számított 24 órán belül értesíti a felügyelő hatóságot a személyes adatok megsértéséről. A felügyelő hatóság értesítését írásbeli indokolással kell ellátni, amennyiben arra nem 24 órán belül került sor. |
(1) Az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül értesíti arról a felügyelő hatóságot. |
(2) Az adatfeldolgozó a 26. cikk (2) bekezdése f) pontjának megfelelően a személyes adatok megsértésének megállapítását követően azonnal figyelmezteti és tájékoztatja az adatkezelőt. |
(2) Az adatfeldolgozó a személyes adatok megsértésének megállapítását követõen indokolatlan késedelem nélkül figyelmezteti és tájékoztatja az adatkezelõt. |
(3) Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza: |
(3) Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza: |
a) a személyes adatok megsértésének ismertetése, beleértve az érintettek kategóriáit és számát, valamint az érintett adatok kategóriáit és számát; |
a) a személyes adatok megsértésének ismertetése, beleértve az érintettek kategóriáit és számát, valamint az érintett adatok kategóriáit és számát; |
b) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése; |
b) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése; |
c) a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat; |
c) a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat; |
d) a személyes adatok megsértéséből fakadó következmények ismertetése; |
d) a személyes adatok megsértéséből fakadó következmények ismertetése; |
e) az adatkezelő által a személyes adatok megsértésének orvoslására javasolt vagy tett intézkedések ismertetése. |
e) az adatkezelõ által a személyes adatok megsértésének orvoslására vagy hatásának enyhítésére javasolt vagy tett intézkedések ismertetése. A tájékoztatást szükség esetén több szakaszban is meg lehet adni. |
(4) Az adatkezelő dokumentál minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével. E dokumentációnak lehetővé kell tennie a felügyelő hatóság számára az e cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza. |
(4) Az adatkezelő dokumentál minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével. E dokumentációnak elégségesnek kell lennie ahhoz, hogy lehetõvé tegye a felügyelõ hatóság számára az e cikkel és a 30. cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza. |
|
(4a) A felügyelő hatóság nyilvánosan hozzáférhető nyilvántartást vezet a bejelentett jogsértések típusairól. |
(5) A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdésben említett adatsértés megállapítására és az adatkezelő és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(5) Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) és (2) bekezdésben említett adatsértés és indokolatlan késedelem megállapítására, valamint az adatkezelõ és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozóan. |
(6) A Bizottság meghatározhatja a felügyelő hatóságok ilyen értesítésének egységes formanyomtatványait, az értesítési követelmény teljesítése során alkalmazandó eljárásokat, valamint a (4) bekezdés szerinti dokumentáció formáját és szabályait, beleértve az abban tárolt információk törlésére vonatkozó határidőket is. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 126 Rendeletre irányuló javaslat 32 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az érintett értesítése a személyes adatok megsértéséről |
Az érintett értesítése a személyes adatok megsértéséről |
(1) Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak vagy magánéletének védelmét, az adatkezelő a 31. cikk szerinti értesítést követően indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértéséről. |
(1) Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét, az adatkezelõ a 31. cikk szerinti értesítést követõen indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértésérõl. |
(2) Az érintett (1) bekezdés szerinti értesítésének ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 31. cikk (3) bekezdésének b) és c) pontjában előírt tájékoztatást és javaslatokat. |
Az érintett (1) bekezdés szerinti értesítésének átfogónak kell lennie, és egyértelmû és egyszerû nyelvezettel kell készülnie. Ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 31. cikk (3) bekezdésének b), c) és d) pontjában elõírt tájékoztatást és javaslatokat, valamint tájékoztatást kell adnia az érintett – többek között a jogorvoslathoz fûzõdõ – jogairól. |
(3) A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták az adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára. |
(3) A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták az adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára. |
(4) Amennyiben az adatkezelő az érintettet még nem értesítette a személyes adatok megsértéséről, a felügyelő hatóság – az adatkezelő azon kötelezettségének sérelme nélkül, hogy az érintettet a személyes adatok megsértéséről értesítse – az adatsértés esetleges hátrányos hatásait mérlegelve felszólíthatja ennek megtételére. |
(4) Amennyiben az adatkezelő az érintettet még nem értesítette a személyes adatok megsértéséről, a felügyelő hatóság – az adatkezelő azon kötelezettségének sérelme nélkül, hogy az érintettet a személyes adatok megsértéséről értesítse – az adatsértés esetleges hátrányos hatásait mérlegelve felszólíthatja ennek megtételére. |
(5) A Bizottság felhatalmazást kap arra, hogy az személyes adatokat várhatóan hátrányosan érintő, az (1) bekezdés szerinti jogsértés körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a személyes adatokat, a magánéletet, az érintett jogait vagy jogos érdekeit várhatóan hátrányosan érintõ, az (1) bekezdés szerinti jogsértés körülményeire vonatkozóan. |
(6) A Bizottság meghatározhatja az érintett számára nyújtandó, az (1) bekezdés szerinti értesítés formátumát, valamint az említett értesítés alkalmazására vonatkozó eljárásokat. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 127 Rendeletre irányuló javaslat 32 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
32a. cikk |
|
Kockázati elv |
|
(1) Az adatkezelõ vagy adott esetben az adatfeldolgozó elkészíti a tervezett adatfeldolgozásnak az érintettek jogaira és szabadságaira gyakorolt lehetséges hatásainak kockázatelemzését, felmérve, hogy feldolgozási mûveletei valószínûsíthetõen jelent e sajátos kockázatokat. |
|
(2) Valószínûsíthetõen ilyen különleges kockázatot jelentenek a következõ adatfeldolgozási mûveletek: |
|
a) bármely egymást követõ 12 hónapból álló idõszak során több mint 5000 érintett személyes adatainak feldolgozása; |
|
b) a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriái, a tartózkodási helyre utaló adatok, illetve a gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozása; |
|
c) profilalkotás, amelyre az érintett személy tekintetében joghatással bíró vagy az egyént hasonlóan jelentõs mértékben érintõ intézkedések épülnek; |
|
d) egészségügyi ellátás nyújtására, járványügyi kutatásokra vagy mentális vagy fertõzõ betegségekre irányuló felmérésekre vonatkozó személyes adatok feldolgozása, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor; |
|
e) a nyilvánosság számára hozzáférhetõ területek nagyarányú, automatizált nyomon követése; |
|
f) egyéb olyan feldolgozási mûveletek, amelyek vonatkozásában a 34. cikk (2) bekezdésének b) pontja értelmében konzultálni kell az adatvédelmi tisztviselõvel vagy a felügyelõ hatósággal. |
|
g) amennyiben a személyes adatok megsértése várhatóan hátrányosan érintené az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét; |
|
h) az adatkezelõ vagy -feldolgozó fõ tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerû nyomon követését igénylik. |
|
i) amennyiben a személyes adatokat olyan jelentõs számú személy számára teszik hozzáférhetõvé, amely ésszerûen elvárható módon nem korlátozható. |
|
(3) Amennyiben a kockázatelemzés eredményei alapján: |
|
a) a (2) bekezdés a) vagy b) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az Unión kívüli székhellyel rendelkezõ adatkezelõknek a 25. cikkben foglalt követelményekkel és mentességekkel összhangban ki kell jelölniük egy Unióban letelepedett képviselõt; |
|
b) a (2) bekezdés a), b) vagy h) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az adatkezelõnek a 35. cikkben foglalt követelményekkel és mentességekkel összhangban ki kell jelölnie egy adatvédelmi tisztviselõt; |
|
c) a (2) bekezdés a), b), c), d), e), f), g) vagy h) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az adatkezelõnek vagy az adatkezelõ nevében eljáró adatfeldolgozónak el kell végeznie a 33. cikk szerinti adatvédelmi hatásvizsgálatot; |
|
d) a (2) bekezdés f) pontjában említett adatfeldolgozási mûvelet áll fenn, az adatkezelõnek a 34. cikk szerint konzultálnia kell az adatvédelmi tisztviselõvel vagy – amennyiben adatvédelmi tisztviselõ kinevezésére nem került sor – a felügyelõ hatósággal. |
|
(4) A kockázatelemzést elvégzése után legkésőbb egy évvel vagy azonnal felül kell vizsgálni, ha az adatfeldolgozási műveletek jellegében, alkalmazási körében vagy rendeltetésében jelentős változás történik. Amennyiben a (3) bekezdés c) pontja alapján az adatkezelõ nem köteles adatvédelmi hatásvizsgálatot készíteni, a kockázatelemzést dokumentálni kell. |
Módosítás 128 Rendeletre irányuló javaslat 4 fejezet – 3 szakasz – cím | |
A Bizottság által javasolt szöveg |
Módosítás |
ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES ENGEDÉLYEZÉS |
AZ ADATKEZELÉS TELJES IDÕTARTAMÁRA KITERJEDÕ ADATVÉDELMI IRÁNYÍTÁS |
Módosítás 129 Rendeletre irányuló javaslat 33 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Adatvédelmi hatásvizsgálat |
Adatvédelmi hatásvizsgálat |
(1) Amennyiben az adatfeldolgozási műveletek jellegük, alkalmazási területük vagy céljaik tekintetében különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó elvégzi e tervezett adatfeldolgozási műveletek személyes adatok védelme tekintetében várható hatásának vizsgálatát. |
(1) Amennyiben a 32a. cikk (3) bekezdésének c) pontja alapján szükséges, az adatkezelõ vagy az adatkezelõ nevében eljáró adatfeldolgozó elvégzi a tervezett adatfeldolgozási mûveleteknek az érintettek jogai és szabadságai, különösen a személyes adatok védelméhez való joguk tekintetében várható hatásának vizsgálatát. Hasonló kockázatokat jelentõ hasonló adatfeldolgozási mûveletek esetében elegendõ egyetlen hatásvizsgálatot elvégezni. |
(2) Az (1) bekezdés szerinti különleges kockázatokat különösen a következő feldolgozási műveletek jelentik: |
|
a) a természetes személyre vonatkozó egyes személyes szempontok olyan módszeres és átfogó értékelése vagy különösen a természetes személy gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének olyan elemzése vagy előrejelzése, amelyre automatizált feldolgozáson alapul, és amelyre az érintett személy tekintetében joghatással bíró vagy az egyént jelentős mértékben érintő intézkedések épülnek; |
|
b) a szexuális életre, egészségre, fajra vagy etnikai származásra vagy az egészségügyi ellátás nyújtására, járványügyi kutatásokra vagy mentális vagy fertőző betegségekre irányuló felmérésekre vonatkozó információk, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor; |
|
c) a nyilvánosság számára hozzáférhető területek nyomon követése, különösen optikai-elektronikus eszközök nagyarányú alkalmazásával (videomegfigyelés); |
|
d) a gyermekekre, genetikus vagy biometrikus adatokra vonatkozó széleskörű nyilvántartási rendszerekben tárolt személyes adatok; |
|
e) egyéb olyan feldolgozási műveletek, amelyek vonatkozásában a 34. cikk (2) bekezdésének b) pontja értelmében konzultálni kell a felügyelő hatósággal. |
|
(3) A vizsgálat legalább a tervezett adatfeldolgozási műveletek általános leírását, az érintettek jogaira és szabadságaira vonatkozó kockázatok vizsgálatát, a kockázatok kezelésére tervezett intézkedéseket, a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló biztosítékokat, biztonsági intézkedéseket és mechanizmusokat tartalmazza, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit. |
(3) A vizsgálat a személyes adatok kezelésének teljes időtartamára ki kell, hogy terjedjen, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig. A hatásvizsgálatnak legalább a következõket tartalmaznia kell: |
|
a) a tervezett adatfeldolgozási mûveletek rendszeres leírását, a feldolgozás céljait és adott esetben az adatkezelõ által érvényesíteni kívánt jogos érdeket; |
|
b) az adatfeldolgozási mûveletek célokhoz viszonyított szükségességének és arányosságának vizsgálatát; |
|
c) az érintettek jogaira és szabadságaira vonatkozó kockázatok – köztük a hátrányos megkülönböztetés mûveletbe való beágyazásának vagy a mûvelet általi felerõsítésének kockázata – vizsgálatát; |
|
d) a kockázatok kezelésére, valamint a feldolgozott személyes adatok mennyiségének minimalizálására tervezett intézkedések leírását; |
|
e) a személyes adatok védelmét – például álnevesítés útján – és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevõ biztosítékok, biztonsági intézkedések és mechanizmusok felsorolását; |
|
f) a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározását; |
|
h) magyarázatot arról, hogy mely 23. cikk szerinti beépített és alapértelmezett adatvédelemi gyakorlatokat hajtották végre; |
|
i) a személyes adatok címzettjeinek, illetve a címzettek kategóriáinak felsorolását; |
|
j) adott esetben a harmadik országba vagy nemzetközi szervezet részére továbbítani tervezett adatok felsorolását, beleértve az adott harmadik ország vagy nemzetközi szervezet megnevezését, valamint a 44. cikk (1) bekezdésének h) pontja szerinti esetekben a megfelelõ biztosítékok igazolását; |
|
k) az adatfeldolgozás kereteinek vizsgálatát. |
|
(3a) Amennyiben az adatkezelõ vagy adatfeldolgozó adatvédelmi tisztviselõt jelölt ki, annak részt kell vennie a hatásvizsgálati eljárásban. |
|
(3b) A vizsgálatot dokumentálják, és a 33a. cikk (1) bekezdése értelmében rendszeres időszakos adatvédelmi megfelelőségi felülvizsgálatokat tartalmazó ütemtervet írnak elő. A vizsgálatot indokolatlan késedelem nélkül frissíteni kell, amennyiben a 33a. cikk alapján végzett adatvédelmi megfelelőségi felülvizsgálat eredményei megfelelőségi ellentmondásokat mutatnak. Az adatkezelõ és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelõ képviselõje kérelemre a felügyelõ hatóság rendelkezésére bocsátja a vizsgálatot. |
(4) Az adatkezelő a kereskedelmi érdekek vagy a közérdek védelme vagy a feldolgozási műveletek biztonságának sérelme nélkül kikéri az érintettek vagy képviselőik véleményét a tervezett adatfeldolgozásról. |
|
(5) Amennyiben az adatkezelő hatóság vagy szerv, és a feldolgozás a feldolgozási műveletek szabályairól és eljárásairól rendelkező 6. cikk (1) bekezdésének c) pontja szerinti jogi kötelezettségből következik, és azt az uniós jog szabályozza, az (1)–(4) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok szükségesnek tartják ilyen hatásvizsgálat elvégzését a feldolgozási tevékenységet megelőzően. |
|
(6) A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti, valószínűleg különleges kockázatokat jelentő feldolgozási műveletekre és a (3) bekezdés szerinti vizsgálat követelményeire – köztük a méretezhetőség, a felülvizsgálat és az ellenőrizhetőség követelményére – vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében |
|
(7) A Bizottság meghatározhatja a (3) bekezdés szerinti vizsgálat elvégzésére, felülvizsgálatára és ellenőrzésére vonatkozó egységes előírásokat és eljárásokat. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
(A bizottsági szöveg (3) bekezdésének egy része a Parlament módosításában a), c), d) és e) pontként szerepel.) | |
Módosítás 130 Rendeletre irányuló javaslat 33 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
33a. cikk |
|
Adatvédelmi megfelelõségi felülvizsgálat |
|
(1) Legkésõbb két évvel a 33. cikk (1) bekezdése szerint elvégzett hatásvizsgálatot követõen az adatkezelõ vagy az adatkezelõ nevében eljáró adatfeldolgozó megfelelõségi felülvizsgálatot végez. A megfelelõségi felülvizsgálatnak igazolnia kell, hogy a személyes adatok feldolgozása az adatvédelmi hatásvizsgálatnak megfelelõen történt. |
|
(2) A megfelelõségi felülvizsgálatot idõszakosan, legalább kétévente el kell végezni, illetve azonnali hatállyal, amennyiben az adatfeldolgozási mûveletekhez kapcsolódó meghatározott kockázatokban változás áll be. |
|
(3) Amennyiben a megfelelőségi felülvizsgálat eredményei megfelelőségi ellentmondásokat mutatnak, a megfelelőségi felülvizsgálatnak ajánlásokat kell tennie a teljes mértékű megfelelés elérésének módjára. |
|
(4) A megfelelőségi felülvizsgálatot, illetve annak javaslatait dokumentálják. Az adatkezelõ és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelõ képviselõje kérelemre a felügyelõ hatóság rendelkezésére bocsátja a megfelelõségi felülvizsgálatot. |
|
(5) Amennyiben az adatkezelõ vagy adatfeldolgozó adatvédelmi tisztviselõt jelölt ki, annak részt kell vennie a megfelelõségi felülvizsgálati eljárásban. |
Módosítás 131 Rendeletre irányuló javaslat 34 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Előzetes engedélyezés és előzetes konzultáció |
Előzetes konzultáció |
(1) A tervezett feldolgozás e rendelettel való összhangjának biztosítása érdekében a személyes adatok feldolgozását megelőzően az adatkezelő vagy az adatfeldolgozó kéri a felügyelő hatóság engedélyét, különösen az érintettekre vonatkozó kockázatok csökkentése érdekében, ha az adatkezelő vagy az adatfeldolgozó a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeket alkalmaz, vagy a 42. cikk (5) bekezdésnek megfelelően nem nyújt megfelelő biztosítékokat egy jogilag kötelező eszközben a személyes adatok harmadik országokba vagy valamely nemzetközi szervezet részére történő továbbítása esetén. |
|
(2) Az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó a tervezett adatfeldolgozás és az e rendelet közötti összhang biztosítása, valamint különösen az érintettekre vonatkozó kockázatok csökkentése érdekében a személyes adatok feldolgozását megelőzően konzultál a felügyelő hatósággal, amennyiben: |
(2) Az adatkezelõ vagy az adatkezelõ nevében eljáró adatfeldolgozó a tervezett adatfeldolgozás és az e rendelet közötti összhang biztosítása, valamint különösen az érintettekre vonatkozó kockázatok csökkentése érdekében a személyes adatok feldolgozását megelõzõen konzultál az adatvédelmi tisztviselõvel, vagy – amennyiben nem került sor adatvédelmi tisztviselõ kinevezésére – a felügyelõ hatósággal, amennyiben: |
a) a 33. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a feldolgozási műveletek jellegüknél, alkalmazási területüknél vagy céljaiknál fogva várhatóan magas szintű különleges kockázatot jelentenek; vagy |
a) a 33. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a feldolgozási műveletek jellegüknél, alkalmazási területüknél vagy céljaiknál fogva várhatóan magas szintű különleges kockázatot jelentenek; vagy |
b) a felügyelő hatóság szükségesnek tartja az olyan – a (4) bekezdés szerint meghatározott – adatfeldolgozási műveletekről szóló előzetes konzultációt, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva valószínűleg különleges kockázatot jelentenek az érintettek jogai és szabadságai tekintetében. |
b) az adatvédelmi tisztviselő, vagy a felügyelő hatóság szükségesnek tartja az olyan – a (4) bekezdés szerint meghatározott – adatfeldolgozási műveletekről szóló előzetes konzultációt, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva valószínűleg különleges kockázatot jelentenek az érintettek jogai és szabadságai tekintetében. |
(3) Amennyiben a felügyelő hatóság véleménye szerint a tervezett adatfeldolgozás nem áll összhangban e rendelettel, különösen, ha a kockázatokat elégtelen módon azonosították vagy csökkentették, megtiltja a tervezett adatfeldolgozást, és megfelelő javaslatot tesz az összhang helyreállítására. |
(3) Amennyiben az illetékes felügyelő hatóság jogkörével összhangban úgy határoz, hogy a tervezett adatfeldolgozás nem áll összhangban e rendelettel, különösen, ha a kockázatokat elégtelen módon azonosították vagy csökkentették, megtiltja a tervezett adatfeldolgozást, és megfelelő javaslatot tesz az összhang helyreállítására. |
(4) A felügyelő hatóság megállapítja és nyilvánosságra hozza a (2) bekezdés b) pontja szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét. A felügyelő hatóság az említett jegyzéket közli az Európai Adatvédelmi Testülettel is. |
(4) Az Európai Adatvédelmi Testület megállapítja és nyilvánosságra hozza a (2) bekezdés szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét. |
(5) Amennyiben a (4) bekezdés szerinti jegyzék olyan feldolgozási tevékenységeket foglal magában, amelyek termékek és szolgáltatások több tagállam érintettjei számára történő nyújtásához vagy viselkedésük nyomon követéséhez kapcsolódik, vagy lényeges hatással járhat a személyes adatok Unión belüli szabad áramlására, a felügyelő hatóság a jegyzék elfogadását megelőzően alkalmazza az 57. cikk szerinti egységességi mechanizmust. |
|
(6) Az adatkezelő vagy -feldolgozó a felügyelő hatóság rendelkezésére bocsátja a 33. cikk által előírt adatvédelmi hatásvizsgálatot, valamint – kérelemre – az összes olyan egyéb információt, amely lehetővé teszi a felügyelő hatóság számára az adatfeldolgozás, valamint elsősorban az érintett személyes adatainak védelméhez fűződő kockázatok és a kapcsolódó biztosítékok közötti összhang vizsgálatát. |
(6) Az adatkezelõ vagy -feldolgozó – kérelemre – a felügyelõ hatóság rendelkezésére bocsátja a 33. cikk szerinti adatvédelmi hatásvizsgálatot, valamint – kérelemre – az összes olyan egyéb információt, amely lehetõvé teszi a felügyelõ hatóság számára az adatfeldolgozás, valamint elsõsorban az érintett személyes adatainak védelméhez fûzõdõ kockázatok és a kapcsolódó biztosítékok közötti összhang vizsgálatát. |
7. A tervezett adatfeldolgozás e rendelettel való összhangjának biztosítása és különösen az érintettekhez kapcsolódó kockázatok csökkentése érdekében a tagállamok konzultálnak a felügyelő hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedés előkészítése vagy az adatfeldolgozás jellegét meghatározó ilyen jogalkotási intézkedésen alapuló intézkedés előkészítése során. |
7. A tervezett adatfeldolgozás e rendelettel való összhangjának biztosítása és különösen az érintettekhez kapcsolódó kockázatok csökkentése érdekében a tagállamok konzultálnak a felügyelő hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedés előkészítése vagy az adatfeldolgozás jellegét meghatározó ilyen jogalkotási intézkedésen alapuló intézkedés előkészítése során. |
8. A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés a) pontja szerinti különleges kockázatok magas szintjének meghatározására vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
9. A Bizottság egységes formanyomtatványokat és eljárásokat állapíthat meg az (1) és (2) bekezdés szerinti előzetes engedélyek és konzultációk, valamint a felügyelő hatóságok (6) bekezdés szerinti tájékoztatása esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
Módosítás 132 Rendeletre irányuló javaslat 35 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatvédelmi tisztviselő kijelölése |
Az adatvédelmi tisztviselő kijelölése |
(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: |
(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: |
a) a feldolgozást hatóság vagy állami szerv végzi; vagy |
a) a feldolgozást hatóság vagy állami szerv végzi; vagy |
b) a feldolgozást legalább 250 alkalmazottat foglalkoztató vállalkozás végzi; vagy |
b) a feldolgozást jogi személy végzi, és az bármely egymást követõ 12 hónapból álló idõszak során 5000-nél kevesebb érintettre vonatkozik; vagy |
c) az adatkezelő vagy -feldolgozó fő tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű nyomon követését igénylik. |
c) az adatkezelõ vagy -feldolgozó fõ tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerû nyomon követését igénylik; vagy |
|
d) az adatkezelõ vagy -feldolgozó alapvetõ feladatai az adatok 9. cikk (1) bekezdése szerinti különleges kategóriái, tartózkodási helyre utaló adatok, illetve gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozását foglalják magukban. |
(2) Az (1) bekezdés b) pontja szerinti esetben a vállalkozások társulásai egy adatvédelmi tisztviselőt jelölhetnek ki. |
(2) A vállalkozások társulásai kijelölhetnek egy fõ felelõsséget viselõ adatvédelmi tisztviselõt, amennyiben gondoskodnak arról, hogy minden telephely számára rendelkezésre álljon egy könnyen elérhetõ adatvédelmi tisztviselõ. |
(3) Amennyiben az adatkezelő vagy az adatfeldolgozó hatóság vagy állami szerv, az adatvédelmi tisztviselő több ilyen jogalany számára is kijelölhető, figyelemmel a hatóság vagy állami szerv szervezeti felépítésére. |
(3) Amennyiben az adatkezelő vagy az adatfeldolgozó hatóság vagy állami szerv, az adatvédelmi tisztviselő több ilyen jogalany számára is kijelölhető, figyelemmel a hatóság vagy állami szerv szervezeti felépítésére. |
(4) Az (1) bekezdés szerintiektől eltérő esetekben az adatkezelő vagy -feldolgozó vagy az adatkezelők vagy -feldolgozók kategóriáit képviselő egyesületek és más szervek adatvédelmi tisztviselőt jelölhetnek ki. |
(4) Az (1) bekezdés szerintiektől eltérő esetekben az adatkezelő vagy -feldolgozó vagy az adatkezelők vagy -feldolgozók kategóriáit képviselő egyesületek és más szervek adatvédelmi tisztviselőt jelölhetnek ki. |
(5) Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 37. cikkben említett feladatok ellátására való alkalmasság alapján jelöli ki. A szakértői ismeretek szükséges szintjét kifejezetten az adatkezelő vagy -feldolgozó által végzett adatfeldolgozás, valamint az általuk feldolgozott személyes adatok tekintetében megkövetelt védelem határozza meg. |
(5) Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 37. cikkben említett feladatok ellátására való alkalmasság alapján jelöli ki. A szakértői ismeretek szükséges szintjét kifejezetten az adatkezelő vagy -feldolgozó által végzett adatfeldolgozás, valamint az általuk feldolgozott személyes adatok tekintetében megkövetelt védelem határozza meg. |
(6) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő minden egyéb szakmai kötelezettsége összeegyeztethető legyen az adott személy adatvédelmi tisztviselőként ellátandó feladataival és kötelezettségeivel, és nem eredményez összeférhetetlenséget. |
(6) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő minden egyéb szakmai kötelezettsége összeegyeztethető legyen az adott személy adatvédelmi tisztviselőként ellátandó feladataival és kötelezettségeivel, és nem eredményez összeférhetetlenséget. |
(7) Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább 2 éves időtartamra jelöli ki. Az adatvédelmi tisztviselő további időtartamra ismételten kijelölhető. Az adatvédelmi tisztviselőt hivatali ideje alatt csak akkor lehet felmenteni, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek. |
(7) Az adatkezelõ vagy -feldolgozó az adatvédelmi tisztviselõt alkalmazott esetében legalább négy, külsõ szolgáltató esetében legalább két éves idõtartamra jelöli ki. Az adatvédelmi tisztviselõ további idõtartamra ismételten kijelölhetõ. Az adatvédelmi tisztviselõt hivatali ideje alatt csak akkor lehet felmenteni, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek. |
(8) Az adatvédelmi tisztviselő az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait. |
(8) Az adatvédelmi tisztviselő az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait. |
(9) Az adatkezelő vagy -feldolgozó közli az adatvédelmi tisztviselő nevét és elérhetőségét a felügyelő hatósággal és a nyilvánossággal. |
(9) Az adatkezelő vagy -feldolgozó közli az adatvédelmi tisztviselő nevét és elérhetőségét a felügyelő hatósággal és a nyilvánossággal. |
(10) Az érintettek az adataik feldolgozásához kapcsolódó valamennyi ügyben jogosultak kapcsolatba lépni az adatvédelmi tisztviselővel, és az e rendelet szerinti jogok gyakorlását kérni. |
(10) Az érintettek az adataik feldolgozásához kapcsolódó valamennyi ügyben jogosultak kapcsolatba lépni az adatvédelmi tisztviselővel, és az e rendelet szerinti jogok gyakorlását kérni. |
(11) A Bizottság felhatalmazást kap arra, hogy az adatkezelő vagy -feldolgozó (1) bekezdés c) pontja szerinti fő tevékenységeire vonatkozó szempontok és követelmények, valamint az (5) bekezdés szerinti adatvédelmi tisztviselő szakképzettségével kapcsolatos feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 133 Rendeletre irányuló javaslat 36 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatvédelmi tisztviselõ jogállása |
Az adatvédelmi tisztviselő jogállása |
(1) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelően és időben bekapcsolódjon. |
(1) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelően és időben bekapcsolódjon. |
(2) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatokat és kötelezettségeket függetlenül látja el, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy -feldolgozó vezetésének tesz jelentést. |
(2) Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatokat és kötelezettségeket függetlenül látja el, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy -feldolgozó felső vezetésének tesz jelentést. Az adatkezelõ vagy adatfeldolgozó e célra kijelöli a felsõ vezetés egy tagját, aki felelõsséget visel az e rendeletben foglalt rendelkezéseknek való megfelelésért. |
(3) Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt támogatja feladatai ellátásában, és biztosítja számára a 37. cikk szerinti feladatok és kötelezettségek végrehajtásához szükséges személyzetet, helyiségeket, felszerelést és egyéb forrásokat. |
(3) Az adatkezelõ vagy -feldolgozó az adatvédelmi tisztviselõt támogatja feladatai ellátásában, és biztosítja számára a 37. cikk szerinti feladatok és kötelezettségek végrehajtásához, valamint szakmai ismereteinek fenntartásához szükséges valamennyi eszközt, többek között személyzetet, helyiségeket, felszerelést és egyéb forrásokat. |
|
(4) Az adatvédelmi tisztviselőket titoktartás köti az érintettek személyazonosságával és az érintettek személyazonosságának meghatározásával kapcsolatos körülmények tekintetében, kivéve ha e kötelezettség alól őket az érintett mentesíti. |
Módosítás 134 Rendeletre irányuló javaslat 37 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az adatvédelmi tisztviselő feladatai |
Az adatvédelmi tisztviselő feladatai |
(1) Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg: |
Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg: |
a) az adatkezelő vagy -feldolgozó részére e rendeletnek megfelelő kötelezettségekkel kapcsolatos tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása; |
a) az adatkezelő vagy -feldolgozó részére különösen a technikai és szervezeti intézkedések és eljárások tekintetében az e rendeletnek megfelelő kötelezettségekkel kapcsolatos figyelemfelhívás, tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása; |
b) a személyes adatok védelmével kapcsolatos adatkezelői vagy -feldolgozói politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben résztvevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is; |
b) a személyes adatok védelmével kapcsolatos adatkezelői vagy -feldolgozói politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben résztvevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is; |
c) e rendelet végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az e rendelet szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében; |
c) e rendelet végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az e rendelet szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében; |
d) a 28. cikk szerinti dokumentálás biztosítása; |
d) a 28. cikk szerinti dokumentálás biztosítása; |
e) a személyes adatok megsértéséről szóló, a 31. és 32. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése; |
e) a személyes adatok megsértéséről szóló, a 31. és 32. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése; |
f) az adatkezelő vagy -feldolgozó által végzett adatvédelmi hatásvizsgálat és – szükség esetén – a 33. és 34. cikk szerinti előzetes engedélyezés vagy előzetes konzultáció alkalmazásának ellenőrzése; |
f) az adatkezelő vagy -feldolgozó által végzett adatvédelmi hatásvizsgálat és – szükség esetén – a 32a., 33. és 34. cikk szerinti előzetes konzultáció alkalmazásának ellenőrzése; |
g) a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy az adatvédelmi tisztviselő saját kezdeményezésre – történő együttműködés; |
g) a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy az adatvédelmi tisztviselő saját kezdeményezésre – történő együttműködés; |
h) az adatfeldolgozással kapcsolatos ügyekben kapcsolattartás a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció. |
h) az adatfeldolgozással kapcsolatos ügyekben kapcsolattartás a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció. |
|
i) a rendeletnek a 34. cikkben megállapított előzetes konzultációs mechanizmus tekintetében való betartásának ellenőrzése; |
|
j) a munkavállalók képviselőinek tájékoztatása a munkavállalók adatainak feldolgozásáról. |
(2) A Bizottság felhatalmazást kap arra, hogy az adatvédelmi tisztviselő (1) bekezdés szerinti feladataira, képesítésére, jogállására, hatáskörére és forrásaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 135 Rendeletre irányuló javaslat 38 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Eljárási szabályzatok |
Eljárási szabályzatok |
(1) A tagállamok, a felügyelő hatóságok és a Bizottság ösztönzik az e rendelet helyes végrehajtásának elősegítésére szánt eljárási szabályzatok kidolgozását, figyelembe véve a különböző adatfeldolgozási ágazatok egyedi jellemzőit, különösen az alábbiak tekintetében: |
(1) A tagállamok, a felügyelő hatóságok és a Bizottság ösztönzik az e rendelet helyes végrehajtásának elősegítésére szánt eljárási szabályzatok kidolgozását vagy a felügyelő hatóság által kidolgozott eljárási szabályzatok elfogadását, figyelembe véve a különböző adatfeldolgozási ágazatok egyedi jellemzőit, különösen az alábbiak tekintetében: |
a) tisztességes és átlátható adatfeldolgozás; |
a) tisztességes és átlátható adatfeldolgozás; |
|
(aa) a fogyasztók jogainak tiszteletben tartása; |
b) az adatgyűjtés; |
b) az adatgyűjtés; |
c) a nyilvánosság és az érintettek tájékoztatása; |
c) a nyilvánosság és az érintettek tájékoztatása; |
d) az érintettek jogainak gyakorlása során előterjesztett kérelmek; |
d) az érintettek jogainak gyakorlása során előterjesztett kérelmek; |
e) a gyermekek tájékoztatása és védelme; |
e) a gyermekek tájékoztatása és védelme; |
f) harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítás; |
f) harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítás; |
g) az adatkezelőre vonatkozó szabályzatokkal való összhang nyomon követésére és biztosítására irányuló mechanizmusok; |
g) az adatkezelőre vonatkozó szabályzatokkal való összhang nyomon követésére és biztosítására irányuló mechanizmusok; |
h) a személyes adatok vonatkozásában az adatkezelő és az érintettek közötti érdekellentétek megoldására irányuló peren kívüli eljárások és egyéb jogvita-rendezési eljárások, az érintettek 73. és 75. cikk szerinti jogainak sérelme nélkül. |
h) a személyes adatok vonatkozásában az adatkezelő és az érintettek közötti érdekellentétek megoldására irányuló peren kívüli eljárások és egyéb jogvita-rendezési eljárások, az érintettek 73. és 75. cikk szerinti jogainak sérelme nélkül. |
(2) Az eljárási szabályzatokat létrehozni vagy meglévő eljárási szabályzatokat módosítani szándékozó, az adatkezelők vagy -feldolgozók kategóriáit a tagállamok egyikében képviselő szövetségek vagy egyéb szervek véleményezésre előterjeszthetik azokat e tagállam felügyelő hatóságához. A felügyelő hatóság véleményt adhat az eljárási szabályzat tervezetének vagy módosításának e rendelettel való összhangjáról. A felügyelő hatóság kikéri az érintettek vagy képviselőik e tervezetekkel kapcsolatos véleményét. |
(2) Az eljárási szabályzatokat létrehozni vagy meglévő eljárási szabályzatokat módosítani szándékozó, az adatkezelők vagy -feldolgozók kategóriáit a tagállamok egyikében képviselő szövetségek vagy egyéb szervek véleményezésre előterjeszthetik azokat e tagállam felügyelő hatóságához. A felügyelő hatóság haladéktalanul véleményt ad az eljárási szabályzat tervezete vagy a módosítás szerinti feldolgozás e rendelettel való összhangjáról. A felügyelő hatóság kikéri az érintettek vagy képviselőik e tervezetekkel kapcsolatos véleményét. |
(3) Az adatkezelők kategóriáit több tagállamban képviselő szövetségek vagy egyéb szervek a Bizottság elé terjeszthetik eljárási szabályzatok tervezeteit és a létező eljárási szabályzatok módosításait vagy bővítéseit. |
(3) Az adatkezelők vagy -feldolgozók kategóriáit több tagállamban képviselő szövetségek vagy egyéb szervek a Bizottság elé terjeszthetik eljárási szabályzatok tervezeteit és a létező eljárási szabályzatok módosításait vagy bővítéseit. |
(4) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá a (3) bekezdés szerint előterjesztett eljárási szabályzatok és a létező eljárási szabályzatok módosításai vagy bővítése általános érvénnyel bírnak az Unió területén. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. |
(4) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követően – felhatalmazáson alapuló jogi aktusokat fogadjon el a 86. cikkel összhangban annak eldöntésére vonatkozóan, hogy a hozzá a (3) bekezdés szerint előterjesztett eljárási szabályzatok és a létező eljárási szabályzatok módosításai vagy bővítése összhangban vannak-e ezzel a rendelettel, valamint hogy általános érvénnyel bírnak-e az Unió területén. E felhatalmazáson alapuló jogi aktusok érvényesíthető jogokkal ruházzák fel az érintetteket. |
(5) A Bizottság gondoskodik a (4) bekezdés szerint általánosan érvényesként elismert szabályzatok megfelelő nyilvánosságáról. |
(5) A Bizottság gondoskodik a (4) bekezdés szerint általánosan érvényesként elismert szabályzatok megfelelő nyilvánosságáról. |
Módosítás 136 Rendeletre irányuló javaslat 39 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Tanúsítás |
Tanúsítás |
(1) A tagállamok, valamint a Bizottság – különösen európai szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok és adatvédelmi címkék és jelzők létrehozását, amelyek segítségével az érintettek gyorsan fel tudják mérni az adatkezelő és az adatfeldolgozó által biztosított adatvédelem szintjét. Az adatvédelmi tanúsítási mechanizmusok hozzájárulnak e rendelet helyes alkalmazásához, figyelembe véve a különböző ágazatok és a különböző feldolgozási műveletek sajátos jellemzőit. |
|
|
(1a) Bármely adatkezelő vagy adatfeldolgozó ésszerű, az adminisztratív költségeket figyelembe vevő díj ellenében bármely uniós felügyelő hatóságot felkérheti annak tanúsítására, hogy a személyes adatok feldolgozása e rendeletnek, különösen az 5., 23. és 30. cikkben foglalt elveknek, az adatkezelő és az adatfeldolgozó kötelezettségeinek és az érintettek jogainak megfelelően történik. |
|
(1b) A tanúsításnak önkéntesnek, megfizethetőnek, valamint – egy átlátható és indokolatlanul nagy terhekkel nem járó eljáráson keresztül – hozzáférhetőnek kell lennie. |
|
(1c) A felügyelő hatóságok és az Európai Adatvédelmi Testület az 57. cikk szerinti egységességi mechanizmus keretében együttműködnek egy összehangolt – többek között az Unión belül harmonizált díjakkal működő – adatvédelmi tanúsítási mechanizmus biztosítása érdekében. |
|
(1d) A tanúsítási eljárás során a felügyelő hatóság erre szakosodott, harmadik félként eljáró ellenőröket akkreditálhat arra, hogy nevében elvégezze az adatkezelő vagy adatfeldolgozó auditálását. A harmadik félként eljáró ellenőröknek megfelelően képzett személyzettel kell rendelkezniük, pártatlannak és feladataik tekintetében minden összeférhetetlenségtől mentesnek kell lenniük. Amennyiben okkal feltételezhető, hogy az ellenőr feladatát nem végzi el megfelelően, a felügyelő hatóság visszavonja az akkreditációt. A végleges tanúsítást a felügyelő hatóság végzi el. |
|
(1e) Az audit által tanúsított módon e rendeletnek megfelelő adatkezelőknek és adatfeldolgozóknak a felügyelő hatóságok megadják az „európai adatvédelmi címke” elnevezésű szabványos adatvédelmi jelzést. |
|
(1f) Az „európai adatvédelmi címke” mindaddig érvényes, amíg a tanúsított adatkezelő vagy adatfeldolgozó adatfeldolgozási műveletei maradéktalanul megfelelnek e rendeletnek. |
|
(1g) Az (1f) bekezdés ellenére a tanúsítvány legfeljebb öt évig érvényes. |
|
(1h) Az Európai Adatvédelmi Testület létrehoz egy nyilvános elektronikus nyilvántartást, amelyben a tagállamokban kibocsátott valamennyi érvényes és érvénytelen tanúsítvány nyilvánosan megtekinthető. |
|
(1i) Az Európai Adatvédelmi Testület saját kezdeményezésére tanúsíthatja, hogy valamely adatvédelmet fokozó műszaki szabvány megfelel e rendeletnek. |
(2) A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó szempontok és követelmények – beleértve az odaítélés és a megvonás feltételeire, valamint az Unión belül és harmadik országokban való elismerés követelményeire vonatkozó feltételeket is – további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(2) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését és az érdekelt felekkel, különösen az iparággal és a nem kormányzati szervezetekkel folytatott konzultációt követően – az (1a)–(1h) bekezdés szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó szempontok és követelmények – beleértve az odaítélés és a megvonás feltételeire, valamint az Unión belül és harmadik országokban való elismerés és előmozdítás követelményeire vonatkozó feltételeket is – további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. E felhatalmazáson alapuló jogi aktusok érvényesíthető jogokkal ruházzák fel az érintetteket. |
(3) A Bizottság meghatározhatja a tanúsítási mechanizmusok és az adatvédelmi címkék és jelzők technikai szabványait, valamint a tanúsítási mechanizmusokat és az adatvédelmi címkéket és jelzőket ösztönző és elismerő mechanizmusokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. |
|
Módosítás 137 Rendeletre irányuló javaslat 41 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Adattovábbítás megfelelőségi határozat alapján |
Adattovábbítás megfelelőségi határozat alapján |
(1) Akkor kerülhet sor adattovábbításra, ha a Bizottság megállapítja, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges további engedély. |
(1) Akkor kerülhet sor adattovábbításra, ha a Bizottság megállapítja, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges különleges engedély. |
(2) A védelmi szint megfelelőségét a Bizottság a következő tényezők figyelembevételével mérlegeli: |
(2) A védelmi szint megfelelőségét a Bizottság a következő tényezők figyelembevételével mérlegeli: |
a) a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, foglalkozási szabályok, valamint az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések; továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai; |
a) a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, valamint e jogszabály végrehajtása, a foglalkozási szabályok, valamint az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések, precedensértékű jogesetek, továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai; |
b) a szóban forgó harmadik országban vagy nemzetközi szervezetben az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá |
b) a szóban forgó harmadik országban vagy nemzetközi szervezetben többek között elegendő szankcionálási jogkörrel rendelkező és az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá |
c) a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai. |
c) a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai, különösen a személyes adatok védelmével kapcsolatos, jogilag kötelező erejű egyezmények vagy okmányok. |
(3) A Bizottság határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
(3) A Bizottság felhatalmazást kap arra, hogy a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít-e. E felhatalmazáson alapuló jogi aktusok, amennyiben az adatfeldolgozó ágazatot érintik, hatályvesztésre vonatkozó rendelkezést tartalmaznak, és az (5) bekezdéssel összhangban visszavonandók, amennyiben az e rendelet szerinti megfelelő szintű adatvédelem többé nem biztosított. |
(4) A végrehajtási jogi aktus pontosan rögzíti saját földrajzi és ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot. |
(4) A felhatalmazáson alapuló jogi aktus pontosan rögzíti saját területi és ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot. |
|
(4a) A Bizottság folyamatosan nyomon követi a (2) bekezdésben felsorolt elemeket esetlegesen érintő fejleményeket azon harmadik országokban és nemzetközi szervezetekben, amelyek vonatkozásában a (3) bekezdés szerint felhatalmazáson alapuló jogi aktust fogadott el. |
(5) A Bizottság határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon, az Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással vagy – az egyének vonatkozásában személyes adatok védelméhez való jogukra tekintettel rendkívüli sürgősséget igénylő esetekben – a 87. cikk (3) bekezdése szerinti eljárással összhangban kell elfogadni. |
(5) A Bizottság felhatalmazást kap arra, hogy a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít vagy többé már nem biztosít az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon, az Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. |
(6) Amennyiben a Bizottság az (5) bekezdés szerint határoz, úgy a 42–44. cikk sérelme nélkül tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére. A Bizottság megfelelő időben konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására. |
(6) Amennyiben a Bizottság az (5) bekezdés szerint határoz, úgy a 42–44. cikk sérelme nélkül tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére. A Bizottság megfelelő időben konzultációkat kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására. |
|
(6a) A Bizottság – a (3) vagy (5) bekezdés szerinti felhatalmazáson alapuló jogi aktus elfogadását megelőzően – felkéri az Európai Adatvédelmi Testületet, hogy adjon véleményt a védelmi szint megfelelőségéről. A Bizottság e célból biztosítja az Európai Adatvédelmi Testület számára az összes szükséges dokumentációt, köztük a harmadik országgal, harmadik ország régiójával vagy adatfeldolgozó ágazatával, illetve nemzetközi szervezettel folytatott levélváltást. |
(7) A Bizottság az Európai Unió Hivatalos Lapjában közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított. |
(7) A Bizottság az Európai Unió Hivatalos Lapjában és annak weboldalán közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított. |
(8) A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése vagy 26. cikkének (4) bekezdése alapján elfogadott határozatok továbbra is hatályban maradnak azoknak a Bizottság általi módosításáig, felváltásáig vagy hatályon kívül helyezéséig. |
(8) A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése vagy 26. cikkének (4) bekezdése alapján elfogadott határozatok e rendelet hatálybalépését követően öt évig maradnak hatályban, kivéve, ha ezen időszak lejárta előtt a Bizottság módosítja, felváltja vagy hatályon kívül helyezi azokat. |
Módosítás 138 Rendeletre irányuló javaslat 42 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Adattovábbítás megfelelő biztosítékok alapján |
Adattovábbítás megfelelő biztosítékok alapján |
(1) Amennyiben a Bizottság nem hoz a 41. cikk értelmében határozatot, az adatkezelő vagy -feldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a személyes adatok védelme tekintetében az adatkezelő vagy -feldolgozó megfelelő biztosítékokat nyújt jogilag kötelező eszköz útján. |
(1) Amennyiben a Bizottság nem hoz a 41. cikk értelmében határozatot, vagy úgy határoz, hogy valamely harmadik ország, illetve e harmadik ország valamely régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosítja a megfelelő szintű védelmet a 41. cikk (5) bekezdésének megfelelően, az adatkezelő vagy -feldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a személyes adatok védelme tekintetében az adatkezelő vagy -feldolgozó megfelelő biztosítékokat nyújt jogilag kötelező eszköz útján. |
(2) Az (1) bekezdés szerinti megfelelő biztosítékokat különösen az alábbiak jelentik: |
(2) Az (1) bekezdés szerinti megfelelő biztosítékokat különösen az alábbiak jelentik: |
a) a 43. cikk szerinti kötelező erejű vállalati szabályok; vagy |
a) a 43. cikk szerinti kötelező erejű vállalati szabályok; vagy |
|
aa) az adatkezelő és a címzett számára a 39. cikk (1e) bekezdésével összhangban kiadott érvényes „európai adatvédelmi címke” vagy |
b) a Bizottság által elfogadott általános adatvédelmi előírások. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni; vagy |
|
c) az 57. cikk szerinti egységességi mechanizmusnak megfelelően a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek, amennyiben azokat a Bizottság a 62. cikk (1) bekezdésének b) pontja szerint általánosan érvényesnek nyilvánítja; vagy |
c) az 57. cikk szerinti egységességi mechanizmusnak megfelelően a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek, amennyiben azokat a Bizottság a 62. cikk (1) bekezdésének b) pontja szerint általánosan érvényesnek nyilvánítja; vagy |
d) az adatkezelő vagy -feldolgozó és az adat címzettje között létrejött, a felügyelő hatóság által a (4) bekezdéssel összhangban engedélyezett szerződéses feltételek. |
d) az adatkezelő vagy -feldolgozó és az adat címzettje között létrejött, a felügyelő hatóság által a (4) bekezdéssel összhangban engedélyezett szerződéses feltételek. |
(3) A (2) bekezdés a), b) vagy c) pontja szerinti egységes adatvédelmi feltételeken vagy kötelező erejű vállalati szabályokon alapuló továbbítás esetében nincs szükség további engedélyre. |
(3) A (2) bekezdés a), aa) vagy c) pontja szerinti egységes adatvédelmi feltételeken, „európai adatvédelmi címkén” vagy kötelező erejű vállalati szabályokon alapuló továbbítás esetében nincs szükség különleges engedélyre. |
(4) Amennyiben a továbbítás az e cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeken alapul, az adatkezelő vagy -feldolgozó a 34. cikk (1) bekezdésének a) pontja értelmében előzetesen engedélyezteti a szerződéses feltételeket a felügyelő hatósággal. Amennyiben az adattovábbítás olyan feldolgozási tevékenységekkel kapcsolatos, amelyek másik tagállamban vagy tagállamokban található érintettekre vonatkoznak, vagy lényegesen érintik a személyes adatok szabad mozgását az Unióban, a felügyelő hatóság az 57. cikk szerinti egységességi mechanizmust alkalmazza. |
(4) Amennyiben a továbbítás az e cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeken alapul, az adatkezelő vagy -feldolgozó előzetesen engedélyezteti a szerződéses feltételeket a felügyelő hatósággal. Amennyiben az adattovábbítás olyan feldolgozási tevékenységekkel kapcsolatos, amelyek másik tagállamban vagy tagállamokban található érintettekre vonatkoznak, vagy lényegesen érintik a személyes adatok szabad mozgását az Unióban, a felügyelő hatóság az 57. cikk szerinti egységességi mechanizmust alkalmazza. |
(5) Amennyiben a személyes adatok védelmére jogilag kötelező eszközben nem nyújtanak megfelelő biztosítékokat, az adatkezelőnek vagy -feldolgozónak előzetes engedélyt kell szerezni az adattovábbításra, adattovábbításokra vagy azon rendelkezésekre vonatkozóan, amelyeket az ilyen adattovábbítás alapját képező közigazgatási megállapodásba kell iktatni. A felügyelő hatóság ilyen engedélyének meg kell felelnie a 34. cikk (1) bekezdése a) pontjának. Amennyiben az adattovábbítás olyan feldolgozási tevékenységekkel kapcsolatos, amelyek másik tagállamban vagy tagállamokban található érintettekre vonatkoznak, vagy lényegesen érintik a személyes adatok szabad mozgását az Unióban, a felügyelő hatóság az 57. cikk szerinti egységességi mechanizmust alkalmazza. A felügyelő hatóságnak a 95/46/EK irányelv 26. cikkének (2) bekezdésén alapuló engedélyei hatályban maradnak mindaddig, amíg azokat a felügyelő hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. |
(5) A felügyelő hatóságnak a 95/46/EK irányelv 26. cikkének (2) bekezdésén alapuló engedélyei e rendelet hatálybalépését követően két évig maradnak hatályban, kivéve, ha ezen időszak lejárta előtt a felügyelő hatóság módosítja, felváltja vagy hatályon kívül helyezi azokat. |
Módosítás 139 Rendeletre irányuló javaslat 43 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Adattovábbítás kötelező erejű vállalati szabályok alapján |
Adattovábbítás kötelező erejű vállalati szabályok alapján |
(1) A felügyelő hatóság az 58. cikkben meghatározott egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, feltéve hogy azok |
(1) A felügyelő hatóság az 58. cikkben meghatározott egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, feltéve hogy azok |
a) jogilag kötelező érvényűek, és az adatkezelő vagy -feldolgozó vállalkozáscsoportjának minden tagjára tekintettel alkalmazandók és végrehajthatók, beleértve az alkalmazottakat is; |
a) jogilag kötelező érvényűek, és az adatkezelő vállalkozáscsoportjának minden tagjára és azoknak – a kötelező erejű vállalati szabályok hatálya alá tartozó – alvállalkozóira tekintettel alkalmazandók és végrehajthatók, beleértve az alkalmazottakat is; |
b) kifejezetten elismerik az érintettek érvényesíthető jogait; |
b) kifejezetten elismerik az érintettek érvényesíthető jogait; |
c) megfelelnek a (2) bekezdés szerinti követelményeknek. |
c) megfelelnek a (2) bekezdés szerinti követelményeknek. |
|
(1a) A munkaviszonnyal összefüggő adatok tekintetében a munkavállalók képviselőit tájékoztatni kell, és az uniós vagy tagállami jogszabályokkal és gyakorlatokkal összhangban be kell vonni a 43. cikk szerinti kötelező erejű vállalati szabályok összeállításába. |
(2) A kötelező erejű vállalati szabályok meghatározzák legalább az alábbiakat: |
(2) A kötelező erejű vállalati szabályok meghatározzák legalább az alábbiakat: |
a) a vállalkozáscsoport és tagjai struktúrája és elérhetősége; |
a) a vállalkozáscsoport és tagjai, valamint a kötelező erejű vállalati szabályok hatálya alá tartozó alvállalkozói struktúrája és elérhetősége; |
b) az adatok továbbítása vagy továbbítássorozata, beleértve a személyes adatok kategóriáit, a feldolgozás fajtáját és céljait, az érintettek fajtáit és a kérdéses harmadik ország vagy országok azonosítását; |
b) az adatok továbbítása vagy továbbítássorozata, beleértve a személyes adatok kategóriáit, a feldolgozás fajtáját és céljait, az érintettek fajtáit és a kérdéses harmadik ország vagy országok azonosítását; |
c) belső és külső tekintetben jogilag kötelező jellegük; |
c) belső és külső tekintetben jogilag kötelező jellegük; |
d) az általános adatvédelmi elvek, különösen a célhoz kötöttség, az adatminőség, a feldolgozás jogalapja, az érzékeny személyes adatok feldolgozása, az adatbiztonságot biztosító intézkedések; valamint az olyan szervezetekhez irányuló továbbítás feltételei, amelyeket nem kötnek a politikák; |
d) az általános adatvédelmi elvek, különösen a célhoz kötöttség, az adatminimalizálás, a korlátozott adattárolási időszakok, az adatminőség, a beépített és az alapértelmezett adatvédelem, a feldolgozás jogalapja, az érzékeny személyes adatok feldolgozása, az adatbiztonságot biztosító intézkedések; az adatbiztonságot biztosító intézkedések; valamint az olyan szervezetekhez irányuló továbbítás feltételei, amelyeket nem kötnek a politikák; |
e) az érintettek jogai és e jogok gyakorlásának módjai, beleértve a 20. cikk szerinti profilalkotáson alapuló intézkedések alóli mentesülés jogát, a 75. cikk értelmében vett panasz benyújtásának jogát a hatáskörrel rendelkező felügyelő hatósághoz és a tagállamok illetékes bíróságaihoz, és a jogorvoslathoz való jogot, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogot; |
e) az érintettek jogai és e jogok gyakorlásának módjai, beleértve a 20. cikk szerinti profilalkotáson alapuló intézkedések alóli mentesülés jogát, a 75. cikk értelmében vett panasz benyújtásának jogát a hatáskörrel rendelkező felügyelő hatósághoz és a tagállamok illetékes bíróságaihoz, és a jogorvoslathoz való jogot, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogot; |
f) a valamely tagállamban létrehozott adatkezelő vagy -feldolgozó felelősségének elismerése a kötelező erejű vállalati szabályoknak a vállalkozáscsoport nem az Unióban létrehozott bármely tagja által történő megsértéséért; az adatkezelő vagy az adatfeldolgozó részben vagy egészben kizárólag abban az esetben mentesül e felelősség alól, ha bizonyítja, hogy az érintett tag a kárt okozó eseményért nem felelős; |
f) a valamely tagállamban létrehozott adatkezelő felelősségének elismerése a kötelező erejű vállalati szabályoknak a vállalkozáscsoport nem az Unióban létrehozott bármely tagja által történő megsértéséért; az adatkezelő részben vagy egészben kizárólag abban az esetben mentesül e felelősség alól, ha bizonyítja, hogy az érintett tag a kárt okozó eseményért nem felelős; |
g) a 11. cikk értelmében miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokról, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekről szóló információt; |
g) a 11. cikk értelmében miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokról, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekről szóló információt; |
h) a 35. cikk érelmében kijelölt adatvédelmi tisztviselő feladatai, beleértve a vállalkozáscsoporton belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követését; |
h) a 35. cikk érelmében kijelölt adatvédelmi tisztviselő feladatai, beleértve a vállalkozáscsoporton belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követését; |
i) a vállalkozáscsoporton belül a kötelező erejű vállalati szabályokkal való összhang ellenőrzésének biztosítására irányuló mechanizmusok; |
i) a vállalkozáscsoporton belül a kötelező erejű vállalati szabályokkal való összhang ellenőrzésének biztosítására irányuló mechanizmusok; |
j) a politikák változásainak jelentésére és rögzítésére és e változások felügyelő hatóság felé történő bejelentésére irányuló mechanizmusok; |
j) a politikák változásainak jelentésére és rögzítésére és e változások felügyelő hatóság felé történő bejelentésére irányuló mechanizmusok; |
k) a felügyelő hatósággal való együttműködés mechanizmusai a vállalkozáscsoport bármely tagjával való összhang biztosítása érdekében, különösen azáltal, hogy a felügyelő hatóság számára elérhetővé teszik az e bekezdés i) pontja szerinti intézkedések ellenőrzésének eredményeit. |
k) a felügyelő hatósággal való együttműködés mechanizmusai a vállalkozáscsoport bármely tagjával való összhang biztosítása érdekében, különösen azáltal, hogy a felügyelő hatóság számára elérhetővé teszik az e bekezdés i) pontja szerinti intézkedések ellenőrzésének eredményeit. |
(3) A Bizottság felhatalmazást kap arra, hogy az e cikk szerinti kötelező erejű vállalati szabályokra – különösen azok elfogadására, a (2) bekezdés b), d), e) és f) pontjának az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokra történő alkalmazására és az érintettek személyes adatai védelmének biztosítására - vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(3) A Bizottság felhatalmazást kap arra, hogy az e cikk szerinti kötelező erejű vállalati szabályok – és különösen e szabályok elfogadása, ezen belül az érintettek számára biztosított átláthatóság, a (2) bekezdés b), d), e) és f) pontjának az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokra történő alkalmazása és az érintettek személyes adatai védelmének biztosítása – formátumának, eljárásainak, szempontjainak és követelményeinek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(4) A Bizottság meghatározhatja az adatkezelők, feldolgozók és felügyelő hatóságok között az e cikk szerinti kötelező erejű vállalati szabályokra vonatkozó, elektronikus formában történő információcsere formátumát és eljárásait. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. |
|
Módosítás 140 Rendeletre irányuló javaslat 43 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
43a. cikk |
|
Az uniós jog által nem továbbítás és közlés |
|
(1) A kérelmező harmadik ország és az Unió vagy egy tagállama között létrejött, hatályban lévő kölcsönös jogsegélyszerződések és nemzetközi megállapodások sérelme nélkül, semmilyen módon nem ismerhető el és nem hajtható végre harmadik ország bíróságának vagy törvényszékének olyan ítélete, valamint közigazgatási hatóságának olyan határozata, amely valamely adatkezelő vagy -feldolgozó számára személyes adatok közlését írja elő. |
|
(2) Amennyiben valamely harmadik ország bíróságának vagy törvényszékének ítélete, illetve közigazgatási hatóságának határozata személyes adatok közlésére kéri az adatkezelőt vagy -feldolgozót, az adatkezelő vagy -feldolgozó, valamint – ha van ilyen – az adatkezelő képviselője haladéktalanul értesíti a kérésről a felügyelő hatóságot, és a 34. cikkel összhangban megszerzi a felügyelő hatóságnak a továbbításra vagy közlésre vonatkozó előzetes engedélyét. |
|
(3) A felügyelő hatóság értékeli a kért közlés e rendeletnek való megfelelését, és különösen azt, hogy a közlés szükséges-e és jogilag megfelel-e a 44. cikk (1) bekezdésének d) és e) pontjában, valamint (5) bekezdésében meghatározott előírásoknak. Amennyiben ez más tagállamok érintettjeire is hatással van, a felügyelő hatóság az 57. cikkben említett egységességi mechanizmust alkalmazza. |
|
(4) A felügyelő hatóság tájékoztatja a kérelemről az illetékes nemzeti hatóságot. A 21. cikk sérelme nélkül az adatkezelő vagy adatfeldolgozó az érintettet is tájékoztatja a kérésről és a felügyelő hatóság engedélyéről, és adott esetben a 14. cikk ha) pontjának megfelelően tájékoztatja az érintettet arról, hogy az elmúlt egymást követő 12 hónapos időszakban sor került-e személyes adat hatóság számára történő átadására |
Módosítás 141 Rendeletre irányuló javaslat 44 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Eltérések |
Eltérések |
(1) A 41. cikk értelmében vett megfelelőségi határozat, illetve a 42. cikk szerinti megfelelő biztosítékok hiányában a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy továbbítássorozatára csak azzal a feltétellel kerülhet sor, hogy: |
(1) A 41. cikk értelmében vett megfelelőségi határozat, illetve a 42. cikk szerinti megfelelő biztosítékok hiányában a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy továbbítássorozatára csak azzal a feltétellel kerülhet sor, hogy: |
a) az érintett hozzájárulását adta a tervezett továbbításhoz, miután tájékoztatták az ilyen továbbításnak a megfelelőségről szóló határozat és a megfelelő biztosítékok hiányából fakadó kockázatairól; vagy |
a) az érintett hozzájárulását adta a tervezett továbbításhoz, miután tájékoztatták az ilyen továbbításnak a megfelelőségről szóló határozat és a megfelelő biztosítékok hiányából fakadó kockázatairól; vagy |
b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy |
b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy |
c) a továbbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy |
c) a továbbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy |
d) a továbbítás fontos közérdekből szükséges; vagy |
d) a továbbítás fontos közérdekből szükséges; vagy |
e) a továbbítás jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges; vagy |
e) a továbbítás jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges; vagy |
f) a továbbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy |
f) a továbbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy |
g) a továbbítást olyan nyilvántartásból végzik, amely az uniós vagy nemzeti jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben az uniós vagy nemzeti jog által a betekintésre megállapított feltételek az adott esetben teljesülnek; vagy |
g) a továbbítást olyan nyilvántartásból végzik, amely az uniós vagy nemzeti jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben az uniós vagy nemzeti jog által a betekintésre megállapított feltételek az adott esetben teljesülnek. |
h) a továbbítás az adatkezelő vagy -feldolgozó jogos érdekében szükséges, amely nem minősíthető gyakorinak vagy tömegesnek, amennyiben az adatkezelő vagy -feldolgozó az adattovábbítás vagy az adattovábbítás-sorozat minden körülményét megvizsgálta, és e vizsgálat alapján szükség szerint megfelelő biztosítékokat hozott létre a személyes adatokra tekintettel. |
|
(2) Az (1) bekezdés g) pontja szerinti továbbítás nem érinti a nyilvántartásban szereplő személyes adatok összességét vagy a személyes adatok kategóriáinak összességét. Amennyiben a nyilvántartás a jogos érdekkel rendelkező személyekkel való egyeztetésre szolgál, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek. |
(2) Az (1) bekezdés g) pontja szerinti továbbítás nem érinti a nyilvántartásban szereplő személyes adatok összességét vagy a személyes adatok kategóriáinak összességét. Amennyiben a nyilvántartás a jogos érdekkel rendelkező személyekkel való egyeztetésre szolgál, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek. |
(3) Amennyiben a feldolgozás az (1) bekezdés h) pontján alapul, az adatkezelő vagy -feldolgozó különös figyelmet fordít az adatok jellegére, a tervezett feldolgozási művelet vagy műveletek céljára és időtartamára, valamint a kiindulási ország, a harmadik ország és a célország szerinti helyzetre, valamint szükség szerint a személyes adatok védelme tekintetében biztosított megfelelő biztosítékokra. |
|
(4) Az (1) bekezdés b), c) és h) pontja nem alkalmazható a hatóságok által közhatalmi jogosultságaik gyakorlása során végzett tevékenységekre. |
(4) Az (1) bekezdés b) és c) pontja nem alkalmazható a hatóságok által közhatalmi jogosultságaik gyakorlása során végzett tevékenységekre. |
(5) Az (1) bekezdés d) pontjában hivatkozott közérdeket el kell ismernie az uniós jognak vagy azon tagállam jogának, amely az adatkezelőre vonatkozik. |
(5) Az (1) bekezdés d) pontjában hivatkozott közérdeket el kell ismernie az uniós jognak vagy azon tagállam jogának, amely az adatkezelőre vonatkozik. |
(6) Az adatkezelő vagy -feldolgozó a 28. cikk szerinti dokumentációban dokumentálja a vizsgálatot és az e cikk (1) bekezdésének h) pontja szerinti, létrehozott megfelelő biztosítékokat, és a továbbításról értesíti a felügyelő hatóságot. |
|
(7) A Bizottság felhatalmazást kap arra, hogy a „fontos közérdek” (1) bekezdés d) pontja szerinti fogalma, valamint az (1) bekezdés h) pontja szerinti megfelelő biztosítékokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(7) Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban az (1) bekezdés alapján iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az adattovábbításokra vonatkozó szempontok és követelmények további meghatározása érdekében. |
Módosítás 142 Rendeletre irányuló javaslat 45 cikk – 1 bekezdés – a pont | |
A Bizottság által javasolt szöveg |
Módosítás |
a) a személyes adatok védelméről szóló jogszabályok érvényesítésének egyszerűsítését célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki; |
a) a személyes adatok védelméről szóló jogszabályok érvényesítésének biztosítását célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki; |
Módosítás 143 Rendeletre irányuló javaslat 45 cikk – 1 bekezdés – d a pont (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
da) harmadik országokkal elõforduló joghatósági összeütközések tisztázása és azokkal kapcsolatos konzultáció. |
Módosítás 144 Rendeletre irányuló javaslat 45 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
45a. cikk |
|
A Bizottság jelentése |
|
A Bizottság legkésõbb a 91. cikk (1) bekezdésében említett idõponttól számított négy évtõl kezdve rendszeres idõközönként jelentést nyújt be az Európai Parlamentnek és a Tanácsnak a 40. és 45. cikk alkalmazásáról. E célból a Bizottság tájékoztatást kérhet a tagállamoktól és a felügyelõ hatóságoktól, amely információkat késedelem nélkül meg kell adni. A jelentést közzéteszik. |
Módosítás 145 Rendeletre irányuló javaslat 47 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) A felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlása során teljesen függetlenül jár el. |
(1) A felügyelõ hatóság a ráruházott feladat- és hatáskörök gyakorlása során teljesen függetlenül és pártatlanul jár el, az e rendelet VII. fejezete szerinti együttmûködési és egységességi megállapodások sérelme nélkül. |
Módosítás 146 Rendeletre irányuló javaslat 47 cikk – 7 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(7a) Az egyes tagállamok biztosítják, hogy a felügyelõ hatóság csak költségvetési ellenõrzési okokból legyen elszámoltatható a nemzeti parlament felé. |
Módosítás 147 Rendeletre irányuló javaslat 50 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Szakmai titoktartás |
Szakmai titoktartás |
A felügyelő hatóság tagjait és személyzetét a hivatalos feladataik ellátása során tudomásukra jutott bármely bizalmas információk tekintetében hivatali idejük alatt és annak leteltét követően is szakmai titoktartási kötelezettség terheli. |
A felügyelõ hatóság tagjait és személyzetét a hivatalos feladataik – e rendelet értelmében független és átlátható módon történõ – ellátása során tudomásukra jutott bármely bizalmas információk tekintetében – a nemzeti jogszabályokkal és gyakorlattal összhangban – hivatali idejük alatt és annak leteltét követõen is szakmai titoktartási kötelezettség terheli. |
Módosítás 148 Rendeletre irányuló javaslat 51 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) A felügyelő hatóságok a rájuk ruházott hatásköröket a tagállamuk területén e rendeletnek megfelelően gyakorolják. |
(1) Minden egyes felügyeleti hatóság a saját államának területén illetékes az e rendelet alapján ráruházott hatáskörök és feladatok gyakorlására a 73. és 74. cikk sérelme nélkül. A hatóságok általi adatfeldolgozást kizárólag az adott tagállam felügyelõ hatósága felügyeli. |
Módosítás 149 Rendeletre irányuló javaslat 51 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Amennyiben a személyes adatok feldolgozására az Unióban létrehozott adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben kerül sor, és az adatkezelő vagy -feldolgozó egynél több tagállamban telepedett le, az adatkezelő vagy -feldolgozó minden tagállamban végzett feldolgozási tevékenységének felügyeletére az adatkezelő vagy -feldolgozó fő szervezete szerinti felügyelő hatóság illetékes, az e rendelet VII. fejezetében foglalt rendelkezések sérelme nélkül. |
törölve |
Módosítás 150 Rendeletre irányuló javaslat 52 cikk – 1 bekezdés – b pont | |
A Bizottság által javasolt szöveg |
Módosítás |
b) foglalkozik az érintett vagy az érintetteket képviselő szervezet által a 74. cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve a szervezetet ésszerű időn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekről és eredményekről, különösen ha további vizsgálat vagy egy másik felügyelő hatósággal való együttműködés válik szükségessé; |
b) foglalkozik az érintett vagy valamely szervezet által a 73. cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve a szervezetet ésszerû idõn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekrõl és eredményekrõl, különösen ha további vizsgálat vagy egy másik felügyelõ hatósággal való együttmûködés válik szükségessé; |
Módosítás 151 Rendeletre irányuló javaslat 52 cikk – 1 bekezdés – d pont | |
A Bizottság által javasolt szöveg |
Módosítás |
d) saját kezdeményezés, panasz vagy egy másik felügyelő hatóság megkeresése alapján vizsgálatot folytat le, és ésszerű határidőn belül tájékoztatja a vizsgálat eredményéről, amennyiben az emelt panaszt a felügyelő hatóság előtt; |
d) saját kezdeményezés, panasz, állítólagos jogellenes adatfeldolgozásról kapott, dokumentumokkal alátámasztott konkrét bejelentés vagy egy másik felügyelõ hatóság megkeresése alapján vizsgálatot folytat le, és ésszerû határidõn belül tájékoztatja a vizsgálat eredményérõl, amennyiben az emelt panaszt a felügyelõ hatóság elõtt; |
Módosítás 152 Rendeletre irányuló javaslat 52 cikk – 1 bekezdés – j a pont (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
ja) a 39. cikk szerint tanúsítja az adatkezelõket és -feldolgozókat; |
Módosítás 153 Rendeletre irányuló javaslat 52 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Valamennyi felügyelő hatóság előmozdítja a polgárok tudatosságát a személyes adatok védelmére vonatkozó kockázatok, szabályok, biztosítékok és jogok tekintetében. Különös figyelmet kell fordítani a különösen a gyermekekre irányuló tevékenységekre. |
(2) Valamennyi felügyelõ hatóság elõmozdítja a polgárok tudatosságát a személyes adatok feldolgozásával kapcsolatos kockázatok, szabályok, biztosítékok és jogok, valamint a személyes adatok védelmére irányuló megfelelõ intézkedések tekintetében. Különös figyelmet kell fordítani a különösen a gyermekekre irányuló tevékenységekre. |
Módosítás 154 Rendeletre irányuló javaslat 52 cikk – 2 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(2a) Valamennyi felügyelő hatóság az Európai Adatvédelmi Testülettel együtt az adatkezelők és -feldolgozók esetében fokozza a tudatosságot a személyes adatok védelmével kapcsolatos kockázatokat, szabályokat, biztosítékokat és jogokat illetően. Ez kiterjed a szankciók és jogsértések nyilvántartására is. A nyilvántartásba minél részletesebben be kell jegyezni valamennyi figyelmeztetést és szankciót, illetve a jogsértések rendezését. Valamennyi felügyelő hatóság – kérésre – a mikro-, kis- és középvállalkozások formájában működő adatkezelők és -feldolgozók rendelkezésére bocsátja az e rendelet szerinti feladataikra és kötelezettségeikre vonatkozó általános információkat. |
Módosítás 155 Rendeletre irányuló javaslat 52 cikk – 6 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(6) Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, a felügyelő hatóság díjat számíthat fel, vagy visszautasíthatja az érintett által kért intézkedés megtételét. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem egyértelműen túlzó. |
(6) Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, a felügyelő hatóság ésszerű díjat számíthat fel, vagy visszautasíthatja az érintett által kért intézkedés megtételét. A díj nem haladhatja meg a kért intézkedés meghozatalával kapcsolatban felmerült költségeket. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem egyértelműen túlzó. |
Módosítás 156 Rendeletre irányuló javaslat 53 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Hatáskörök |
Hatáskörök |
(1) Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy: |
(1) Valamennyi felügyelõ hatóság – e rendelettel összhangban – hatáskörrel rendelkezik arra, hogy: |
a) a személyesadat-feldolgozást szabályozó rendelkezések állítólagos megsértése esetén értesítse az adatkezelõt vagy az adatfeldolgozót, és szükség esetén felhívja az adatkezelõt vagy -feldolgozót a rendelkezés megsértésének orvoslására, különös esetben pedig az érintettek védelmének javítására; |
a) a személyesadat-feldolgozást szabályozó rendelkezések állítólagos megsértése esetén értesítse az adatkezelõt vagy az adatfeldolgozót, és szükség esetén felhívja az adatkezelõt vagy -feldolgozót a rendelkezés megsértésének orvoslására, különös esetben pedig az érintettek védelmének javítására, vagy arra utasítsa az adatkezelõt, hogy közölje a személyes adatok megsértését az érintettel; |
b) elrendelje az érintett e rendelet szerinti jogainak gyakorlására vonatkozó kérelmének adatkezelő vagy adatfeldolgozó általi teljesítését; |
b) elrendelje az érintett e rendelet szerinti jogainak gyakorlására vonatkozó kérelmének adatkezelő vagy adatfeldolgozó általi teljesítését; |
c) felhívja az adatkezelőt és az adatfeldolgozót, és – szükség esetén – a képviselőt a feladatai gyakorlásához szükséges tájékoztatás nyújtására; |
c) felhívja az adatkezelőt és az adatfeldolgozót, és – szükség esetén – a képviselőt a feladatai gyakorlásához szükséges tájékoztatás nyújtására; |
d) biztosítsa a 34. cikk szerinti előzetes engedélyezéssel és előzetes konzultációval való összhangot; |
d) biztosítsa a 34. cikk szerinti előzetes engedélyezéssel és előzetes konzultációval való összhangot; |
e) figyelmeztesse vagy elmarasztalja az adatkezelőt vagy -feldolgozót; |
e) figyelmeztesse vagy elmarasztalja az adatkezelőt vagy -feldolgozót; |
f) elrendelje bármely adat helyesbítését, törlését vagy megsemmisítését, amennyiben annak feldolgozása e rendelet rendelkezéseinek megsértésével történt, és elrendelje azon harmadik személyek ilyen intézkedésről történő értesítését, akikkel az adatot közölték; |
f) elrendelje bármely adat helyesbítését, törlését vagy megsemmisítését, amennyiben annak feldolgozása e rendelet rendelkezéseinek megsértésével történt, és elrendelje azon harmadik személyek ilyen intézkedésről történő értesítését, akikkel az adatot közölték; |
g) elrendelje az adatfeldolgozás átmeneti vagy végleges tilalmát; |
g) elrendelje az adatfeldolgozás átmeneti vagy végleges tilalmát; |
h) felfüggessze a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlást; |
h) felfüggessze a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlást; |
i) véleményt adjon bármilyen, a személyes adatok védelmével kapcsolatos kérdésről; |
i) véleményt adjon bármilyen, a személyes adatok védelmével kapcsolatos kérdésről; |
|
ia) a 39. cikk szerint tanúsítsa az adatkezelőket és -feldolgozókat; |
j) tájékoztassa bármilyen, a személyes adatok védelmével kapcsolatos kérdésről a nemzeti parlamenteket, a kormányt vagy más politikai intézményt, valamint a nyilvánosságot. |
j) tájékoztassa bármilyen, a személyes adatok védelmével kapcsolatos kérdésrõl a nemzeti parlamenteket, a kormányt vagy más politikai intézményt, valamint a nyilvánosságot; |
|
ja) vezessen be hatékony mechanizmusokat az e rendelet megsértésére vonatkozó bizalmas jelentések ösztönzésére, figyelembe véve az Európai Adatvédelmi Testület által a 66. cikk (4b) bekezdése értelmében kibocsátott útmutatót. |
(2) Valamennyi felügyelő hatóság vizsgálati hatáskörrel rendelkezik arra, hogy: |
(2) Valamennyi felügyelő hatóság vizsgálati hatáskörrel rendelkezik arra, hogy előzetes értesítés nélkül: |
a) az adatkezelőtől vagy -feldolgozótól a feladatainak teljesítéséhez szükséges valamennyi személyes adatba és információba betekintést nyerjen; |
a) az adatkezelőtől vagy -feldolgozótól a feladatainak teljesítéséhez szükséges valamennyi személyes adatba, dokumentumba és információba betekintést nyerjen; |
b) az adatkezelő vagy -feldolgozó bármely helyiségébe belépjen, beleértve minden adatfeldolgozó eszközhöz és módhoz való hozzáférést, amennyiben alapos indokok alapján feltételezhető, hogy ott e rendelet megsértésével járó tevékenység zajlik. |
b) az adatkezelő vagy -feldolgozó bármely helyiségébe belépjen, beleértve minden adatfeldolgozó eszközhöz és módhoz való hozzáférést. |
A b) pontban meghatározott hatásköröket az uniós joggal és a tagállami joggal összhangban kell gyakorolni. |
A b) pontban meghatározott hatásköröket az uniós joggal és a tagállami joggal összhangban kell gyakorolni. |
(3) Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy felhívja az igazságszolgáltatási hatóságok figyelmét e rendelet megsértésére, és részt vegyen a bírósági eljárásokban, különösen a 74. cikk (4) bekezdésének és a 75. cikk (2) bekezdésének megfelelően. |
(3) Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy felhívja az igazságszolgáltatási hatóságok figyelmét e rendelet megsértésére, és részt vegyen a bírósági eljárásokban, különösen a 74. cikk (4) bekezdésének és a 75. cikk (2) bekezdésének megfelelően. |
(4) Valamennyi felügyelő hatóság jogkörrel rendelkezik arra, hogy szankciókat alkalmazzon a közigazgatási szabálysértésekkel szemben, különösen a 79. cikk (4), (5) és (6) bekezdése szerinti esetekben. |
(4) Valamennyi felügyelő hatóság jogkörrel rendelkezik arra, hogy szankciókat alkalmazzon a közigazgatási szabálysértésekkel szemben, a 79. cikkel összhangban. E jogkört hatékony, arányos és visszatartó erejû módon gyakorolják. |
Módosítás 157 Rendeletre irányuló javaslat 54 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Valamennyi felügyelő hatóságnak éves jelentést kell készítenie a tevékenységéről. A jelentést a nemzeti parlamentnek kell benyújtani és elérhetővé kell tenni a nyilvánosság, a Bizottság és az Európai Adatvédelmi Testület számára. |
Valamennyi felügyelő hatóságnak legalább kétévente jelentést kell készítenie a tevékenységéről. A jelentést az illetékes parlamentnek kell benyújtani és elérhetővé kell tenni a nyilvánosság, a Bizottság és az Európai Adatvédelmi Testület számára. |
Módosítás 158 Rendeletre irányuló javaslat 54 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
54a. cikk |
|
Fő hatóság |
|
(1) Amennyiben a személyes adatok feldolgozására az Unióban létrehozott adatkezelõ vagy -feldolgozó tevékenységeivel összefüggésben kerül sor, és az adatkezelõ vagy -feldolgozó egynél több tagállamban telepedett le, illetve amennyiben több tagállam lakosainak személyes adatait dolgozzák fel, az adatkezelõ vagy -feldolgozó fõ szervezete szerinti felügyelõ hatóság látja el valamennyi tagállamban az adatkezelõ vagy -feldolgozó feldolgozási tevékenységének felügyeletét, e rendelet VII. fejezetével összhangban. |
|
(2) A felügyelõ hatóság csak az összes, az 51. cikk (1) bekezdése szerinti illetékes felügyelõ hatósággal konszenzus elérése érdekében folytatott egyeztetés után teszi meg a szükséges intézkedéseket a felelõsségi körébe tartozó adatkezelõ vagy -feldolgozó feldolgozási tevékenységének felügyeletére vonatkozóan. E célból különösen minden lényeges információt megad és konzultál más hatóságokkal azelõtt, hogy az 51. cikk (1) bekezdése szerinti adatkezelõvel vagy -feldolgozóval szemben joghatás kiváltására szolgáló intézkedést fogadna el. A fõ hatóság a lehetõ legmesszebbmenõkig figyelembe veszi az érintett hatóságok véleményeit. A fõ hatóság kap egyedül felhatalmazást arra, hogy határozzon a felelõsségi körébe tartozó adatkezelõk vagy -feldolgozók feldolgozási tevékenységére vonatkozó, joghatás kiváltására szolgáló intézkedésekrõl. |
|
(3) Az Európai Adatvédelmi Testület – valamely illetékes hatóság kérelmére – véleményt bocsát ki az adatkezelõért vagy -feldolgozóért felelõs fõ hatóság megállapítására vonatkozóan, amennyiben: |
|
a) az ügy körülményeibõl nem egyértelmû, hol található az az adatkezelõ vagy -feldolgozó fõ szervezete; vagy |
|
b) az illetékes hatóságok nem értenek egyet abban, hogy mely felügyelõ hatóság járjon el fõ hatóságként; vagy |
|
c) az adatkezelõ az Unióban nem letelepedett, és az e rendelet hatálya alá tartozó adatfeldolgozási mûveletek különbözõ tagállamok lakosait érintik. |
|
(3a) Amennyiben az adatkezelõ egyben adatfeldolgozó tevékenységeket is végez, az adatkezelõ fõ szervezetének felügyelõ hatósága jár el a feldolgozó tevékenységek felügyeletét ellátó fõ hatóságként. |
|
(4) Az Európai Adatvédelmi Testület dönthet a fõ hatóság megállapításáról. |
(A Parlament módosításában szereplõ (1) bekezdés a Bizottság által javasolt szöveg 51. cikkének (2) bekezdésén alapul.) | |
Módosítás 159 Rendeletre irányuló javaslat 55 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) A felügyelő hatóságok kölcsönösen releváns információkat és segítséget nyújtanak egymásnak e rendelet következetes végrehajtása és alkalmazása érdekében, valamint az egymással való hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsősorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az előzetes engedélyezés, konzultáció és vizsgálat folytatására vonatkozó kérelmek, valamint az ügyek megindításáról és a későbbi fejleményekről való haladéktalan tájékoztatás, amennyiben a feldolgozási műveletek várhatóan több tagállamban letelepedett érintettre is kiterjednek. |
(1) A felügyelő hatóságok kölcsönösen releváns információkat és segítséget nyújtanak egymásnak e rendelet következetes végrehajtása és alkalmazása érdekében, valamint az egymással való hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsõsorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az elõzetes engedélyezés, konzultáció, ellenõrzés és vizsgálat folytatására vonatkozó kérelmek, valamint az ügyek megindításáról és a késõbbi fejleményekrõl való haladéktalan tájékoztatás, amennyiben az adatkezelõ vagy -feldolgozó több tagállamban letelepedett vagy amennyiben a feldolgozási mûveletek várhatóan több tagállamban letelepedett érintettre is kiterjednek. Az 54a. cikkben meghatározott fő hatóság biztosítja a koordinációt az érintett felügyelő hatóságok között, és az adatkezelő vagy -feldolgozó tekintetében egyetlen kapcsolattartóként jár el. |
Módosítás 160 Rendeletre irányuló javaslat 55 cikk – 7 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(7) A kölcsönös segítségnyújtás iránti kérelem nyomán megtett intézkedések térítésmentesek. |
(7) A kölcsönös segítségnyújtás iránti kérelem nyomán megtett intézkedések a megkereső felügyelő hatóság részére térítésmentesek. |
Módosítás 161 Rendeletre irányuló javaslat 55 cikk – 8 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(8) Amennyiben valamely felügyelő hatóság a másik felügyelő hatóság megkeresésétől számított egy hónapon belül nem intézkedik, a megkereső felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a saját tagállama területén, és az ügyet az 57. cikkben meghatározott eljárásnak megfelelően az Európai Adatvédelmi Testület elé terjeszti. |
(8) Amennyiben valamely felügyelő hatóság a másik felügyelő hatóság megkeresésétől számított egy hónapon belül nem intézkedik, a megkereső felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a saját tagállama területén, és az ügyet az 57. cikkben meghatározott eljárásnak megfelelően az Európai Adatvédelmi Testület elé terjeszti. Amennyiben nincs lehetőség végleges intézkedésre, mivel a segítségnyújtás még nem fejeződött be, a megkereső felügyelő hatóság az 53. cikk alapján a saját tagállamának területén ideiglenes intézkedéseket tehet. |
Módosítás 162 Rendeletre irányuló javaslat 55 cikk – 9 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(9) A felügyelő hatóság meghatározza az ilyen ideiglenes intézkedés érvényességi idejét. Ez az időtartam nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról. |
(9) A felügyelő hatóság meghatározza az ilyen ideiglenes intézkedés érvényességi idejét. Ez az időtartam nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról az 57. cikkben meghatározott eljárás szerint. |
Módosítás 163 Rendeletre irányuló javaslat 55 cikk – 10 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(10) A Bizottság meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formátumát és eljárásait és a felügyelő hatóságok közötti, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus úton történő információcserére vonatkozó szabályokat, továbbá különösen a (6) bekezdésben említett egységes formanyomtatványokat. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
(10) Az Európai Adatvédelmi Testület meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formátumát és eljárásait és a felügyelő hatóságok közötti, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus úton történő információcserére vonatkozó szabályokat, továbbá különösen a (6) bekezdésben említett egységes formanyomtatványokat. |
Módosítás 164 Rendeletre irányuló javaslat 56 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Amennyiben az adatfeldolgozási műveletek valószínűleg több tagállambeli érintettre hatnak ki, mindegyik szóban forgó tagállam felügyelő hatósága részt vehet – az esettől függően – a közös vizsgálati feladatokban, vagy a közös műveletekben. Az illetékes felügyelő hatóság felkérheti az összes említett tagállam felügyelő hatóságát, hogy vegyenek részt az adott közös vizsgálati feladatokban, vagy a közös műveletekben, valamint haladéktalanul válaszoljanak a felügyelő hatóság műveletekben való részvételre irányuló megkeresésére. |
(2) Amennyiben az adatkezelő vagy -feldolgozó több tagállamban letelepedett, vagy amennyiben az adatfeldolgozási műveletek valószínűleg több tagállambeli érintettre hatnak ki, mindegyik szóban forgó tagállam felügyelő hatósága részt vehet – az esettől függően – a közös vizsgálati feladatokban, vagy a közös műveletekben. Az 54a. cikkben meghatározott fõ hatóság bevonja az összes említett tagállam felügyelõ hatóságát az adott közös vizsgálati feladatokba, vagy a közös mûveletekbe, valamint haladéktalanul válaszol egy adott felügyelõ hatóság mûveletekben való részvételre irányuló megkeresésére. A fő hatóság az adatkezelő vagy -feldolgozó tekintetében egyetlen kapcsolattartóként jár el. |
Módosítás 165 Rendeletre irányuló javaslat 57 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Egységességi mechanizmus |
Egységességi mechanizmus |
A 46. cikk (1) bekezdése céljából a felügyelő hatóságok az e szakaszban meghatározott egységességi eljárás révén együttműködnek egymással és a Bizottsággal. |
A 46. cikk (1) bekezdése céljából a felügyelõ hatóságok – általános hatályú ügyekben és egyedi esetekben egyaránt – e szakasz rendelkezéseivel összhangban egységességi eljárás révén együttmûködnek egymással és a Bizottsággal. |
Módosítás 166 Rendeletre irányuló javaslat 58 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az Európai Adatvédelmi Testület véleménye |
Egységesség az általános érvényû ügyekben |
(1) A (2) bekezdés szerinti intézkedés elfogadását megelőzően a felügyelő hatóság értesíti az Európai Adatvédelmi Testületet és a Bizottságot az intézkedés tervezetéről. |
(1) A (2) bekezdés szerinti intézkedés elfogadását megelőzően a felügyelő hatóság értesíti az Európai Adatvédelmi Testületet és a Bizottságot az intézkedés tervezetéről. |
(2) Az (1) bekezdésben meghatározott kötelezettség olyan, joghatást kiváltó intézkedésekre alkalmazandó, amely: |
(2) Az (1) bekezdésben meghatározott kötelezettség olyan, joghatást kiváltó intézkedésekre alkalmazandó, amely: |
a) olyan feldolgozási tevékenységekre vonatkozik, amelyek termékek és szolgáltatások más tagállamok érintettjei részére történő nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódnak; vagy |
|
b) lényeges hatással jár a személyes adatok Unión belüli szabad áramlására; vagy |
|
c) a 34. cikk (5) bekezdése szerinti előzetes konzultáció hatálya alatt álló feldolgozási műveletek jegyzékének elfogadására irányul; vagy |
|
d) a 42. cikk (2) bekezdésének c) pontja szerinti egységes adatvédelmi feltételek meghatározására irányul; vagy |
d) a 42. cikk (2) bekezdésének c) pontja szerinti egységes adatvédelmi feltételek meghatározására irányul; vagy |
e) a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételek engedélyezésére irányul; vagy |
e) a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételek engedélyezésére irányul; vagy |
f) a 43. cikk értelmében vett kötelező erejű vállalati szabályok jóváhagyására irányul. |
f) a 43. cikk értelmében vett kötelező erejű vállalati szabályok jóváhagyására irányul. |
(3) Bármely felügyelő hatóság vagy az Európai Adatvédelmi Testület kérheti bármely ügy egységességi mechanizmus keretében való kezelését, különösen akkor, ha a felügyelő hatóság nem nyújtja be a (2) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk értelmében a kölcsönös segítségnyújtásra vonatkozó kötelezettségét, vagy az 56. cikk értelmében a közös műveletekre vonatkozó kötelezettségét. |
(3) Bármely felügyelõ hatóság vagy az Európai Adatvédelmi Testület kérheti bármely általános érvényû ügy egységességi mechanizmus keretében való kezelését, különösen akkor, ha a felügyelõ hatóság nem nyújtja be a (2) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk értelmében a kölcsönös segítségnyújtásra vonatkozó kötelezettségét, vagy az 56. cikk értelmében a közös mûveletekre vonatkozó kötelezettségét. |
(4) E rendelet helyes és következetes alkalmazásának biztosítása érdekében a Bizottság kérheti bármely ügy egységességi mechanizmus keretében való kezelését. |
(4) E rendelet helyes és következetes alkalmazásának biztosítása érdekében a Bizottság kérheti bármely általános érvényû ügy egységességi mechanizmus keretében való kezelését. |
(5) A felügyelõ hatóságok és a Bizottság elektronikus úton, egységes formanyomtatvány segítségével közli a vonatkozó információkat, beleértve a tények összefoglalását, az intézkedéstervezetet, valamint az ilyen intézkedés elrendelésének szükségességét igazoló indokokat. |
(5) A felügyelõ hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formanyomtatvány segítségével közli a vonatkozó információkat, beleértve a tények összefoglalását, az intézkedéstervezetet, valamint az ilyen intézkedés elrendelésének szükségességét igazoló indokokat. |
(6) Az Európai Adatvédelmi Testület elnöke elektronikus úton, egységes formanyomtatvány segítségével azonnal értesíti az Európai Adatvédelmi Testület tagjait és a Bizottságot a beérkezett vonatkozó információkról. Az Európai Adatvédelmi Testület elnöke szükség esetén gondoskodik a vonatkozó információk fordításáról. |
(6) Az Európai Adatvédelmi Testület elnöke elektronikus úton, egységes formanyomtatvány segítségével indokolatlan késedelem nélkül értesíti az Európai Adatvédelmi Testület tagjait és a Bizottságot a beérkezett vonatkozó információkról. Az Európai Adatvédelmi Testület titkársága szükség esetén gondoskodik a vonatkozó információk fordításáról. |
|
(6a) Az Európai Adatvédelmi Testület véleményt fogad el a (2) bekezdésben említett ügyekrõl. |
(7) Az Európai Adatvédelmi Testület a vonatkozó információk (5) bekezdés szerinti megküldését követő egy héten belül tagjai egyszerű többségével meghozott saját kezdeményezésre vagy valamely felügyelő hatóság vagy a Bizottság kérésére véleményezi az ügyet. A véleményt az Európai Adatvédelmi Testület tagjainak egyszerű többségével kell elfogadni egy hónapon belül. Az Európai Adatvédelmi Testület elnöke haladéktalanul értesíti a véleményről – az esettől függően – az (1) és (3) bekezdésben említett felügyelő hatóságot, a Bizottságot és az 51. cikk szerint illetékes felügyelő hatóságot , és nyilvánosságra hozza azt. |
(7) Az Európai Adatvédelmi Hatóság egyszerû többség alapján dönthet arról, hogy a (3) és (4) bekezdés szerint benyújtott bármely ügyet véleményezi-e, a következõket figyelembe véve: |
|
a) tartalmaz-e új elemeket az ügy, tekintettel jogi vagy ténybeli fejleményekre, különösen az információtechnológia területén, és az információs társadalom fejlõdésének fényében; továbbá |
|
b) ugyanebben az ügyben bocsátott-e már ki véleményt az Európai Adatvédelmi Testület. |
(8) Az (1) bekezdés szerinti, és az 51. cikk szerint illetékes felügyelő hatóság figyelembe veszi az Európai Adatvédelmi Testület véleményét, és az Európai Adatvédelmi Testület elnökének tájékoztatása vagy a vélemény beérkezését követő két héten belül, elektronikus úton, egységes formanyomtatvány segítségével értesíti az Európai Adatvédelmi Testület elnökét és a Bizottságot az intézkedéstervezet fenntartásáról vagy módosításáról, valamint adott esetben megküldi a módosított intézkedéstervezetet. |
(8) Az Európai Adatvédelmi Testület a (6a) és a (7) bekezdések szerint a tagok egyszerû többségével fogadja el a véleményeket. A véleményeket nyilvánosságra kell hozni. |
Módosítás 167 Rendeletre irányuló javaslat 58 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
58a. cikk |
|
Egységesség az egyedi ügyekben |
|
(1) Az (54a) bekezdés értelmében joghatás kiváltására szolgáló intézkedés elfogadása elõtt a fõ hatóság megosztja az összes releváns információt és az intézkedés tervezetét benyújtja az összes többi illetékes hatóságnak. A fõ hatóság nem fogadja el a véleményt, ha az illetékes hatóság – három héten belül – jelzi, hogy komoly fenntartásai vannak az intézkedéssel szemben. |
|
(2) Amennyiben az illetékes hatóság jelezte, hogy komoly fenntartásai vannak a fõ hatóság intézkedéstervezetével szemben, vagy a fõ hatóság nem nyújt be az (1) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk szerinti kölcsönös segítségnyújtásra vagy az 56. cikk szerinti közös mûveletekre vonatkozó kötelezettségét, az ügyet az Európai Adatvédelmi Testület vitatja meg. |
|
(3) A fõ hatóság és/vagy más érintett illetékes hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formanyomtatvány segítségével közli az Európai Adatvédelmi Testülettel az összes releváns információt, beleértve a tények összefoglalását, az intézkedéstervezetet, az ilyen intézkedés elrendelésének szükségességét igazoló indokokat, az intézkedéssel szemben emelt kifogásokat és más illetékes felügyelõ hatóságok álláspontját. |
|
(4) Az Európai Adatvédelmi Testület – figyelembe véve a fõ hatóság intézkedéstervezetének hatását és az érintettek alapvetõ jogait és szabadságait – megfontolja az ügyet, és a tagok egyszerû többségével dönt arról, hogy véleményezze-e az ügyet a vonatkozó információk rendelkezésre bocsátásától számított két héten belül, a (3) bekezdésnek megfelelõen. |
|
(5) Amennyiben az Európai Adatvédelmi Testület úgy dönt, hogy véleményt fogad el, ezt hat héten belül kell megtennie, és a véleményt nyilvánosságra kell hoznia. |
|
(6) A fõ hatóság a messzemenõen figyelembe veszi az Európai Adatvédelmi Testület véleményét, és az Európai Adatvédelmi Testület elnökének tájékoztatása vagy a vélemény beérkezését követõ két héten belül, elektronikus úton, egységes formanyomtatvány segítségével értesíti az Európai Adatvédelmi Testület elnökét és a Bizottságot az intézkedéstervezet fenntartásáról vagy módosításáról, valamint adott esetben megküldi a módosított intézkedéstervezetet. Amennyiben a fõ hatóság nem szándékozik követni az Európai Adatvédelmi Testület véleményét, erre vonatkozóan megalapozott indokolással szolgál. |
|
(7) Amennyiben az Európai Adatvédelmi Testület még mindig kifogásolja a felügyelõ hatóság (5) bekezdésben említett intézkedését, egy hónapon belül kétharmados többséggel a felügyelõ hatóságra nézve kötelezõ erejû intézkedést fogadhat el. |
Módosítás 168 Rendeletre irányuló javaslat 59 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
59. cikk |
törölve |
A Bizottság véleménye |
|
(1) A kérdés 58. cikk szerinti felmerülésétől számított tíz héten belül, vagy a 61. cikk esetében legkésőbb hat héten belül a Bizottság e rendelet helyes és következetes alkalmazása érdekében véleményt fogadhat el az 58. vagy a 61. cikk értelmében felmerült kérdésekkel kapcsolatban. |
|
(2) Amennyiben a Bizottság az (1) bekezdés értelmében véleményt fogad el, az érintett felügyelő hatóság a lehető legkiemeltebb figyelmet fordítja a Bizottság véleményére, és értesíti a Bizottságot és az Európai Adatvédelmi Testületet arról, hogy fenntartja vagy módosítja-e az intézkedéstervezetet. |
|
(3) Az (1) bekezdésben megjelölt időszakban a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet. |
|
(4) Amennyiben az érintett felügyelő hatóság nem kívánja követni a Bizottság véleményét, az (1) bekezdésben megjelölt időn belül indokolás mellett értesíti erről a Bizottságot és az Európai Adatvédelmi Testületet. Ebben az esetben az intézkedéstervezetet további egy hónapig nem lehet elfogadni. |
|
Módosítás 169 Rendeletre irányuló javaslat 60 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
60. cikk |
törölve |
Az intézkedéstervezet felfüggesztése |
|
(1) Az 59. cikk (4) bekezdése szerinti értesítést követő egy hónapon belül, valamint ha a Bizottság komolyan kételkedik abban, hogy az intézkedés e rendelet helyes alkalmazását szolgálja, vagy más módon vezet következetlen alkalmazáshoz, a Bizottság indokolással ellátott határozatban kötelezheti a felügyelő hatóságot az intézkedéstervezet elfogadásának felfüggesztésére, figyelembe véve az Európai Adatvédelmi Testületnek az 58. cikk (7) bekezdése vagy a 61. cikk (2) bekezdése szerinti véleményét, amennyiben az szükségesnek tűnik az alábbiak szempontjából: |
|
a) a felügyelő hatóság és az Európai Adatvédelmi Testület ellentmondó álláspontjainak összehangolása, amennyiben ez még lehetséges; vagy |
|
b) a 62. cikk (1) bekezdésének a) pontja szerinti intézkedés elfogadása. |
|
(2) A Bizottság meghatározza a felfüggesztés időtartamát, amely nem haladhatja meg a 12 hónapot. |
|
(3) A (2) bekezdésben megjelölt időszakon belül a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet. |
|
Módosítás 170 Rendeletre irányuló javaslat 60 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
60a. cikk |
|
Az Európai Parlament és a Tanács értesítése |
|
A Bizottság az Európai Adatvédelmi Testület elnökének jelentése alapján rendszeres idõközönként, legalább félévente tájékoztatja az Európai Parlamentet és a Tanácsot az egységességi mechanizmus keretében kezelt ügyekrõl, és közzéteszi a Bizottság és az Európai Adatvédelmi Testület által az e rendelet egységes végrehajtásának és alkalmazásának biztosítására vonatkozóan levont következtetéseket. |
Módosítás 171 Rendeletre irányuló javaslat 61 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Kivételes körülmények között, amennyiben a felügyelő hatóság megállapítja, hogy sürgős intézkedésre van szükség az érintettek védelme érdekében, különösen amennyiben fennáll a veszélye annak, hogy valamely érintett jogának érvényesítését lényeges mértékben korlátozza a fennálló állapot megváltoztatása, vagy amennyiben lényeges hátrányok merülnek fel, vagy más okok miatt, az 58. cikk szerinti eljárásoktól eltérően azonnal ideiglenes, meghatározott érvényességi idejű intézkedéseket fogad el. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról. |
(1) Kivételes körülmények között, amennyiben a felügyelõ hatóság megállapítja, hogy sürgõs intézkedésre van szükség az érintettek védelme érdekében, különösen amennyiben fennáll a veszélye annak, hogy valamely érintett jogának érvényesítését lényeges mértékben korlátozza a fennálló állapot megváltoztatása, vagy amennyiben lényeges hátrányok merülnek fel, vagy más okok miatt, az 58a. cikk szerinti eljárásoktól eltérõen azonnal ideiglenes, meghatározott érvényességi idejû intézkedéseket fogad el. A felügyelõ hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekrõl és azok valamennyi indokáról. |
Módosítás 172 Rendeletre irányuló javaslat 61 cikk – 4 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(4) Az 58. cikk (7) bekezdésétől eltérően az e cikk (2) és (3) bekezdésében hivatkozott sürgős véleményt az Európai Adatvédelmi Testület tagjai egyszerű többséggel, két héten belül fogadják el. |
(4) Az e cikk (2) és (3) bekezdésében hivatkozott sürgõs véleményt az Európai Adatvédelmi Testület tagjai egyszerû többséggel, két héten belül fogadják el. |
Módosítás 173 Rendeletre irányuló javaslat 62 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Végrehajtási jogi aktusok |
Végrehajtási jogi aktusok |
(1) A Bizottság végrehajtási aktusokat fogad el: |
(1) A Bizottság – az Európai Adatvédelmi Testület véleményének kikérését követõen – általános érvényû végrehajtási aktusokat fogadhat el: |
a) e rendelet helyes alkalmazásáról való döntés érdekében, összhangban annak céljaival és előírásaival, a felügyelő hatóságok által az 58. vagy a 61. cikk értelmében közölt olyan kérdésekkel kapcsolatban, amelyek vonatkozásában a 60. cikk (1) bekezdése szerinti indokolással ellátott véleményt fogadtak el, vagy olyan kérdésekkel kapcsolatban, amelyek vonatkozásában egy felügyelő hatóság nem terjesztett elő intézkedéstervezetet és e felügyelő hatóság jelezte, hogy nem szándékozik követni a Bizottság 59. cikk alapján elfogadott véleményét; |
|
b) az 59. cikk (1) bekezdésben megjelölt határidőn belül annak eldöntésére, hogy az 58. cikk (2) bekezdésének d) pontja szerinti egységes adatvédelmi feltételeket általánosan érvényesnek tekinti-e; |
b) annak eldöntésére, hogy a 42. cikk (2) bekezdésének d) pontja szerinti egységes adatvédelmi feltételeket általánosan érvényesnek tekinti-e; |
c) az e szakaszban hivatkozott egységességi mechanizmus alkalmazása formátumának és eljárásainak meghatározása érdekében; |
|
d) a felügyelő hatóságok, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus információcserére, különösen az 58. cikk (5), (6) és (8) bekezdése szerinti egységes formanyomtatványra vonatkozó szabályozás meghatározása érdekében. |
d) a felügyelő hatóságok, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus információcserére, különösen az 58. cikk (5), (6) és (8) bekezdése szerinti egységes formanyomtatványra vonatkozó szabályozás meghatározása érdekében. |
E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
|
(2) Az (1) bekezdés a) pontja szerinti, az érintettek érdekeire vonatkozó kellően indokolt rendkívül sürgős esetekben a Bizottság a 87. cikk (3) bekezdése szerinti eljárással összhangban azonnali hatállyal alkalmazandó végrehajtási jogi aktusokat fogad el. E végrehajtási jogi aktusok hatálya nem haladhatja meg a 12 hónapot. |
|
(3) Az e szakasz szerinti intézkedés hiánya vagy elfogadása nem érinti a Bizottság Szerződések szerinti egyéb intézkedéseit. |
(3) Az e szakasz szerinti intézkedés hiánya vagy elfogadása nem érinti a Bizottság Szerződések szerinti egyéb intézkedéseit. |
Módosítás 174 Rendeletre irányuló javaslat 63 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Amennyiben valamely felügyelő hatóság az 58. cikk (1)–(5) bekezdésének megsértésével nem nyújt be intézkedéstervezetet az egységességi mechanizmus számára, a felügyelő hatóság intézkedése nem tekinthető jogerősnek és végrehajthatónak. |
(2) Amennyiben valamely felügyelõ hatóság az 58. cikk (1)–(2) bekezdésének megsértésével nem nyújt be intézkedéstervezetet az egységességi mechanizmus számára, vagy az 58a. cikk (1) bekezdése szerinti komoly ellenvetés jelzése ellenére fogad el intézkedést, a felügyelõ hatóság intézkedése nem tekinthetõ jogerõsnek és végrehajthatónak. |
Módosítás 175 Rendeletre irányuló javaslat 66 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Az Európai Adatvédelmi Testület feladatai |
Az Európai Adatvédelmi Testület feladatai |
(1) Az Európai Adatvédelmi Testület biztosítja e rendelet következetes alkalmazását. Ennek érdekében az Európai Adatvédelmi Testület saját kezdeményezésére vagy a Bizottság kérésére különösen: |
(1) Az Európai Adatvédelmi Testület biztosítja e rendelet következetes alkalmazását. Ennek érdekében az Európai Adatvédelmi Testület saját kezdeményezésére vagy az Európai Parlament, a Tanács, illetve a Bizottság kérésére különösen: |
a) tanáccsal látja el a Bizottságot a személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük e rendelet bármely javasolt módosítása tekintetében; |
a) tanáccsal látja el az európai intézményeket a személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük e rendelet bármely javasolt módosítása tekintetében; |
b) saját kezdeményezésére, valamely tagja vagy a Bizottság kérésére megvizsgál bármely, e rendelet alkalmazását érintő kérdést, valamint e rendelet következetes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelő hatóságok számára; |
b) saját kezdeményezésére, valamely tagja vagy az Európai Parlament, a Tanács, illetve a Bizottság kérésére megvizsgál bármely, e rendelet alkalmazását érintõ kérdést, valamint e rendelet következetes alkalmazásának, többek között a végrehajtási hatáskörök gyakorlásának elõsegítése érdekében iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelõ hatóságok számára; |
c) felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak; |
c) felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak; |
d) véleményezi az 57. cikk szerinti egységességi mechanizmus értelmében a felügyelő hatóságok határozattervezeteit; |
d) véleményezi az 57. cikk szerinti egységességi mechanizmus értelmében a felügyelő hatóságok határozattervezeteit; |
|
da) véleményt alkot arról, hogy az 54a. cikk (3) bekezdése szerint mely hatóságnak kell betöltenie a fő hatóság szerepét; |
e) előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét; |
e) előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét, beleértve a közös műveletek és más közös tevékenységek koordinálását, amennyiben egy vagy több felügyelő hatóság kérésére így dönt; |
f) támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat; |
f) támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat; |
g) előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is. |
g) előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is. |
|
ga) véleményt ad a Bizottságnak az e rendeleten alapuló, felhatalmazáson alapuló jogi aktusok és végrehajtási aktusok elkészítése során; |
|
gb) véleményt ad a 38. cikk (4) bekezdése szerinti, uniós szinten kidolgozott eljárási szabályzatokról; |
|
gc) véleményt ad a 39. cikk (3) bekezdése szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó követelményekrõl és feltételekrõl; |
|
gd) a 39. cikk (1h) bekezdésének megfelelõen nyilvános elektronikus nyilvántartást vezet az érvényes és érvénytelen tanúsítványokról; |
|
ge) kérésre segítséget nyújt a nemzeti felügyelõ hatóságoknak; |
|
gf) létrehozza és nyilvánossá teszi a 34. cikk szerinti elõzetes konzultáció hatálya alatt álló feldolgozási mûveletek jegyzékét; |
|
gg) nyilvántartást vezet az illetékes felügyelõ hatóság által az adatkezelõkre és -feldolgozókra kiszabott szankciókról; |
(2) Amennyiben a Bizottság tanácsot kér az Európai Adatvédelmi Testülettől, az ügy sürgősségét figyelembe véve meghatározhatja azt a határidőt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia. |
(2) Amennyiben az Európai Parlament, a Tanács vagy a Bizottság tanácsot kér az Európai Adatvédelmi Testülettõl, az ügy sürgõsségét figyelembe véve meghatározhatja azt a határidõt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia. |
(3) Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és legjobb gyakorlatait továbbítja a Bizottságnak és a 87. cikk szerinti bizottságnak, és nyilvánosságra hozza azokat. |
(3) Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és legjobb gyakorlatait továbbítja az Európai Parlamentnek, a Tanácsnak és a Bizottságnak és a 87. cikk szerinti bizottságnak, és nyilvánosságra hozza azokat. |
(4) A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről. |
(4) A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről. |
|
(4a) Az Európai Adatvédelmi Testület – adott esetben – konzultál az érintett felekkel, és lehetõséget biztosít számukra, hogy méltányos idõn belül véleményezzék az intézkedéseket. Az Európai Adatvédelmi Testület a 72. cikk sérelme nélkül nyilvánosságra hozza a konzultációs eljárás eredményeit. |
|
(4b) Az Európai Adatvédelmi Testület megbízást kap arra, hogy az (1) bekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az állítólagos jogellenes adatfeldolgozással kapcsolatos információk átvételére és vizsgálatára, valamint a kapott információk titkossága és az információforrások megóvására vonatkozóan. |
Módosítás 176 Rendeletre irányuló javaslat 67 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az Európai Adatvédelmi Testület rendszeresen és megfelelő időben értesíti a Bizottságot tevékenységének eredményeiről. Éves jelentést készít a személyes adatok Unióban és harmadik országokban történő feldolgozása vonatkozásában a természetes személyek védelmének helyzetéről. A jelentés tartalmazza a 66. cikk (1) bekezdésének c) pontja szerinti iránymutatások, javaslatok és bevált módszerek gyakorlati alkalmazásának felülvizsgálatát. |
(1) Az Európai Adatvédelmi Testület rendszeresen és megfelelõ idõben értesíti az Európai Parlamentet, a Tanácsot és a Bizottságot tevékenységének eredményeirõl. Legalább kétévente jelentést készít a személyes adatok Unióban és harmadik országokban történõ feldolgozása vonatkozásában a természetes személyek védelmének helyzetérõl. A jelentés tartalmazza a 66. cikk (1) bekezdésének c) pontja szerinti iránymutatások, javaslatok és bevált módszerek gyakorlati alkalmazásának felülvizsgálatát. |
Módosítás 177 Rendeletre irányuló javaslat 68 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az Európai Adatvédelmi Testület határozatait tagjainak egyszerű többségével hozza. |
(1) Az Európai Adatvédelmi Testület határozatait tagjainak egyszerű többségével hozza, kivéve, ha eljárási szabályzata eltérően rendelkezik. |
Módosítás 178 Rendeletre irányuló javaslat 69 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az Európai Adatvédelmi Testület tagjai közül elnököt és két elnökhelyettest választ. Az egyik elnökhelyettes az európai adatvédelmi biztos, kivéve, ha őt választják elnöknek. |
(1) Az Európai Adatvédelmi Testület tagjai közül elnököt és legalább két elnökhelyettest választ. |
Módosítás 179 Rendeletre irányuló javaslat 69 cikk – 2 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(2a) Az elnöki poszt teljes munkaidõs álláshely. |
Módosítás 180 Rendeletre irányuló javaslat 71 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) A titkárság az elnök irányítása alatt elemző, igazgatási és logisztikai támogatást nyújt az Európai Adatvédelmi Testület részére. |
(2) A titkárság az elnök irányítása alatt elemzõ, jogi, igazgatási és logisztikai támogatást nyújt az Európai Adatvédelmi Testület részére. |
Módosítás 181 Rendeletre irányuló javaslat 72 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az Európai Adatvédelmi Testület megbeszélései titkosak. |
(1) Az Európai Adatvédelmi Testület megbeszélései adott esetben – az eljárási szabályzat ettõl eltérõ rendelkezése hiányában – titkosak lehetnek. Az Európai Adatvédelmi Testület üléseinek napirendjét nyilvánosságra hozzák. |
Módosítás 182 Rendeletre irányuló javaslat 73 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A felügyelő bizottsághoz címzett panasz benyújtásához való jog |
A felügyelő bizottsághoz címzett panasz benyújtásához való jog |
(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül minden érintettnek joga van panaszt emelni bármely tagállam felügyelő hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes e rendelettel. |
(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok és az egységességi mechanizmus sérelme nélkül minden érintettnek joga van panaszt emelni bármely tagállam felügyelõ hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes e rendelettel. |
(2) Valamennyi olyan szerv, szervezet vagy egyesület, amelynek célja az érintettek személyes adatok védelmére vonatkozó jogainak és érdekeinek védelme, és amelyet valamely tagállam jogának megfelelõen hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelõ hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak e rendelet szerinti jogait. |
(2) A közérdekbõl eljáró valamennyi olyan szerv, szervezet vagy egyesület, amelyet valamely tagállam jogának megfelelõen hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelõ hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak e rendelet szerinti jogait. |
(3) Az érintett panaszától függetlenül a (2) bekezdés szerinti szerv, szervezet vagy egyesület jogosult bármely tagállam felügyelő hatóságánál panaszt emelni, ha megítélése szerint a személyes adatok megsértésére került sor. |
(3) Az érintett panaszától függetlenül a (2) bekezdés szerinti szerv, szervezet vagy egyesület jogosult bármely tagállam felügyelõ hatóságánál panaszt emelni, ha megítélése szerint e rendelet megsértésére került sor. |
Módosítás 183 Rendeletre irányuló javaslat 74 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog |
A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog |
(1) Minden természetes vagy jogi személy jogosult a felügyelő hatóság rá vonatkozó döntései ellen bírósági jogorvoslatot igénybe venni. |
(1) Egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül minden természetes vagy jogi személy jogosult a felügyelõ hatóság rá vonatkozó döntései ellen bírósági jogorvoslatot igénybe venni. |
(2) A jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelő hatóság három hónapon belül nem tájékoztatja az érintettet – az 52. cikk (1) bekezdésének b) pontjának megfelelően – a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről, valamennyi érintettnek joga van a felügyelő hatóságot a panasz elbírálására kötelező bírósági jogorvoslathoz. |
(2) Egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelõ hatóság három hónapon belül nem tájékoztatja az érintettet – az 52. cikk (1) bekezdésének b) pontjának megfelelõen – a panasszal kapcsolatos eljárási fejleményekrõl vagy annak eredményérõl, valamennyi érintettnek joga van a felügyelõ hatóságot a panasz elbírálására kötelezõ bírósági jogorvoslathoz. |
(3) A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani. |
(3) A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani. |
(4) Amennyiben az érintettre egy másik tagállam felügyelő hatóságának határozata vonatkozik, mint amelyikben szokásos tartózkodási helye van, az érintett kérheti a szokásos tartózkodási hely szerinti tagállam felügyelő hatóságát, hogy nevében indítson eljárást a másik tagállam felügyelő hatóságával szemben. |
(4) Az egységességi mechanizmus sérelme nélkül, amennyiben az érintettre egy másik tagállam felügyelõ hatóságának határozata vonatkozik, mint amelyikben szokásos tartózkodási helye van, az érintett kérheti a szokásos tartózkodási hely szerinti tagállam felügyelõ hatóságát, hogy nevében indítson eljárást a másik tagállam felügyelõ hatóságával szemben. |
(5) A tagállamok végrehajtják a jelen cikkben említett jogerős bírósági határozatokat. |
(5) A tagállamok végrehajtják a jelen cikkben említett jogerős bírósági határozatokat. |
Módosítás 184 Rendeletre irányuló javaslat 75 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Az adatkezelő vagy -feldolgozó elleni eljárást az adatkezelő vagy -feldolgozó telephelye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő közhatalmi jogkörét gyakorló hatóság. |
(2) Az adatkezelő vagy -feldolgozó elleni eljárást az adatkezelő vagy -feldolgozó telephelye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága elõtt is, kivéve, ha az adatkezelõ az Unió vagy valamely tagállam közhatalmi jogkörét gyakorló hatósága. |
Módosítás 185 Rendeletre irányuló javaslat 76 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) A 73. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult a 74. és 75. cikk szerinti jogokat egy vagy több érintett nevében gyakorolni. |
(1) A 73. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult a 74., 75. és 77. cikk szerinti jogokat egy vagy több érintett arra vonatkozó meghatalmazása alapján gyakorolni. |
Módosítás 186 Rendeletre irányuló javaslat 77 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az e rendelettel összeegyeztethetetlen cselekmény eredményeként kárt szenvedett, az elszenvedett károkért az adatkezelővel vagy -feldolgozóval szemben kártérítésre jogosult |
(1) Minden olyan személy, aki jogellenes adatfeldolgozási mûvelet vagy az e rendelettel összeegyeztethetetlen cselekmény eredményeként kárt – köztük nem vagyoni kárt – szenvedett, az elszenvedett károkért az adatkezelõvel vagy -feldolgozóval szemben kártérítési igény benyújtására jogosult. |
Módosítás 187 Rendeletre irányuló javaslat 77 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Amennyiben az adatfeldolgozásban egynél több adatkezelő vagy -feldolgozó vesz részt, minden adatkezelő vagy -feldolgozó egyetemlegesen felel a kár teljes összegéért. |
(2) Amennyiben az adatfeldolgozásban egynél több adatkezelõ vagy -feldolgozó vesz részt, az adatkezelõk vagy -feldolgozók egyetemlegesen felelnek a kár teljes összegéért, kivéve, ha megfelelõ írásos megállapodást kötöttek, amely a 24. cikk értelmében meghatározza a felelõsséget. |
Módosítás 188 Rendeletre irányuló javaslat 79 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Közigazgatási szankciók |
Közigazgatási szankciók |
(1) Valamennyi felügyelő hatóság hatáskörrel rendelkezik e cikknek megfelelő közigazgatási szankciók alkalmazására. |
(1) Valamennyi felügyelő hatóság hatáskörrel rendelkezik e cikknek megfelelő közigazgatási szankciók alkalmazására. A felügyelő hatóságok a 46. és az 57. cikkel összhangban együttműködnek egymással annak érdekében, hogy összehangolt szintű szankciókat garantáljanak az Unión belül. |
(2) A közigazgatási szankcióknak minden egyes esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A közigazgatási bírság összegének meghatározása során kellő figyelmet kell fordítani a jogsértés jellegére, súlyosságára és időtartamára, a jogsértés szándékos vagy gondatlan jellegére, a természetes vagy jogi személy felelősségének szintjére és az e személy által korábban megvalósított jogsértésekre, a 23. cikk szerint alkalmazott technikai és szervezeti intézkedésekre és eljárásokra, valamint a felügyelő hatóságokkal a jogsértés orvoslása érdekében megvalósított együttműködés szintjére. |
(2) A közigazgatási szankcióknak minden egyes esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. |
|
(2a) A felügyelő hatóság mindenkivel szemben, aki nem teljesíti az e rendeletben megállapított kötelezettségeket, legalább a következő szankciókat alkalmazza: |
|
a) elsõ és nem szándékos meg nem felelés esetén írásbeli figyelmeztetés; |
|
b) rendszeres időszakos adatvédelmi ellenőrzések; |
|
c) 250 000 euróig terjedõ bírság vagy vállalkozás esetén az éves világméretû forgalom legfeljebb 5%-a, ha ez a magasabb. |
|
(2b) Ha az adatkezelõ vagy -feldolgozó a 39. cikk szerinti érvényes „európai adatvédelmi címkével” rendelkezik, a (2a) bekezdés c) pontja szerinti bírság alkalmazására kizárólag szándékos vagy gondatlan kötelezettségszegés esetén kerül sor. |
|
(2c) A közigazgatási szankció kiszabásakor a következő tényezőket kell figyelembe venni: |
|
a) a kötelezettségszegés jellege, súlyossága és idõtartama, |
|
b) a jogsértés szándékos vagy gondatlan volta, |
|
c) a természetes vagy jogi személy felelõsségének és az e személy által korábban megvalósított jogsértéseknek a szintje, |
|
d) a jogsértés ismétlõdõ jellege, |
|
e) a felügyelõ hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése tekintetében folytatott együttmûködés mértéke; |
|
f) a jogsértéssel érintett személyes adatok különös kategóriái, |
|
g) az érintettek által elszenvedett kár – köztük nem vagyoni kár – mértéke, |
|
h) az intézkedés, amelyet az adatkezelõ vagy az adatfeldolgozó az érintettek által elszenvedett kár enyhítése érdekében tett, |
|
i) a jogsértés révén közvetve vagy közvetlenül elérni szándékozott vagy elért pénzügyi elõny vagy elkerült kár, |
|
j) az alábbiak szerint végrehajtott technikai és szervezeti intézkedések és eljárások szintje: |
|
i. 23. cikk – Beépített és alapértelmezett adatvédelem |
|
ii. 30. cikk – Az adatfeldolgozás biztonsága |
|
iii. 33. cikk – Adatvédelmi hatásvizsgálat |
|
iv. 33a. cikk – Az adatvédelmi szabályok betartásának vizsgálata |
|
v. 35. cikk – Az adatvédelmi tisztviselõ kijelölése; |
|
k) a felügyelõ hatóság által az 53. cikk alapján lefolytatott vizsgálatok és ellenõrzések során az együttmûködés megtagadása, vagy azok akadályozása, |
|
l) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítõ tényezõ. |
(3) Az e rendeletnek való első és nem szándékos meg nem felelés esetén írásbeli figyelmeztetést bocsátható ki és mellőzhető a szankció kiszabása, amennyiben: |
|
a) kereskedelmi érdek nélkül személyes adatokat feldolgozó természetes személyek; vagy |
|
b) a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő melléktevékenységként dolgoz fel. |
|
(4) A felügyelő hatóság 250.000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 0,5%-át, azzal szemben, aki szándékosan vagy gondatlanságból: |
|
a) nem hozza létre az érintettek kérelmeihez kapcsolódó mechanizmusokat, vagy az érintetteknek nem válaszol haladéktalanul, vagy nem a megfelelő formátumban, a 12. cikk (1) és (2) bekezdése szerint; |
|
b) a 12. cikk (4) bekezdésének megsértésével díjat számít fel az érintettek tájékoztatásáért vagy a kérelmeik megválaszolásáért; |
|
(5) A felügyelő hatóság 500 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 1%-át, azzal szemben, aki szándékosan vagy gondatlanságból: |
|
a) nem, vagy hiányosan, vagy nem megfelelően átlátható módon bocsátja az érintett rendelkezésére a 11. cikk, a 12. cikk (3) bekezdése vagy a 14. cikk szerinti információt; |
|
b) nem biztosítja az érintett számára hozzáférést vagy nem helyesbíti a személyes adatokat a 15. és a 16. cikk szerint, vagy nem értesíti a címzettet a vonatkozó információkról a 13. cikk szerint; |
|
c) nem tesz eleget a személyes adatok tárolásának megszüntetéséhez vagy a törléshez való jognak, vagy elmulasztja a határidők nyomon követésére szolgáló mechanizmusok létrehozását, vagy nem teszi meg a szükséges lépéseket annak érdekében, hogy tájékoztassa a harmadik feleket az érintetteknek link, másolat vagy másodpéldány törlésére irányuló kérelméről a 17. cikk szerint; |
|
d) a 18. cikk megsértésével nem bocsátja elektronikus formában rendelkezésre a személyes adatok másolatát, vagy megakadályozza az érintettet a személyes adatok más alkalmazásba való továbbításában; |
|
e) nem vagy nem kellőképpen határozza meg a közös adatkezelők vonatkozó kötelezettségeit a 24. cikk szerint; |
|
f) nem vagy nem kellőképpen vezeti a 28. cikk, a 31. cikk (4) bekezdése, vagy a 44. cikk (3) bekezdése szerinti dokumentációt; |
|
g) az adatok különös kategóriáit nem érintő esetekben nem tesz eleget a 80., 82. és 83. cikk szerint a véleménynyilvánítás szabadságához kapcsolódó szabályoknak, vagy a foglalkoztatással összefüggő feldolgozáshoz kapcsolódó szabályoknak, vagy a történelmi, statisztikai vagy tudományos kutatási célú feldolgozás feltételeinek. |
|
(6) A felügyelő hatóság 1 000 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 2%-át, azzal szemben, aki szándékosan vagy gondatlanságból: |
|
a) a személyes adatok feldolgozását a feldolgozáshoz szükséges jogalap nélkül vagy megfelelő jogalap nélkül végzi, vagy nem tesz eleget a 6., 7. és 8. cikk szerinti hozzájárulás feltételeinek; |
|
b) a 9. és a 81. cikk megsértésével dolgozza fel az adatok különös kategóriáit; |
|
c) nem tesz eleget a kifogásolásnak vagy a 19. cikk szerinti követelményeknek; |
|
d) nem tesz eleget a profilalkotáson alapuló mechanizmusok 20. cikk szerinti feltételeinek; |
|
e) nem fogadja el azokat a belső politikákat vagy nem alkalmazza azokat a megfelelő intézkedéseket, amelyek biztosítják és igazolják a 22., 23. és 30. cikkel való összhangot; |
|
f) nem jelöli ki a 25. cikk szerinti képviselőt; |
|
g) a 26. és a 27. cikk szerint az adatkezelő nevében végzett feldolgozáshoz kapcsolódó kötelezettségek megsértésével dolgozza fel a személyes adatokat vagy irányítja azok feldolgozását; |
|
h) nem, vagy nem időben vagy nem teljes mértékben figyelmezteti vagy értesíti a felügyelő hatóságot vagy az érintettet a személyes adatok megsértéséről a 31. és a 32. cikk szerint; |
|
i) nem végez adatvédelmi hatásvizsgálatot, vagy a felügyelő hatóság 33. és 34. cikk szerinti előzetes engedélyezése vagy a vele való előzetes konzultáció nélkül dolgoz fel személyes adatot; |
|
j) a 35., 36. és 37. cikk szerint nem jelöl ki adatvédelmi tisztviselőt, vagy nem biztosítja a feladatai ellátásához szükséges feltételeket; |
|
k) visszaél a 39. cikk értelmében vett adatvédelmi címkével vagy jelzővel; |
|
l) olyan harmadik országba vagy nemzetközi szervezet részére végez vagy irányít adattovábbítást, amelyet nem engedélyeztek megfelelőségi határozattal, vagy megfelelő biztosítékok, vagy eltérés alapján a 40–44. cikk szerint; |
|
m) nem tesz eleget a felügyelő hatóság 53. cikk (1) bekezdése szerinti utasításának vagy az adatfeldolgozás átmeneti vagy végleges tilalmára vagy az adatáramlás felfüggesztésére vonatkozó felszólításának; |
|
n) nem tesz eleget a 28. cikk (3) bekezdése, a 29. cikk, a 34. cikk (6) bekezdése és az 53. cikk (2) bekezdése szerinti azon kötelezettségének, hogy a felügyelő hatóságot támogassa, válaszoljon neki vagy rendelkezésére bocsássa a vonatkozó információkat, vagy belépést biztosítson a helyiségeibe; |
|
o) nem tesz eleget a szakmai titoktartás biztosítására vonatkozó, 84. cikk szerinti szabályoknak. |
|
(7) A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés szerinti feltétel figyelembevétele mellett, az e cikk (4), (5) és (6) bekezdése szerinti közigazgatási bírságok összegének aktualizálása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(7) A Bizottság felhatalmazást kap arra, hogy a (2) és a (2c) bekezdések szerinti feltételek és tényezõk figyelembevétele mellett, a (2a) bekezdés szerinti közigazgatási bírságok abszolút értékben meghatározott összegének aktualizálása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
Módosítás 189 Rendeletre irányuló javaslat 80 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) A tagállamok az újságírás vagy az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás tekintetében annak érdekében határozhatnak meg kivételeket vagy eltéréseket a II. fejezet szerinti általános alapelvekre, az érintettek III. fejezet szerinti jogaira, a IV. fejezet szerinti adatkezelőre és -feldolgozóra, a személyes adatok harmadik országokba vagy nemzetközi szervezetekhez irányuló, V. fejezet szerinti továbbítására, a VI. fejezet szerinti független felügyelő hatóságokra, valamint a VII. fejezet szerinti együttműködésre és egységességre vonatkozó rendelkezések tekintetében, hogy biztosítsák az egyensúlyt a személyes adatok védelméhez való jog és a véleménynyilvánítás szabadságára vonatkozó szabályok között. |
(1) A tagállamok – adott esetben – annak érdekében határozhatnak meg kivételeket vagy eltéréseket a II. fejezet szerinti általános alapelvekre, az érintettek III. fejezet szerinti jogaira, a IV. fejezet szerinti adatkezelõre és -feldolgozóra, a személyes adatok harmadik országokba vagy nemzetközi szervezetekhez irányuló, V. fejezet szerinti továbbítására, a VI. fejezet szerinti független felügyelõ hatóságokra, valamint a VII. fejezet szerinti együttmûködésre és egységességre, illetve a IX. fejezet szerinti speciális adatfeldolgozó helyzetekre vonatkozó rendelkezések tekintetében, hogy biztosítsák az egyensúlyt a személyes adatok védelméhez való jog és a véleménynyilvánítás szabadságára vonatkozó szabályok között az Európai Unió Alapjogi Chartájával és az abban az EJEE-re történõ hivatkozással összhangban. |
Módosítás 190 Rendeletre irányuló javaslat 80 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
80a. cikk |
|
Dokumentumokhoz való hozzáférés |
|
(1) A hatóság vagy állami szerv birtokában lévõ dokumentumokban található személyes adatokat a szóban forgó hatóság vagy szerv a hivatalos iratokhoz való nyilvános hozzáférésre vonatkozó uniós vagy tagállami jogszabályokkal összhangban közölheti, amelyek összeegyeztetik a személyes adatok védelméhez való jogot a hivatalos iratokhoz való nyilvános hozzáférés elvével. |
|
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
Módosítás 191 Rendeletre irányuló javaslat 81 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Egészségügyi vonatkozású személyes adatok feldolgozása |
Egészségügyi vonatkozású személyes adatok feldolgozása |
(1) E rendelet keretein belül és a 9. cikk (2) bekezdésének h) pontjával összhangban az egészségügyi vonatkozású személyes adatok feldolgozása olyan uniós vagy tagállami jogszabályok alapján történhet, amely megfelelő és konkrét intézkedések megállapításával biztosítja az érintett jogos érdekeit, és arra az alábbiak miatt van szükség: |
(1) Az e rendeletben megállapított szabályokkal – és különösen a 9. cikk (2) bekezdésének h) pontjával – összhangban az egészségügyi vonatkozású személyes adatok feldolgozása olyan uniós vagy tagállami jogszabályok alapján történhet, amelyek megfelelõ, egységes és konkrét intézkedések megállapításával biztosítják az érintett érdekeit és alapvetõ jogait, abban az esetben, amennyiben ezekre szükség van és ésszerûek, és amennyiben ezek következményei az érintett által beláthatóak, és a következõ célokat szolgálják: |
a) a megelőző orvoslás vagy foglalkozás-egészségügy, az orvosi diagnózis, az ellátások vagy kezelések biztosítása vagy az egészségügyi szolgáltatások irányítása érdekében, ha ezeket az adatokat a szakmai titoktartás kötelezettsége alatt álló egészségügyi szakember, vagy a tagállamok joga vagy az illetékes nemzeti hatóságok által létrehozott szabályok szerint ezzel azonos titoktartási kötelezettség alatt álló más személy dolgozza fel; vagy |
a) a megelőző orvoslás vagy foglalkozás-egészségügy, az orvosi diagnózis, az ellátások vagy kezelések biztosítása vagy az egészségügyi szolgáltatások irányítása érdekében, ha ezeket az adatokat a szakmai titoktartás kötelezettsége alatt álló egészségügyi szakember, vagy a tagállamok joga vagy az illetékes nemzeti hatóságok által létrehozott szabályok szerint ezzel azonos titoktartási kötelezettség alatt álló más személy dolgozza fel; vagy |
b) a népegészség területét érintő közérdek miatt, mint például a határokon átnyúló komoly egészségügyi fenyegetésekkel szembeni védelem, többek a gyógyszeripari termékek vagy orvosi berendezések minősége és biztonsága magas szintjének biztosítása; vagy |
b) a népegészség területét érintő közérdek miatt, mint például a határokon átnyúló komoly egészségügyi fenyegetésekkel szembeni védelem, többek között a gyógyszeripari termékek vagy orvosi berendezések minősége és biztonsága magas szintjének biztosítása, valamint amikor az ilyen adatok feldolgozását titoktartási kötelezettség hatálya alá tartozó személy végzi; vagy |
c) egyéb közérdek miatt olyan területeken, mint például a szociális védelem, különösen annak érdekében, hogy biztosítsák az egészségbiztosítási rendszerben az ellátásokra és szolgáltatásokra vonatkozó kérelmek kezelésére szolgáló eljárások minőségét és költséghatékonyságát. |
c) egyéb közérdek miatt olyan területeken, mint például a szociális védelem, különösen annak érdekében, hogy biztosítsák az egészségbiztosítási rendszerben és az egészségügyi szolgáltatásnyújtás körében az ellátásokra és szolgáltatásokra vonatkozó kérelmek kezelésére szolgáló eljárások minőségét és költséghatékonyságát. A személyes adatok közérdekû egészségügyi célú feldolgozása nem eredményezheti a személyes adatok más célból való feldolgozását, kivéve, ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján. |
|
(1a) Amennyiben az (1) bekezdés a)–c) pontjában említett célok személyes adatok felhasználása nélkül is elérhetõk, az ilyen adatok ezekre a célokra nem használhatók fel, kivéve, ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján. |
|
(1b) Amennyiben az érintett hozzájárulása szükséges az egészségügyi adatok kizárólag közegészségügyi célú tudományos kutatásához, a hozzájárulás egy vagy több konkrét, hasonló kutatáshoz is megadható. Az érintett azonban bármikor visszavonhatja a hozzájárulását. |
|
(1c) A klinikai vizsgálatok tudományos kutatói tevékenységeiben való részvételhez történõ hozzájárulás esetére a 2001/20/EK európai parlamenti és tanácsi rendelet1 vonatkozó rendelkezései alkalmazandók. |
(2) Az egészségügyi vonatkozású személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozására, mint például a diagnózisok fejlesztése és a hasonló betegségek megkülönböztetése és terápiás tanulmányok előkészítése céljából betegnyilvántartások létrehozatala, a 83. cikk szerinti feltételeket és biztosítékokat kell alkalmazni. |
(2) Az egészségügyi vonatkozású személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása kizárólag az érintett hozzájárulásával megengedett, és arra a 83. cikk szerinti feltételeket és biztosítékokat kell alkalmazni. |
|
(2a) A tagállami jogszabályok kutatási célokból kivételeket írhatnak elõ a (2) bekezdésben említett hozzájárulási követelmény alól, a jelentõs közérdeket szolgáló kutatások esetében, ha a kutatás másként nem végezhetõ el. A szóban forgó adatokat anonimizálni kell, illetve – ha ez a kutatás céljából nem lehetséges – azokat a legmagasabb technikai szabványok mellett álnévvel kell ellátni, és minden szükséges intézkedést meg kell tenni az érintettek jogosulatlan újraazonosításának megelõzésére. Az érintettnek ugyanakkor – a 19. cikk értelmében – bármikor joga van kifogást emelnie. |
(3) A Bizottság felhatalmazást kap arra, hogy a közegészség területén az egyéb közérdek b) pont szerinti fogalmának, valamint a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(3) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követõen – a közegészség területén a közérdek (1) bekezdés b) pontja szerinti fogalmának, valamint a kutatás területén a kimagasló közérdek (2a) bekezdés szerinti fogalmának további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
(3a) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
|
Az emberi felhasználásra szánt gyógyszerekkel végzett klinikai vizsgálatok során alkalmazandó helyes klinikai gyakorlatok bevezetésére vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezések közelítésérõl szóló, 2001. április 4-i 2001/20/EK európai parlamenti és tanácsi irányelv (HL L 121., 2001.5.1., 34. o.). |
Módosítás 192 Rendeletre irányuló javaslat 82 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Foglalkoztatással összefüggő feldolgozás |
A foglalkoztatással összefüggő adatfeldolgozás minimumszabályai |
(1) E rendelet keretein belül a tagállamok jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen a toborzás, a munkaszerződés teljesítése, beleértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek biztosítása, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében. |
(1) A tagállamok az e rendeletben foglalt szabályokkal összhangban, az arányosság elvének figyelembevételével jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen, de nem kizárólag a kapcsolt vállalkozásokon belüli toborzás és álláskeresés, a munkaszerződés teljesítése, beleértve a jogszabályban és kollektív szerződésben meghatározott, a nemzeti joggal és gyakorlatokkal összhangban álló kötelezettségek biztosítása, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében. A tagállamok rendelkezhetnek úgy, hogy a kollektív megállapodások pontosabban meghatározzák az e cikkben lefektetett rendelkezéseket. |
|
(1a) Az ilyen adatok feldolgozásának kapcsolódnia kell a gyűjtés céljához, és annak összefüggésben kell maradnia a foglalkoztatással. Tilos a profilalkotás és az adatok másodlagos célokra való felhasználása. |
|
(1b) Valamely munkavállaló hozzájárulása nem teremt jogalapot adatainak a munkáltató általi feldolgozására, amennyiben a hozzájárulás megadása nem szabad akaratból történt. |
|
(1c) E rendelet egyéb rendelkezéseinek sérelme nélkül az (1) bekezdésben említett tagállami jogszabályok legalább az alábbi minimumszabályokra terjednek ki: |
|
a) a foglalkoztatottak adatainak feldolgozása a munkavállaló arról való tudomása nélkül tilos. Az első mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest szükséges és arányos. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata; |
|
b) a vállalkozás nyilvánosság számára nem hozzáférhető, elsősorban a munkavállalók magánéletét szolgáló részeinek – különösen a mosdó-, öltöző-, pihenő- és hálóhelyiségeknek – nyílt, optikai-elektronikus és/vagy nyílt akusztikus-elektronikus megfigyelése tilos. A titkos megfigyelés minden esetben tilos; |
|
c) amennyiben a vállalkozások vagy hatóságok az orvosi vizsgálatok és/vagy alkalmassági vizsgálatok keretében személyes adatokat gyűjtenek vagy dolgoznak fel, a jelentkezőket vagy a munkavállalókat előzetesen tájékoztatniuk kell, hogy az adatokat mire használják, és biztosítaniuk kell, hogy azokat utólag az eredményekkel együtt közölni fogják velük, és hogy kérésre magyarázattal szolgálnak. A genetikai vizsgálatok és elemzések céljából történő adatgyűjtés főszabály szerint tilos; |
|
d) kollektív megállapodásban szabályozható, hogy a telefon, e-mail, az internet és egyéb távközlési szolgáltatások használata magáncélokra megengedett-e, és ha igen, milyen mértékben. Amennyiben a kollektív megállapodás ezt nem szabályozza, a munkaadó a munkavállalóval közvetlen megállapodást köt. Amennyiben megengedett a magáncélú használat, a forgalmi adatok feldolgozása különösen az adatbiztonság, a távközlési hálózatok és távközlési szolgáltatások rendeltetésszerű működésének biztosítása, valamint az elszámolás céljából megengedett. |
|
Az harmadik mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest szükséges és arányos. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata; |
|
e) a munkavállalók személyes adatai, különösen az érzékeny adatok – például a politikai irányultság, a szakszervezeti tagság és tevékenység – semmilyen körülmények között nem használhatók fel a munkavállalók úgynevezett „feketelistázásához”, ellenőrzéséhez, sem pedig a jövőbeni foglalkoztatásból való kizárásához. Tilos munkavállalói feketelisták feldolgozása, foglalkoztatási összefüggésben való alkalmazása, elkészítése és továbbítása, illetve a megkülönböztetés bármilyen egyéb formája. A tagállamok a 79. cikk (6) bekezdésével összhangban ellenőrzéseket végeznek és megfelelő szankciókat fogadnak el e pont hatékony végrehajtásának biztosítására. |
|
(1d) A foglalkoztatottak személyes adatainak egy vállalkozáscsoporton belül a jogi és adótanácsadóval rendelkező, jogilag önálló vállalkozások közötti továbbítása és feldolgozása megengedett, amennyiben az a vállalkozás működése szempontjából jelentős és a célzott munkafolyamatok és adminisztratív tevékenységek végrehajtását szolgálja, valamint nem sérti az érintettek védendő érdekeit és alapvető jogait. Amennyiben a foglalkoztatottak adatainak továbbítása harmadik ország felé és/vagy nemzetközi szervezet részére történik, az V. fejezetet kell alkalmazni. |
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az (1) és az (1b) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
(3) A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(3) A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követően – a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
Módosítás 193 Rendeletre irányuló javaslat 82 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
82a. cikk |
|
A társadalombiztosítással összefüggésben végzett feldolgozás |
|
(1) A tagállamok – az e rendeletben meghatározott szabályokkal összhangban – a társadalombiztosítással összefüggésben személyes adatoknak a tagállami intézmények és szervezeti egységek általi feldolgozására vonatkozó szabályokat meghatározó különös jogalkotási szabályokat fogadhatnak el, ha a feldolgozást közérdekből végzik. |
|
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
Módosítás 194 Rendeletre irányuló javaslat 83 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Történelmi, statisztikai és tudományos kutatási célú feldolgozás |
Történelmi, statisztikai és tudományos kutatási célú feldolgozás |
(1) E rendelet keretein belül, a személyes adatok történelmi, statisztikai és tudományos kutatási célú feldolgozására csak akkor kerülhet sor, ha: |
(1) Az e rendeletben előírt szabályokkal összhangban a személyes adatok történelmi, statisztikai és tudományos kutatási célú feldolgozására csak akkor kerülhet sor, ha: |
a) e célokat másként nem lehet megvalósítani olyan adatfeldolgozással, amely nem vagy már nem teszi lehetővé az érintett azonosítását; |
a) e célokat másként nem lehet megvalósítani olyan adatfeldolgozással, amely nem vagy már nem teszi lehetővé az érintett azonosítását; |
b) az azonosított vagy azonosítható érintettre vonatkozó információhoz való hozzáférést biztosító adatot az egyéb adatoktól elkülönítve tárolják, feltéve, hogy e célok ilyen módon megvalósíthatóak. |
b) az azonosított vagy azonosítható érintettre vonatkozó információhoz való hozzáférést biztosító adatot a legmagasabb technikai szabványok mellett az egyéb adatoktól elkülönítve tárolják, és minden szükséges intézkedést megtesznek az érintettek indokolatlan újraazonosításának megelőzésére. |
(2) A történelmi, statisztikai vagy tudományos kutatást végző szervek kizárólag akkor hozhatják nyilvánosságra vagy tehetik más módon közzé a személyes adatokat, ha: |
|
a) az érintett a 7. cikkben meghatározott feltételek szerint hozzájárult; |
|
b) a személyes adatok nyilvánosságra hozatala a kutatási eredmények bemutatása vagy a kutatás megkönnyítése céljából szükséges, amennyiben az érintett érdekei, alapvető jogai vagy szabadságai nem élveznek elsőbbséget ezen érdekekkel szemben; vagy |
|
c) az érintett nyilvánosságra hozta az adatokat. |
|
(3) A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) és (2) cikkben említett célokból való feldolgozására, valamint az érintett tájékoztatáshoz és hozzáféréshez való jogának szükséges korlátozásaira, és az érintettek jogaira e körülmények között alkalmazandó biztosítékokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
|
Módosítás 195 Rendeletre irányuló javaslat 83 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
83a. cikk |
|
A személyes adatok archiválási szolgálatok általi feldolgozása |
|
(1) Az eredeti feldolgozás céljainak – amelyekre az adatokat gyűjtötték – megvalósításához szükséges időtartamon túl a személyes adatokat feldolgozhatják az olyan archiválási szolgálatok, amelyek fő feladata vagy törvényi kötelezettsége, hogy közérdekből – elsősorban az emberek jogainak igazolása céljából –, illetve történelmi, statisztikai vagy tudományos célokból összegyűjtsék, megőrizzék, osztályozzák, közöljék, rendszerezzék, kiaknázzák és terjesszék az archívumokat. E feladatokat a tagállamok által a közigazgatási vagy levéltári dokumentumokhoz való hozzáféréssel, azok átadhatóságával és terjesztésével kapcsolatban előírt szabályok tiszteletben tartása mellett, valamint az e rendeletben meghatározott szabályok betartásával kell ellátni, különös tekintettel a beleegyezésre és a kifogásoláshoz való jogra. |
|
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
Módosítás 196 Rendeletre irányuló javaslat 84 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) E rendelet keretein belül a tagállamok különös szabályokat hozhatnak a felügyelő hatóságok 53. cikk (2) bekezdése szerinti vizsgálati jogkörének meghatározására a nemzeti jog vagy valamely illetékes nemzetközi szervezet szabályai értelmében szakmai titoktartás vagy más, ezzel azonos titoktartási kötelezettség hatálya alatt álló adatkezelők vagy -feldolgozók tekintetében, amennyiben azok a személyes adatok védelméhez való jog és a titoktartási kötelezettség közötti egyensúly biztosítása érdekében szükségesek és arányosak. E szabályokat csak azokra a személyes adatokra kell alkalmazni, amelyeket az adatkezelő vagy -feldolgozó e titoktartási kötelezettség keretében végzett tevékenysége során szerzett vagy kért. |
(1) Az e rendeletben meghatározott szabályokkal összhangban a tagállamok gondoskodnak arról, hogy különös szabályok határozzák meg a felügyelő hatóságok 53. cikk (2) bekezdése szerinti jogkörét a nemzeti jog vagy valamely illetékes nemzetközi szervezet szabályai értelmében szakmai titoktartás vagy más, ezzel azonos titoktartási kötelezettség hatálya alatt álló adatkezelők vagy -feldolgozók tekintetében, amennyiben azok a személyes adatok védelméhez való jog és a titoktartási kötelezettség közötti egyensúly biztosítása érdekében szükségesek és arányosak. E szabályokat csak azokra a személyes adatokra kell alkalmazni, amelyeket az adatkezelő vagy -feldolgozó e titoktartási kötelezettség keretében végzett tevékenysége során szerzett vagy kért. |
Módosítás 197 Rendeletre irányuló javaslat 85 cikk | |
A Bizottság által javasolt szöveg |
Módosítás |
Egyházak és vallási szerveztek létező adatvédelmi szabályai |
Egyházak és vallási szerveztek létező adatvédelmi szabályai |
(1) Amennyiben egy tagállamban egyházak, illetve vallásos szervezetek vagy közösségek a rendelet hatálybalépésének időpontjában átfogó szabályokat alkalmaznak a személyek adatfeldogozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazhatók, amennyiben azokat összhangba hozzák a rendelettel. |
(1) Amennyiben egy tagállamban egyházak, illetve vallásos szervezetek vagy közösségek a rendelet hatálybalépésének időpontjában megfelelő szabályokat alkalmaznak a személyek adatfeldogozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazhatók, amennyiben azokat összhangba hozzák a rendelettel. |
(2) Az (1) bekezdéssel összhangban átfogó szabályokat alkalmazó egyházak és vallási szervezetek rendelkeznek független felügyelő hatóság létrehozásáról, e rendelet VI. fejezetével összhangban. |
(2) Az (1) bekezdéssel összhangban megfelelő szabályokat alkalmazó egyházak és vallási szervezetek a 38. cikk értelmében teljesítési véleményt kapnak. |
Módosítás 198 Rendeletre irányuló javaslat 85 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
85a. cikk |
|
Az alapvető jogok tiszteletben tartása |
|
Ez a rendelet nem módosítja az alapvető jogok és alapvető jogelvek tiszteletben tartásának az EUSZ 6. cikkében megfogalmazott kötelezettségét. |
Módosítás 199 Rendeletre irányuló javaslat 85 b cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
85b. cikk |
|
Formanyomtatványok |
|
(1) A Bizottság a különböző ágazatok és adatfeldolgozási helyzetek sajátosságait és szükségleteit figyelembe véve egységes formanyomtatványokat határozhat meg a következők vonatkozásában: |
|
a) a 8. cikk (1) bekezdésében említett ellenőrizhető hozzájárulás megszerzésének konkrét módszerei; |
|
b) a 12. cikk (2) bekezdésében említett értesítés, beleértve az elektronikus formátumot is; |
|
c) a 14. cikk (1)–(3) bekezdésében említett tájékoztatás; |
|
d) a 15. cikk (1) bekezdésében említett információkhoz való hozzáférés kérése és megadása, beleértve a személyes adatok érintettel való közlését is; |
|
e) a 28. cikk (1) bekezdésében említett dokumentáció; |
|
f) a személyes adatok megsértésének 31. cikk szerinti bejelentése a felügyelő hatóságnak és a 31. cikk (4) bekezdésében említett dokumentáció; |
|
g) a 34. cikk (2) bekezdésében említett előzetes konzultációk, valamint a felügyelő hatóságok 34. cikk (6) cikke szerinti tájékoztatása. |
|
(2) Ennek során a Bizottság megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében. |
|
(3) E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. |
Módosítás 200 Rendeletre irányuló javaslat 86 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) A Bizottság 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (7) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (5) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett felhatalmazása az e rendelet hatálybalépésnek időpontjától számított határozatlan időre szól. |
(2) A Bizottságnak a 13. cikk (5) bekezdésben, 17. cikk (9) bekezdésben, 38. cikk (4) bekezdésben,39. cikk (2) bekezdésben, 41. cikk (3) bekezdésében, 41. cikk (5) bekezdésben, 43. cikk (3) bekezdésben, 79. cikk (7) bekezdésben, 81. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett, felhatalmazáson alapuló jogi aktusok elfogadására adott felhatalmazás az e rendelet hatálybalépésnek időpontjától számított határozatlan időre szól. |
Módosítás 201 Rendeletre irányuló javaslat 86 cikk – 3 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (5) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (5) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (7) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét. |
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 13a. cikk (3) bekezdésben, 17. cikk (9) bekezdésben, 38. cikk (4) bekezdésben, 39. cikk (2) bekezdésben, 41. cikk (3) bekezdésben, 41. cikk (5) bekezdésben, 43. cikk (3) bekezdésben, 79. cikk (7) bekezdésben, 81. cikk (3) bekezdésben és 82. cikk (3) bekezdésben említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban megjelölt felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét. |
Módosítás 202 Rendeletre irányuló javaslat 86 cikk – 5 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(5) A 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (5) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (7) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben, és 83. cikk (3) bekezdésben említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ezen időtartam két hónappal meghosszabbodik. |
(5) A 13a. cikk (5) bekezdésben, 17. cikk (9) bekezdésben, 38. cikk (4) bekezdésben, 39. cikk (2) bekezdésben, 41. cikk (3) bekezdésben, 41. cikk (5) bekezdésben 43. cikk (3) bekezdésben, 79. cikk (7) bekezdésben, 81. cikk (3) bekezdésben és 82. cikk (3) bekezdésben említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam hat hónappal meghosszabbodik. |
Módosítás 203 Rendeletre irányuló javaslat 87 cikk – 3 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(3) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkével összefüggésben értelmezett 8. cikkét kell alkalmazni. |
törölve |
Módosítás 204 Rendeletre irányuló javaslat 89 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) A 2002/58/EK irányelv 1. cikkének (2) bekezdése hatályát veszti. |
(2) A 2002/58/EK irányelv 1. cikkének (2) bekezdése, 4. és 15. cikke hatályát veszti. |
Módosítás 205 Rendeletre irányuló javaslat 89 cikk – 2 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(2a) A Bizottság késedelem nélkül, de legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig javaslatot terjeszt elő a személyes adatok feldolgozására és az elektronikus kommunikációban a magánélet védelmére alkalmazandó jogi keret felülvizsgálatára annak érdekében, hogy az Európai Unióban a személyes adatok védelméhez való alapvető joggal kapcsolatos egységes és homogén jogi szabályok biztosítása céljából összhangba hozza az említett keretet ezzel a rendelettel. |
Módosítás 206 Rendeletre irányuló javaslat 89 a cikk (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
89a. cikk |
|
A 45/2001/EK rendelettel való összefüggés és annak módosítása |
|
(1) Az e rendeletben foglalt szabályok a 45/2001/EK rendeletben foglalt szabályok hatálya alá nem eső ügyek tekintetében a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi feldolgozására is alkalmazandók. |
|
(2) A Bizottság késedelem nélkül, de legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig javaslatot terjeszt elő a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi feldolgozására alkalmazandó jogi keret felülvizsgálatára. |
1. melléklet – A 13a. cikkben (új) említett adatok feltüntetése
1) Tekintettel a 6. pontban említett arányokra, az adatokat a következőképpen kell megadni:
2) Az 1. pont táblázatában az „ALAPVETŐ INFORMÁCIÓK” című második oszlop soraiban a következő szavakat félkövéren kell formázni:
a) a második oszlop első sorában a „kért” szó;
b) a második oszlop második sorában a „megőrzött” szó;
c) a második oszlop harmadik sorában a „feldolgozására” szavak;
d) a második oszlop negyedik sorában az „nem továbbítanak” szavak;
e) a második oszlop ötödik sorában az „értékesítésére és bérbeadására” kifejezés;
f) a második oszlop hatodik sorában a „titkosítatlan” szó;.
3) Tekintettel a 6. pontban említett arányokra, az 1. pont táblázatában a „TELJESÜLT” című harmadik oszlopban a 4. pontban megállapított feltételekkel összhangban az alábbi két grafikus ábra egyikét kell feltüntetni:
a)
b)
4)
a) Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot nem gyűjtenek, az 1. pont táblázata harmadik oszlopának első sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
b) Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot gyűjtenek, az 1. pont táblázata harmadik oszlopának első sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.
c) Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot nem őriznek meg, az 1. pont táblázata harmadik oszlopának második sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
d) Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot megőriznek, az 1. pont táblázata harmadik oszlopának második sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.
e) Ha nem került sor személyes adat feldolgozására az adatgyűjtés céljaitól eltérő célokra, az 1. pont táblázata harmadik oszlopának harmadik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
f) Ha sor került személyes adat feldolgozására az adatgyűjtés céljaitól eltérő célokra, az 1. pont táblázata harmadik oszlopának harmadik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.
g) Ha nem kerül sor személyes adat kereskedelmi harmadik feleknek történő továbbítására, az 1. pont táblázata harmadik oszlopának negyedik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
h) Személyes adat kereskedelmi harmadik feleknek történő továbbítása esetén az 1. pont táblázata harmadik oszlopának negyedik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.
i) Ha nem kerül sor személyes adat értékesítésére vagy bérbeadására, az 1. pont táblázata harmadik oszlopának ötödik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
j) Személyes adat értékesítése vagy bérbeadása esetén az 1. pont táblázata harmadik oszlopának ötödik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.
k) Ha személyes adatot nem tárolnak titkosítatlan formában, az 1. pont táblázata hatodik oszlopának ötödik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.
l) Ha személyes adatot titkosítatlan formában tárolnak, az 1. pont táblázata hatodik oszlopának ötödik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni
5) Az 1. pont grafikai ábráinak referenciaszínei a Pantone színskála szerint Pantone 754(7) sz. fekete és Pantone 485. sz. vörös. A 3a. pont grafikai ábráinak referenciaszíne a Pantone színskála szerint Pantone 370. sz. zöld. A 3b. pont grafikai ábráinak referenciaszíne a Pantone 485. sz. vörös.
6) Az alábbi négyzethálós rajzon megadott arányokat be kell tartani, a táblázat kicsinyítése vagy nagyítása esetében is:
- [1] HL L 229., 2012.7.31., 90. o.
INDOKOLÁS
Bevezetés
Az Európai Unió Chartájának 8. cikke szerint a személyes adatok védelméhez való jog:
1. Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
2. Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.
3. E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie.
Számos változás – különösen műszaki fejlődés, a személyes adatok (többek között bűnüldözési célú) gyűjtésének és feldolgozásának fokozódása – következett be az adatvédelem területén a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv elfogadása óta, miközben az adatvédelemre vonatkozó szabályok töredezettek maradtak, és a piacok, valamint az együttműködés globalizálódott.
Az irányelv nem ért el továbbá megfelelő harmonizációt sem, mivel a tagállamokban eltérő módon hajtották végre annak rendelkezéseit. E háttér mellett egyre inkább nehézzé vált az egyének („érintettek”) számára az adataik védelméhez való joguk gyakorlása.
Az irányelv végül akadályozta az egységes piac fejlődését is, hiszen a (személyes adatokat kezelő vagy feldolgozó) vállalkozásokra („adatkezelőkre”) és egyénekre eltérő adatvédelmi követelmények vonatkoztak.
A Lisszaboni Szerződés hatálybalépése óta az Európai Unió a személyes adatok állami és magánszektorban történő, valamint rendészeti vonatkozású feldolgozására egyaránt kiterjedő, kifejezett jogalappal rendelkezik az adatvédelem tekintetében (a Lisszaboni Szerződést megelőző „pillérstruktúra” összeomlása következtében) (az EUMSZ 16. cikkének (2) bekezdése). A Bizottság ezúttal az EUMSZ 16. cikkének (2) bekezdését használta jogalapként ahhoz, hogy az uniós adatvédelmi keretek felülvizsgálatára irányuló javaslatokat nyújtson be. A Bizottság egy, a 95/46/EK irányelv helyébe lépő rendeletre irányuló javaslatot (COM (2012)11) (előadó: Jan Philipp Albrecht, Greens/EFA), és egy, a bűncselekmények megelőzése, nyomozása, felderítése, vagy büntetőeljárás lefolytatása céljából feldolgozott személyes adatok védelméről szóló 2008/977/IB kerethatározat helyébe lépő irányelvre irányuló javaslatot (COM(2012)10) (előadó: Dimitrios Droutsas, S&D) nyújtott be. Mindkét előadó támogatja a teljes mértékben koherens, harmonizált és szilárd, az Unióban folytatott valamennyi adatfeldolgozási tevékenység tekintetében magas fokú védelmet nyújtó keretrendszer létrehozására irányuló célkitűzést.[1] E célkitűzés eléréséhez a Bizottság javaslatait mindkét szöveg iránti koordinált jogalkotási megközelítést igénylő, egységes csomagnak kell tekinteni.
A Parlament megközelítése iránti széleskörű támogatás biztosítása érdekében kiterjedt párbeszéd zajlott az adatvédelmi reformról az előadók, árnyékelőadók, a véleményalkotásra felkért bizottságok (ITRE, IMCO, JURI, EMPL) előadói és árnyékelőadói, a Tanács elnöksége, a Bizottság, valamint az érdekelt felek (adatvédelmi hatóságok, nemzeti hatóságok, iparág, polgárjogi és fogyasztói szervezetek, tudományos szakemberek) között.
2012. május 29-én a LIBE bizottság munkaértekezletet szervezett az érdekelt felek számára. 2012. október 9–10-én továbbá a LIBE bizottság a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség nemzeti parlamentjeivel közösen tartotta az adatvédelmi reformcsomagra vonatkozó éves parlamentközi bizottsági ülését. Az adatvédelmi reformcsomag tekintetében négy munkadokumentumot dolgoztak ki.
Az adatvédelmi rendelet tervezetére vonatkozó álláspont
A Bizottság javaslata a következő célokon alapul:
-Az adatvédelem iránti átfogó megközelítés;
-Az egyének jogainak megerősítése;
- A belső piaci dimenzió erősítése és az adatvédelmi szabályok jobb végrehajtásának biztosítása; valamint
- A globális dimenzió erősítése
Az előadó támogatja ezeket a törekvéseket. Megközelítését ennek megfelelően nyújtotta be.
Az adatvédelem iránti átfogó megközelítés
A 2012. július 6-i munkadokumentumban[2] megfogalmazottak szerint az előadó üdvözli azt a tényt, hogy a Bizottság úgy döntött, (közvetlenül alkalmazandó) rendelettel váltja fel a 95/46/EK irányelvet, mivel ez csökkenteni fogja az adatvédelem terén a tagállamok által alkalmazott megközelítés töredezettségét.
Az előadó egyetért továbbá a Bizottság által választott gyakorlatias megközelítéssel, amely alapján – a rendelettel összhangban – mozgásteret biztosít a tagállamok számára, hogy – többek között – a véleménynyilvánítás szabadsága, a szakmai titoktartás, valamint az egészségügyi és foglalkoztatási vonatkozású adatok (81–85. cikkek) tekintetében különös szabályokat tartsanak fenn vagy fogadjanak el. Külön hivatkozás történik a Foglalkoztatási és Szociális Bizottság munkájára, amely véleményezi a 82. cikk rendelkezéseit.[3]
Az uniós intézményekre nem terjed ki az új rendelet hatálya. Az Unió területén a konzisztens és egységes keretek biztosítása érdekében azonban ezen intézményeknek is a rendelet hatálya alá kell tartozniuk. Ehhez bizonyos uniós jogi eszközök – különösen a 45/2001/EK rendelet – módosítása szükséges, hogy megfeleljenek az általános adatvédelmi rendelet rendelkezéseinek annak alkalmazása előtt. A különböző uniós ügynökségekre (köztük az Europolra és az Eurojustra) vonatkozó jelenlegi eltérő szabályok kezelésének és az adatvédelmi csomaggal való összhang (2. cikk (b) bekezdése, 89a. cikk) biztosításának módjával kapcsolatban az előadó fokozottabb horizontális vitát tart szükségesnek.
Az előadó rendkívüli sajnálatát fejezi ki amiatt, hogy a Bizottság javaslata nem terjed ki a bűnüldözés terén folytatott együttműködésre (amely tekintetében egy külön irányelvre irányuló javaslatot nyújtottak be). Ez különös esetekben jogbizonytalanságot teremt a jogok és kötelezettségek tekintetében, például akkor, amikor a bűnüldöző hatóságok bűnüldözési célból kereskedelmi adatokhoz férnek hozzá, illetve bűnüldöző és nem bűnüldöző hatóságok közötti továbbítások esetén. A rendelet rögzíti, hogy a rendelet hatálya alóli kizárás kizárólag az illetékes állami bűnüldöző hatóságok (nem pedig magánjogi jogalanyok) tevékenységeire vonatkozik, és az alkalmazandó jogszabályoknak megfelelő biztosítékokat kell nyújtaniuk a szükségesség és arányosság elvei alapján (2. cikk (e) pontja, 21. cikk).
Az uniós adatvédelmi jog következetes alkalmazása tekintetében fontos kérdés a rendelet területi hatálya. Az előadó tisztázni kívánja, hogy a rendeletet kell alkalmazni a nem az Unióban letelepedett adatkezelő által végzett, az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozása esetén, ha a feldolgozási tevékenységek termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához kapcsolódnak, tekintet nélkül arra, hogy az árukért vagy szolgáltatásokért fizetni kell-e, vagy ezen érintettek nyomon követéséhez kapcsolódnak (3. cikk (2) bekezdése).
A rendeletnek a jogbiztonság biztosítása tekintetében is átfogónak kell lennie. A felhatalmazáson alapuló jogi aktusok és a végrehajtási aktusok széleskörű alkalmazása szembemegy ezzel a céllal. Az előadó ezért számos, a Bizottságot felhatalmazáson alapuló jogi aktusuk elfogadására felhatalmazó rendelkezés törlését javasolja. Ahol lehetséges, az előadó – a jogbiztonság biztosítása érdekében – a rendeletben több aktust részletesebb megfogalmazással helyettesített (pl. 6. cikk (1b) bekezdése, 15. cikk, 35. cikk (10) bekezdése). Más esetekben az előadó a Bizottság felhatalmazáson alapuló jogi aktusuk elfogadására történő felhatalmazása helyett azt javasolja, hogy az Európai Adatvédelmi Testületet bízzák meg valamely adott rendelkezésre vonatkozó szempontok és követelmények pontosításával. Ennek oka, hogy ezekben az esetekben a kérdés a nemzeti felügyeletek közötti együttműködést érinti, akik megfelelőbben képesek meghatározni az alkalmazandó elveket és gyakorlatot (pl. 23. cikk (3) bekezdése, 30. cikk (3) bekezdése, 42. cikk (3) bekezdése, 44. cikk (7) bekezdése, 55. cikk (10) bekezdése).
Az egyének jogainak megerősítése
Mivel a rendelet egy alapvető jogot hajt végre, a tárgyi hatály – különösen a „személyes adatok” fogalmának – korlátozását – például az adatkezelő által a személyes adatok azonosítása tekintetében kifejtett erőfeszítésekre vonatkozó szubjektív tényezők bevezetésével történő korlátozást – el kell vetni. A személyes adatok fogalmát ezenfelül objektív kritériumok pontosítják (4. cikk 1. pontja, (23) és (24) preambulumbekezdés). Az egyes üzleti modellekkel kapcsolatban felmerülő jogos aggályok anélkül is kezelhetők, hogy az egyéneket megfosztanák alapvető jogaiktól. E tekintetben az előadó ösztönzi a szolgáltatások álnéven vagy anonim módon történő használatát. Az álnéven szereplő adatok felhasználása tekintetében könnyítéseket lehetne alkalmazni az adatkezelőre vonatkozó kötelezettségek vonatkozásában (4. cikk 2a. és 10. pontja, (23) preambulumbekezdés).
Továbbra is a hozzájárulás kell, hogy maradjon az adatvédelem iránti uniós megközelítés sarokköve, mivel ez nyújtja az egyének számára az adatfeldolgozási tevékenységek ellenőrzésének legjobb módját. Az érintettek számára könnyen érthető formában – például szabványosított logók vagy ikonok révén (11. cikk (2a) és (2b) bekezdése) – kell tájékoztatást nyújtani. Az adatalanyok egyértelmű kívánságát kifejező technikai szabványok a kifejezett hozzájárulás érvényes formájának tekinthetők (7. cikk (2a) bekezdése, 23. cikk).
A profilalkotási tevékenységekhez való tájékozott hozzájárulás biztosítása érdekében azokat meg kell határozni és szabályozni kell (4. cikk 3b. pontja, 14. cikk (1) bekezdésének g), ga) és gb) pontjai, 15. cikk (1) bekezdése, 20. cikk). A feldolgozás hozzájárulástól eltérő jogalapjait – különösen az adatkezelő „jogos érdekeit” – egyértelműen meg kell határozni (a 6. cikk (1) bekezdésének f) pontját új (1a), (1b) és (1c) bekezdésekkel helyettesítő módosítás).
Az adatvédelem központi eleme a célhoz kötöttség, mivel védelmet nyújt az érintettek számára az adatfeldolgozás előre nem látható kiterjesztésével szemben. A személyes adatok összegyűjtését követően a cél módosítása nem lehetséges kizárólag az adatkezelő jogos érdeke alapján. Az előadó ezért a 6. cikk (4) bekezdésének kiszélesítése helyett annak törlését javasolja.
Az előadó támogatja a hozzáféréshez való jog adathordozhatósághoz – azaz az egyén adatainak valamely platformról más platformra történő átviteléhez – fűződő joggal való megerősítését. A digitális korban a – fogyasztóként is megjelenő – érintettek joggal várhatják, hogy személyes adataikat széles körben elterjedt elektronikus formátumban kapják meg (a 15. cikk (2a) bekezdése). Az előadó ezért a 15. és 18. cikkek egyesítését javasolja.
Továbbra is fontos az érintettek számára a törléshez való jog és a helyesbítési jog, mivel egyre több és több közölt információ járhat jelentős hatással. Ennek fényében kell tekinteni a „személyes adatok tárolásának megszüntetéséhez való jogra” is; a javasolt módosítások a digitális környezet tekintetében teszik egyértelművé e jogokat, fenntartva ugyanakkor a véleménynyilvánítás szabadságára vonatkozó általános kivételt. A harmadik felek részére átadott, vagy megfelelő jogalap hiányában közzétett adatok esetében az eredeti adatkezelőnek tájékoztatnia kell az ilyen harmadik feleket, és biztosítania kell az adat törlését. Ha azonban az egyén hozzájárult adatai közzétételéhez, a „személyes adatok tárolásának megszüntetéséhez való jog” nem jogos, és nem is realisztikus (17. cikk, (54) preambulumbekezdés).
A további adatfeldolgozás kifogásolásához való jognak minden esetben térítésmentesnek kell lennie, továbbá arra kifejezetten, világos, közérthető és személyre szabott nyelven fel kell hívni az érintett figyelmét (19. cikk (2) bekezdése). Jobb lehetőségeket kell nyújtani továbbá a hatékony jogorvoslatra, köztük a közérdekből eljáró egyesületek révén (73. és 76. cikk).
A belső piaci dimenzió erősítése és az adatvédelmi szabályok jobb végrehajtásának biztosítása
Az előadó üdvözli az adatvédelmi hatóságok értesítésének követelményéről a gyakorlati elszámoltathatóság és a vállalati adatvédelmi tisztviselők irányába történő elmozdulásra irányuló javaslatot. A rendeletre irányuló javaslat egyszerűsíthető, ha egyesítjük a – lényegében egyazon érme két oldalának tekinthető – információs jogokat és dokumentációs követelményeket. Ezzel csökken az adatkezelőkre háruló adminisztrációs teher, és az egyének számára könnyebbé válik jogaik gyakorlása (14. és 28. cikk). A számítási felhő korában az adatvédelmi tisztviselő kötelező kinevezésére vonatkozó küszöb nem alapulhat a vállalkozás méretén, hanem az adatfeldolgozás relevanciáján kell alapulnia (személyes adatok kategóriája, feldolgozás típusa, valamint azon egyének száma, akiknek adatait feldolgozzák) (35. cikk). Egyértelművé válik, hogy az adatvédelmi tisztviselő pozíciója – a vállalkozás méretétől és a feldolgozott adatok mennyiségétől függően – részmunkaidőben is betölthető ((75) preambulumbekezdés).
A reform központi újításaként üdvözölhető a beépített és alapértelmezett adatvédelem. Ez biztosítja, hogy ténylegesen csak a valamely konkrét célra szükséges adatokat dolgozzák fel. A gyártókat és szolgáltatókat felszólították a megfelelő intézkedések végrehajtására. Az Európai Adatvédelmi Testületet kell megbízni további útmutatás nyújtásával (23. cikk). Az adatvédelmi hatásvizsgálatokra vonatkozó módosítások célja a vizsgálandó tényezők (33. cikk (3) bekezdése) és azon helyzetek meghatározása, amikor hatásvizsgálatot kell végezni (33. cikk (2) bekezdése).
Az előadó javasolja, hogy a személyes adatok megsértésének a felügyelő hatósághoz történő bejelentésére nyitva álló határidőt 24 óráról 72 órára hosszabbítsák meg. Az érintettek értesítési fásultságának megelőzése céljából az érintettet az adatok megsértésének csupán azon eseteiről kell értesíteni, amelyek várhatóan hátrányosan érintik az érintett személyes adatainak vagy magánéletének védelmét – például személyazonosság-lopás, személyazonossággal való visszaélés, pénzügyi veszteség, fizikai károkozás, súlyos sértés vagy hírnévrontás esetén. Az értesítésnek tartalmaznia kell a személyes adatok megsértése jellegének leírását, valamint a jogokra – többek között jogorvoslati lehetőségekre – vonatkozó tájékoztatást (31. és 32. cikk). A személyes adatok megsértése esetén fennálló bejelentési kötelezettség, hatástanulmányok, törléshez való jog és a személyes adatok tárolásának megszüntetéséhez való jog tekintetében az előadó javasolja, hogy a Bizottság – a jogbiztonság biztosítása céljából – a rendelet hatálybalépése előtt fogadjon el felhatalmazáson alapuló jogi aktusokat (86. cikk (5a) bekezdése).
Támogatást élveznek az eljárási szabályzatok, tanúsítás és címkék, ugyanakkor világosabb szabályok kidolgozására és alkalmazására irányuló ösztönzőket is biztosítani kell azon elvek alapján, hogy e szabályoknak rendelkezniük kell a jogellenes adatkezelés következményeiről, a felelősségről és más, kapcsolódó kérdésekről. A Bizottság által a rendeletnek megfelelőnek nyilvánított eljárási szabályzatoknak jogi úton érvényesíthető jogokat kell biztosítaniuk az érintetteknek. A tanúsítás címkéknek meg kell határozniuk a címke kiállítására és visszavonására vonatkozó hivatalos eljárást, és biztosítaniuk kell az adatvédelmi elveknek és az érintettek jogainak való megfelelést (38. és 39. cikk).
A rendeletnek valamennyi adatvédelmi hatóság számára egységes munkakeretet kell biztosítania. A működéshez elengedhetetlen, hogy a – teljes mértékben független – adatvédelmi hatóságok elegendő forrással rendelkezzenek feladataik ellátásához (47. cikk). Az adatvédelmi hatóságok közötti együttműködés az Európai Adatvédelmi Testület (amely a 29. cikk alapján létrehozott munkacsoport helyébe lép) keretében is erősödni fog. Az előadó a nemzeti adatvédelmi hatóságok közötti előírt együttműködést és egységességi mechanizmust az adatvédelmi jogszabályok uniószerte történő egységes alkalmazása irányába tett jelentős lépésnek tekinti. A Bizottság által javasolt modell azonban nem biztosítja az adatvédelmi hatóságok szükséges függetlenségét. Különböző lehetőségek értékelését követően egy alternatív mechanizmusra irányuló javaslat merült fel, amely fenntartja a fő adatvédelmi hatóság elképzelését, ugyanakkor azonban a következetesség biztosítása érdekében az adatvédelmi hatóságok közötti szoros együttműködésre is támaszkodik (51. és 55a. cikk). Lényegében, minden egyes adatvédelmi hatóság illetékességgel rendelkezik a területén végzett vagy a területén lakóhellyel rendelkező érintettekkel kapcsolatos adatfeldolgozási műveletek felügyeletére. Az egynél több tagállamban letelepedett adatkezelő vagy -feldolgozó feldolgozási tevékenységei, illetve több tagállamban lévő érintettekkel kapcsolatos feldolgozási tevékenységek esetében, az adatkezelő fő szervezete szerinti tagállam adatvédelmi hatósága lesz az adatkezelő vagy -feldolgozó tekintetében egyetlen kapcsolattartóként működő fő hatóság (egyablakos megoldás). A fő hatóság biztosítja a koordinációt az érintett hatóságok között, és intézkedés elfogadása előtt konzultál a többi hatósággal. Kétséges esetekben, vagy az adatvédelmi hatóságok közötti egyetértés hiányában az Európai Adatvédelmi Testület jelöli ki a fő hatóságot. Ha az ügyben érintett valamely adatvédelmi hatóság nem ért egyet a fő hatóság által javasolt tervezett intézkedéssel, arról indokolt véleményben tájékoztatja az Európai Adatvédelmi Testületet. Az Európai Adatvédelmi Testület minősített többséggel elfogadja a végleges döntést, amely a felügyelő hatóság tekintetében jogilag kötelező erővel rendelkezik. E döntés bírósági felülvizsgálat tárgyát képezheti (45a., 55. és 58. cikk). A döntést a Bizottság is megtámadhatja az Európai Unió Bírósága előtt, és kérheti az intézkedés felfüggesztését (61a. cikk).
Az előadó támogatja az adatvédelmi hatóságok megerősítését a vizsgálati jogkörök és szankciók tekintetében. A Bizottság javaslata azonban túlságosan szigorú. Az előadó egyszerűsített rendszert javasol, amely szélesebb mérlegelési jogkört biztosít az adatvédelmi hatóságok számára, ugyanakkor azonban az Európai Adatvédelmi Testületre bízza a következetes érvényesítés biztosításának feladatát (52., 53., 78. és 79. cikk). A szankciórendszer is egyértelművé válik több olyan szempont bevezetése révén, amelyeket az adatvédelmi hatóság által kiszabható bírság mértékének meghatározásakor figyelembe kell venni.
A globális dimenzió erősítése
Megmarad továbbá a Bizottság jogköre, hogy harmadik országok, harmadik országok területei, valamint nemzetközi szervezetek megfelelőségét vagy nem megfelelőségét elismerő határozatokat hozzon. A harmadik országok ágazatai megfelelőségének elismerésére tekintetében javasolt új lehetőséget az előadó elutasítja, mivel az fokozná a jogbizonytalanságot, és aláásná az Uniónak az adatvédelmi keretek harmonizált és koherens alkalmazására irányuló célkitűzését. A harmadik országok megfelelőségének értékelésére vonatkozó szempontokat megerősítették (41. cikk (2) bekezdése). Javasolt továbbá, hogy a megfelelőség tekintetében a Bizottság által hozott döntést végrehajtási aktus helyett felhatalmazáson alapuló jogi aktus formájában fogadják el, mivel így a Tanács és a Parlament gyakorolhatná az ellenőrzéshez való jogát (41. cikk (3) és (5) bekezdése).
A megfelelőségre vonatkozó határozat hiányában az adatkezelő vagy -feldolgozó – a megfelelő védelem és biztosítékok biztosítása érdekében – köteles megfelelő védelmi intézkedéseket – például kötelező erejű vállalati szabályokat, illetve a Bizottság vagy a felügyelő hatóság által elfogadott szabványos adatvédelmi záradékokat – alkalmazni. A 41. cikk (1a) bekezdésére és a 42. cikkre vonatkozó módosítás egyértelművé teszi és részletezi az ilyen eszközökben alkalmazandó elengedhetetlen biztosítékokat.
Az előadó új 43a. bekezdést javasol az EU-ban tárolt és feldolgozott személyes adatokhoz való, harmadik országbeli hatóságok vagy bíróságok által előterjesztett hozzáférés iránti kérelmek által felvetett kérdés kezelésére. A továbbítást az adatvédelmi hatóságnak csak annak ellenőrzését követően szabad engedélyeznie, hogy a továbbítás megfelel a rendeletnek, és különösen a 44. cikk (1) bekezdése d), illetve e) pontjának. A helyzet a felhő-számítástechnika növekedésével még fontosabbá fog válni, ezt pedig itt kell kezelni.
Összefoglalás
Az előadó – az egységesített jogi keret biztosítása és az adatkezelőkre háruló adminisztratív terhek csökkentése mellett – támogatja a személyes adatok védelméhez való jog megerősítésére irányuló célt. A Bizottság végrehajtásban játszott szerepének a szükséges minimumra való korlátozását javasolja az alapvető elemek magának a rendeletnek a szövegében való egyértelművé tételével,valamint azzal, hogy a gyakorlati végrehajtást az adatvédelmi hatóságok együttműködési mechanizmusára hagyja. Az előadó javasolja, hogy váljon még hangsúlyosabbá a személyes adatok védelmére és a megfelelés biztosítására irányuló technológiai intézkedések alkalmazása, az ilyen intézkedések esetén az adatkezelők számára biztosított ösztönzők nyújtása mellett. Az elszámoltathatósági megközelítéssel összhangban a vállalati adatvédelmi tisztviselők szerepe megerősödik, ugyanakkor a felügyelő hatóságokkal folytatandó előzetes konzultáció szükségessége mérséklődik. Az uniós intézményeket, szerveket és ügynökségeket – a félidőig – egyazon szabályozási keretbe kell vonni. Ha ezeket az elemeket a Parlament, a Tanács és a Bizottság támogatni tudja, az új adatvédelmi keret javulást fog eredményezni mind a magánszemélyek, mind pedig az adatkezelők számára, és kiállja majd az elkövetkező évek próbáját.
Az összes képviselőcsoport árnyékelőadójával és a vélemények előadóival folytatott, mélyreható közös munka során az előadó az érintett kollegák közötti megbeszéléseket tükröző jelentős mennyiségű módosítást dolgozott ki. Kiváltképpen az elvek, a személyes adatok feldolgozásának jogalapjai, az érintettek jogai, az adatkezelőre és -feldolgozóra vonatkozó rendelkezések, az egységességi mechanizmus és a szankciók tekintetében szerepel jó néhány kompromisszum ebben a jelentésben. Az előadó várakozása szerint a javaslat remek alapot képez az Európai Parlamentben a gyors megállapodás létrejöttéhez, valamint az ír elnökség idején a Tanáccsal folytatott tárgyalásokhoz.
VÉLEMÉNY a Foglalkoztatási és Szociális Bizottság részéről (4.3.2013)
az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részére
a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
A vélemény előadója: Nadja Hirsch
RÖVID INDOKOLÁS
Az előadó kifejezetten üdvözli a szóban forgó javaslatot és annak célját, az Európai Unión belüli adatvédelem további harmonizációját.
E véleménynek a következő a célja: Nyilvánvaló, hogy a foglalkoztatottakkal kapcsolatos adatok mindent átfogó, európai szintű védelmét nem lehet egyetlen cikkben szabályozni. Sokkal inkább bizonyos sarokköveket kell meghatározni. Ami egy valódi európai munkaerő- és belső piac megvalósítását illeti, a foglalkoztatottak adatainak védelmére vonatkozó európai szintű szabályozás további lépés lehet. Ez az EUMSZ 288. cikke alapján lehetséges volna.
Noha az Európai Unión belül az adatfeldolgozás jelentős része a foglalkoztatási viszonyt érinti, a foglalkoztatottak adatainak védelme a rendeletben csupán kevés teret kap. A rendelet elvontsági szintje emellett gyakran megnehezíti a szabályok foglalkoztatási kontextusra való átértelmezését.
Az előadó nézete szerint a foglalkoztatottak adatainak védelmével kapcsolatos kihívásoknak e rendeletben legjobban az állásfoglalás 82. cikkre való korlátozásával lehetne megfelelni. Ez lehetőséget nyújt a rendelet tartalmi bővítésére és a foglalkoztatottak adataival kapcsolatos különböző cikkek egyesítésére is.
A 82. cikk (1) bekezdéséhez és a (124) preambulumbekezdéshez
A szóban forgó rendelet a jelenlegi stádiumban – különösen a foglalkoztatottak adatainak védelme területén – csak minimális védelmet tud biztosítani. Továbbra is lehetőséget kell adni minden tagállam számára, hogy ezenfelül kedvezőbb normákat állapítson meg a munkavállalók számára. Emellett lehetővé kell tenni e normák kollektív megállapodásokban való rögzítését is. Az „e rendelet keretei között” megfogalmazást több okból is el kell utasítani. Először is ellentétben áll a 82. cikkben foglalt általános területi kivétellel, és a Bizottság által javasolt felhatalmazáson alapuló jogi aktusokkal összekötve a 82. cikkben rendkívül átláthatatlan helyzetet eredményezne. Másodsorban ez legrosszabb esetben azt jelenthetné, hogy a tagállamok részletesebb szabályokat nem fogadhatnak el. Végezetül e megfogalmazás önkényesnek tűnik, mivel más – pl. a média területére érvényes – nyitottsági záradékok esetében e korlátozás nem áll fenn.
A 82. cikk (1b) bekezdéséhez
Mivel a Bizottság eddig nem tett önálló javaslatot a foglalkoztatottak adatainak védelmére vonatkozóan, és figyelembe véve, hogy a rendelet kevés tartalmi elemet foglal magában a foglalkoztatottak adatainak védelmét illetően, a védelmi szint tekintetében szükséges néhány európai szintű minimumstandardot előírni. Az itt szereplő négy alpontot nem kimerítő felsorolásként, hanem egy részletes európai adatvédelmi jog sarokköveiként kell szemlélni.
A 82. cikk (1c) bekezdéséhez
Az adatvédelmi biztos hatalmas jelentőségű szerepet tölt be. Ezért teljesen egyértelművé kell tenni, hogy feladatait a nyomásoktól vagy külső befolyásoktól való félelem nélkül, a munkavállalók javára tudja ellátni. A felmondás elleni különleges védelem és a hátrányos megkülönböztetés tilalma ezért indokolt.
A 82. cikk (1e) bekezdéséhez és a (124) preambulumbekezdéshez
A bizottsági javaslat nem határozza meg kielégítően az EU-n belüli, konszernen belüli adattovábbításra vonatkozó előírásokat. A munkavállalók érdekeinek figyelembevétele mellett ezeket ezáltal teljesíteni kell.
A 82. cikk (1f) bekezdéséhez és a (34) preambulumbekezdéshez
A beleegyezésnek mint az adatfeldolgozás alapjának teljes kizárása foglalkoztatási tekintetben nem célravezető. Az előadó ezért azt javasolja, hogy egyensúlyhiány esetében is lehetővé kell tenni a beleegyezést, amennyiben az a munkavállaló számára jogi és gazdasági szempontból előnyökkel jár.
A 82. cikk (3) bekezdéséhez
A felhatalmazáson alapuló jogi aktusok az előadó nézete szerint csak akkor alkalmazhatók, ha a meglévő rendelet nem lényegi elemeit kell gyorsan és rugalmasan hozzáigazítani a technikai és biztonságtechnikai újításokhoz. Ez a bizottsági javaslatban eddig túl tágan volt megfogalmazva. Ezenfelül az (1) bekezdés mellett az új (1c) bekezdést is felhatalmazáson alapuló jogi aktusok révén kellene tudni szabályozni.
A 82. cikk (3a) bekezdéséhez
E felülvizsgálati záradék újbóli értékelést enged meg.
MÓDOSÍTÁSOK
A Foglalkoztatási és Szociális Bizottság felkéri az Állampolgári Jogi, Bel- és Igazságügyi Bizottságot mint illetékes bizottságot, hogy jelentésébe foglalja bele az alábbi módosításokat:
Módosítás 1 Rendeletre irányuló javaslat 34 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(34) A hozzájárulás nem hoz létre érvényes jogalapot a személyes adatok feldolgozására, amennyiben egyértelmű kiegyensúlyozatlanság áll fenn az érintett és az adatkezelő között. Ez különösen fennáll, ha az érintett függő viszonyban van az adatkezelőtől, többek között, amikor a munkavállaló személyes adatait a munkáltató a munkaviszonnyal összefüggésben dolgozza fel. Amennyiben az adatfeldolgozó hatóság, csak akkor áll fenn kiegyensúlyozatlanság a konkrét adatfeldolgozási műveletek tekintetében, ha a hatóság a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon, az érintett érdekére figyelemmel megadottnak. |
(34) A hozzájárulás nem hoz létre érvényes jogalapot a személyes adatok feldolgozására, amennyiben egyértelmű hatásköri kiegyensúlyozatlanság áll fenn az érintett és az adatkezelő között. Ez különösen fennáll, ha az érintett függő viszonyban van az adatkezelőtől, többek között, amikor a munkavállaló személyes adatait a munkáltató a munkaviszonnyal összefüggésben dolgozza fel. Foglalkoztatási tekintetben kivételt képez az adatfeldolgozás, amennyiben a munkavállaló számára elsősorban jogi vagy gazdasági szempontból előnyökkel jár. Amennyiben az adatfeldolgozó hatóság, csak akkor áll fenn kiegyensúlyozatlanság a konkrét adatfeldolgozási műveletek tekintetében, ha a hatóság a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon, az érintett érdekére figyelemmel megadottnak. |
Módosítás 2 Rendeletre irányuló javaslat 75 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(75) Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a magánszférában a feldolgozást nagyvállalkozás végzi, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat, akár az adatkezelő alkalmazásában állnak, akár nem. |
(75) Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a magánszférában a feldolgozást vállalkozás végzi, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat, akár az adatkezelő alkalmazásában állnak, akár nem. A feldolgozást jogi személy végzi, és az évente több mint 250 érintett személyre vonatkozik. |
Módosítás 3 Rendeletre irányuló javaslat 124 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(124) A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással összefüggésben is alkalmazni kell. Következésképpen a munkavállalók személyes adatainak a munkaviszonnyal összefüggő feldolgozásának szabályozása érdekében a tagállamok e rendelet keretein belül jogszabályban különös szabályokat fogadhatnak el a személyes adatoknak a foglalkoztatási ágazatban való feldolgozására.
|
(124) A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással összefüggésben is alkalmazni kell. A munkavállalók személyes adatainak a munkaviszonnyal összefüggő feldolgozásának szabályozása érdekében a tagállamok az e rendeletben megállapított szabályokkal és minimumkövetelményekkel összhangban jogszabályban különös szabályokat fogadhatnak el. Amennyiben valamely tagállamban a foglalkoztatási viszony kérdéseinek szabályozására vonatkozó törvényes jogalapot a munkavállalók képviselői és a vállalkozásnak vagy a vállalkozáscsoport fő vállalkozásának vezetői közötti megállapodás (kollektív szerződés) révén vagy az Európai Üzemi Tanács létrehozásáról vagy a közösségi szintű vállalkozások és vállalkozáscsoportok munkavállalóinak tájékoztatását és a velük folytatott konzultációt szolgáló eljárás kialakításáról szóló, 2009. május 6-i 2009/38/EK európai parlamenti és tanácsi irányelv1 alapján szabályozzák, a személyes adatok foglalkoztatással összefüggő feldolgozását ilyen megállapodásokkal is szabályozhatják; e konkrét esetben a nemzeti joggal és gyakorlatokkal összhangban lehetőség van eltérések és mentességek megállapítására. |
|
________________ |
|
1 HL L 122., 2009.5.16., 28. o. |
Módosítás 4 Rendeletre irányuló javaslat 124 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(124a) A foglalkoztatási viszonnyal közvetlenül összefüggő üzleti érdekek biztosítása érdekében a vállalkozáscsoportokon belül megengedhető a foglalkoztatottak adatainak továbbítása és feldolgozása. Az érintettek védendő érdekei ezt nem akadályozhatják. A foglalkoztatottak adatai az érintettek minden olyan személyes adatát magukban foglalják, amelyek közvetlenül összefüggnek a foglalkoztatási viszonnyal. A 82. cikk (1e) bekezdésében szereplő szabályozás a foglalkoztatottak adatainak vállalkozáscsoportokon belüli feldolgozása tekintetében elterjedt gyakorlatot veszi figyelembe. |
Módosítás 5 Rendeletre irányuló javaslat 3 cikk – 1 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1a) E rendelet alkalmazandó az Unióban letelepedett adatkezelő vagy adatfeldolgozó által végzett, az Unióban lakóhellyel nem rendelkező érintettek személyes adatainak ezen érintettek harmadik ország(ok)ban folytatott gazdasági tevékenységein keresztül történő feldolgozására is. |
Módosítás 6 Rendeletre irányuló javaslat 6 cikk – 1 bekezdés – f pont | |
A Bizottság által javasolt szöveg |
Módosítás |
f) az adatfeldolgozás az adatkezelő jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
f) az adatfeldolgozás az adatkezelő vagy azon harmadik fél vagy felek jogszerű érdekének érvényesítéséhez szükséges, akiknek az adatokat eljuttatják, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. |
Indokolás | |
Ahhoz, hogy a kollektív tárgyalási rendszer megfelelően működjön, a szakszervezetek számára lehetőséget kell biztosítani arra, hogy nyomon kövessék a kollektív megállapodások betartását. Jelenleg erre a 95/46/EK irányelv 7. cikke f) pontjának keretében kerül sor. A 7. cikk f) pontja elismeri a harmadik felek személyes adatok feldolgozásához fűződő jogos érdekét. A munkáltatót többnyire adatkezelőnek, a szakszervezeteket pedig harmadik félnek tekintik. | |
Módosítás 7 Rendeletre irányuló javaslat 6 cikk – 5 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(5) A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés f) pontja szerinti különös ágazatokra és adatfeldolgozási helyzetekre - beleértve a gyermekekre vonatkozó személyes adatok feldolgozását - vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
törölve |
Indokolás | |
A feldolgozás jogszerűségére vonatkozó rendelkezések az adatvédelmi szabályok lényegi részét alkotják. Mivel a felhatalmazáson alapuló jogi aktusokra vonatkozó rendelkezéseknek a rendelet nem lényeges elemeire kell korlátozódniuk, az (5) bekezdést törölni kell. | |
Módosítás 8 Rendeletre irányuló javaslat 9 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, az egészségügyi adatok vagy a szexuális életre, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása. |
(1) Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra és tevékenységre utaló személyes adatok, valamint a genetikai adatok, az egészségügyi adatok vagy a szexuális életre, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása. |
Módosítás 9 Rendeletre irányuló javaslat 14 cikk – 3 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(3) Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak a személyes adatok. |
(3) Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak a személyes adatok. Ez a harmadik féltől jogellenes módon szerzett, majd az adatkezelőnek továbbított adatokra is vonatkozik. |
Módosítás 10 Rendeletre irányuló javaslat 17 cikk – 6 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(6a) Az e rendeletben foglalt, adatokra vonatkozó követelményekkel, különösen a beépített adatvédelemmel összhangban, az e cikk (4) és (6) bekezdésében foglalt rendelkezések nem érintik a hatóságok azon jogát, hogy egy adott ügy előzményeire vonatkozóan igazoló okiratok megőrzése céljából adatokat tároljanak. |
Módosítás 11 Rendeletre irányuló javaslat 28 cikk – 4 bekezdés – b pont | |
A Bizottság által javasolt szöveg |
Módosítás |
b) a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő tevékenységként dolgoz fel. |
b) vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő tevékenységként dolgoz fel. |
Indokolás | |
A munkavállalók számának legfeljebb 250 főben való meghatározása egyenlőtlen helyzetet teremt a munkáltatók számára, diszkriminatív a nagyobb vállalkozásokkal szemben és teljességgel szükségtelen a cél eléréséhez. A munkavállalók száma nem függ össze a szervezet által őrzött személyes adatok mennyiségével vagy típusával. A csak néhány alkalmazottal rendelkező kis szervezeteknek nagy mennyiségű átruházott személyes adat felett lehet ellenőrzésük és fordítva. Ezenkívül ez a felső határ nem minden tekintetben értelmezhető könnyen. | |
Módosítás 12 Rendeletre irányuló javaslat 35 cikk – 1 bekezdés – bevezető rész | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: |
(1) Az adatkezelő és az adatfeldolgozó a vállalati érdekképviselet jóváhagyását követően adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: |
Módosítás 13 Rendeletre irányuló javaslat 35 cikk – 1 bekezdés – a pont | |
A Bizottság által javasolt szöveg |
Módosítás |
a) a feldolgozást hatóság vagy állami szerv végzi; or |
a) a feldolgozást hatóság vagy állami szerv végzi vagy azok nevében végzik; or |
Módosítás 14 Rendeletre irányuló javaslat 35 cikk – 1 bekezdés – b pont | |
A Bizottság által javasolt szöveg |
Módosítás |
b) a feldolgozást legalább 250 alkalmazottat foglalkoztató vállalkozás végzi; vagy |
b) a feldolgozást jogi személy végzi, és az évente több mint 250 érintett személyre vonatkozik; vagy |
Módosítás 15 Rendeletre irányuló javaslat 35 cikk – 1 bekezdés – b a pont (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
ba) a feldolgozott adatok különösen érzékeny természetűek, például egészségügyi adatok; vagy |
Módosítás 16 Rendeletre irányuló javaslat 35 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) Az (1) bekezdés b) pontja szerinti esetben a vállalkozások társulásai egy adatvédelmi tisztviselőt jelölhetnek ki. |
(2) Az (1) bekezdés a) és b) pontja szerinti szervezetek csoportjai egyetlen joghatóság esetén egyetlen adatvédelmi tisztviselőt jelölhetnek ki. |
Indokolás | |
A hatóságok manapság számos területen kvázi vállalkozásként tevékenykednek. A rendelet nem tilthatja meg annak a lehetőségét, hogy egyetlen adatvédelmi tisztviselőt jelölhessenek ki az állami és magánszektorbeli szereplőket egyaránt felölelő csoportok számára. | |
Módosítás 17 Rendeletre irányuló javaslat 82 cikk – cím | |
A Bizottság által javasolt szöveg |
Módosítás |
Foglalkoztatással összefüggő feldolgozás |
A foglalkoztatással összefüggő adatfeldolgozás minimumszabályai |
Módosítás 18 Rendeletre irányuló javaslat 82 cikk – 1 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(1) E rendelet keretein belül a tagállamok jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen a toborzás, a munkaszerződés teljesítése, beleértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek biztosítása, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében. |
(1) A tagállamok az e rendeletben foglalt szabályokkal összhangban, az arányosság elvének figyelembevételével jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen, de nem kizárólag a kapcsolt vállalkozásokon belüli toborzás és álláskeresés, a munkaszerződés teljesítése, beleértve a jogszabályban és kollektív szerződésben meghatározott kötelezettségek biztosítása, a nemzeti joggal és gyakorlatokkal összhangban kötött vállalati és kollektív megállapodások, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében. |
|
Az e rendelet által biztosított védelmi szintnél alacsonyabb szint nem írható elő. Az előző mondattól eltérően, ha a szabályokat a munkavállalók képviselői és a vállalkozásnak vagy a vállalkozáscsoport fő vállalkozásának vezetői közötti megállapodás keretében fogadták el, az e rendelet által biztosított védelmi szintnél jelentősen alacsonyabb szint nem írható elő. |
|
Ez nem érinti a tagállamok – vagy kollektív szerződések alapján a szociális partnerek – azon jogát, hogy a munkavállalók számára kedvezőbb védelmi rendelkezéseket biztosítsanak a személyes adatok foglalkoztatással összefüggő feldolgozása tekintetében. |
Módosítás 19 Rendeletre irányuló javaslat 82 cikk – 1 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1a) Az ilyen adatok feldolgozásának közvetlenül kell kapcsolódnia a gyűjtés céljához, és annak összefüggésben kell maradnia a foglalkoztatással. Tilos a profilalkotás és az adatok másodlagos célokra való felhasználása. |
Módosítás 20 Rendeletre irányuló javaslat 82 cikk – 1 b bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1b) E rendelet egyéb rendelkezéseinek sérelme nélkül az (1) bekezdésben említett tagállami jogszabályok legalább az alábbi minimumszabályokra terjednek ki: |
|
a) a foglalkoztatottak adatainak feldolgozása a munkavállaló arról való tudomása nélkül tilos. Az első mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest nem aránytalan. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata; |
|
b) a vállalkozás nyilvánosság számára nem hozzáférhető, elsősorban a munkavállalók magánéletét szolgáló részeinek – különösen a mosdó-, öltöző-, pihenő- és hálóhelyiségeknek – nyílt, optikai-elektronikus és/vagy nyílt akusztikus-elektronikus megfigyelése tilos. A titkos megfigyelés minden esetben tilos; |
|
c) amennyiben a vállalkozások vagy hatóságok az orvosi vizsgálatok és/vagy alkalmassági vizsgálatok keretében személyes adatokat gyűjtenek vagy dolgoznak fel, a jelentkezőket vagy a munkavállalókat előzetesen tájékoztatniuk kell, hogy az adatokat mire használják, és biztosítaniuk kell, hogy azokat utólag az eredményekkel együtt közölni fogják velük, és hogy kérésre magyarázattal szolgálnak. A genetikai vizsgálatok és elemzések céljából történő adatgyűjtés főszabály szerint tilos; |
|
d) kollektív megállapodásban szabályozható, hogy a telefon, e-mail, az internet és egyéb távközlési szolgáltatások használata magáncélokra megengedett-e, és ha igen, milyen mértékben. Amennyiben kollektív megállapodás révén való szabályozás nem lehetséges, a munkaadó a munkavállalóval közvetlen megállapodást köt. Amennyiben megengedett a magáncélú használat, az erre vonatkozó forgalmi adatok feldolgozása különösen az adatbiztonság, a távközlési hálózatok és távközlési szolgáltatások rendeltetésszerű működésének biztosítása, valamint az elszámolás céljából megengedett. A harmadik mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest nem aránytalan. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata; |
|
e) a munkavállalók személyes adatai, különösen az érzékeny adatok – például a politikai irányultság, a szakszervezeti tagság és tevékenység – semmilyen körülmények között nem használhatók fel a munkavállalók úgynevezett "feketelistázásához", ellenőrzéséhez, sem pedig a jövőbeni foglalkoztatásból való kizárásához. A munkavállalókra vonatkozó feketelisták feldolgozása, foglalkoztatással összefüggő felhasználása, összeállítása és továbbadása tilos. A tagállamok e pont hatékony végrehajtásának biztosítása érdekében ellenőrzéseket hajtanak végre és megfelelő szankciókat fogadnak el. |
Módosítás 21 Rendeletre irányuló javaslat 82 cikk – 1 c bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1c) A IV. fejezet 4. szakaszának rendelkezései mellett az adatvédelmi tisztviselőre feladatainak ellátása során különleges felmondás elleni védelem és a hátrányos megkülönböztetés tilalma érvényes. A hatóságoknak és a vállalkozásoknak biztosítaniuk kell továbbá, hogy az adatvédelmi tisztviselő minden tevékenységét függetlenül, a 36. cikk (2) bekezdésével összhangban lássa el, és képzésben részesülhessen, amelynek költségeit az adatkezelőnek és/vagy -feldolgozónak kell viselnie. Ha a vállalkozás egynél több tagállamban működik, az adatvédelmi tisztviselőnek valamennyi munkavállaló számára e tagállamok mindegyikéből könnyen elérhetőnek kell lennie. |
|
A IV. fejezet 4. szakaszának rendelkezései mellett az adatvédelmi tisztviselő számára kellő időt kell biztosítani a vonatkozó feladatok ellátására, ha azok túlmutatnak az általános feladatain. A nemzeti és az európai üzemi tanácsokkal konzultálni kell az adatvédelmi tisztviselő kinevezésekor, és biztosítani kell számukra a velük való konzultációhoz való folyamatos jogot. |
Módosítás 22 Rendeletre irányuló javaslat 82 cikk – 1 d bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1d) A nemzeti munkajog által biztosított tájékoztatási és részvételi jog sérelme nélkül a vállalati érdekképviseletet és az Európai Üzemi Tanácsot a következő jogok illetik meg: |
|
a) a vállalati adatvédelmi tisztviselő kijelölésével kapcsolatos döntéshozatalban történő részvételhez való jog (a 35. és az utána következő cikk), |
|
b) a vállalati adatvédelmi tisztviselő részéről nyújtott rendszeres tanácsadáshoz és tájékoztatáshoz való jog, |
|
c) az érintett munkavállalók rendes nemzeti bíróság előtti képviseletéhez való jog (73. cikk), valamint a kollektív kereset lehetősége (75. cikk), |
|
d) a kötelező erejű vállalati szabályok kialakításában történő részvételhez való jog (43. cikk). |
Módosítás 23 Rendeletre irányuló javaslat 82 cikk – 1 e bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1e) A foglalkoztatottak személyes adatainak egy vállalkozáscsoporton belül a jogi és adótanácsadóval rendelkező, jogilag önálló vállalkozások közötti továbbítása és feldolgozása megengedett, amennyiben az a vállalkozás működése szempontjából jelentős és a célzott munkafolyamatok és adminisztratív tevékenységek végrehajtását szolgálja, valamint nem sérti az érintettek védendő érdekeit. Amennyiben a foglalkoztatottak adatainak továbbítása harmadik ország felé és/vagy nemzetközi szervezet részére történik, az V. fejezetet kell alkalmazni. |
Módosítás 24 Rendeletre irányuló javaslat 82 cikk – 1 f bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1f) A 7. cikk (4) bekezdése nem alkalmazandó, ha az adatfeldolgozás a munkavállaló számára jogi vagy gazdasági szempontból előnyökkel jár. |
Módosítás 25 Rendeletre irányuló javaslat 82 cikk – 2 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
(2) A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az (1) és (1b) bekezdés szerint elfogadott jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. |
Módosítás 26 Rendeletre irányuló javaslat 82 cikk – 3 bekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(3) A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. |
(3) A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) és (1e) cikkben említett célokból való feldolgozása tekintetében, kizárólag a legújabb technikai és biztonságtechnikai standardok biztosítására vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. Ennek során figyelembe kell venni a végrehajtással járó költségeket és előnyöket, a feldolgozásból fakadó kockázatokat, valamint az adatok védelmével kapcsolatos igényeket. |
Módosítás 27 Rendeletre irányuló javaslat 82 cikk – 3 a bekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(3a) A Bizottság javaslatára az Európai Parlament és a Tanács a 82. cikket legkésőbb a 91. cikk (2) bekezdésében foglalt időpont után két évvel felülvizsgálja. E javaslatról az Európai Unió működéséről szóló szerződés 294. cikke szerinti eljárással határoznak. |
ELJÁRÁS
Cím |
Az egyén védelme a személyes adatok feldolgozása során, és az ilyen adatok szabad áramlása (általános adatvédelmi rendelet) |
||||
Hivatkozások |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
Illetékes bizottság A plenáris ülésen való bejelentés dátuma |
LIBE 16.2.2012 |
|
|
|
|
Véleményt nyilvánított A plenáris ülésen való bejelentés dátuma |
EMPL 24.5.2012 |
||||
A vélemény előadója A kijelölés dátuma |
Nadja Hirsch 20.4.2012 |
||||
Vizsgálat a bizottságban |
28.11.2012 |
23.1.2013 |
20.2.2013 |
|
|
Az elfogadás dátuma |
21.2.2013 |
|
|
|
|
A zárószavazás eredménye |
+: –: 0: |
35 3 6 |
|||
A zárószavazáson jelen lévő tagok |
Regina Bastos, Edit Bauer, Heinz K. Becker, Jean-Luc Bennahmias, Phil Bennion, Pervenche Berès, Philippe Boulland, Alejandro Cercas, Ole Christensen, Derek Roland Clark, Minodora Cliveti, Emer Costello, Frédéric Daerden, Sari Essayah, Richard Falbr, Thomas Händel, Marian Harkin, Nadja Hirsch, Stephen Hughes, Danuta Jazłowiecka, Jean Lambert, Patrick Le Hyaric, Verónica Lope Fontagné, Olle Ludvigsson, Thomas Mann, Elisabeth Morin-Chartier, Csaba Őry, Konstantinos Poupakis, Sylvana Rapti, Licia Ronzulli, Elisabeth Schroedter, Nicole Sinclaire, Joanna Katarzyna Skrzydlewska, Jutta Steinruck, Traian Ungureanu, Inês Cristina Zuber |
||||
A zárószavazáson jelen lévő póttag(ok) |
Georges Bach, Sergio Gutiérrez Prieto, Ria Oomen-Ruijten, Antigoni Papadopoulou, Csaba Sógor |
||||
A zárószavazáson jelen lévő póttag(ok) (187. cikk (2) bekezdés) |
Alexander Alvaro, Nirj Deva, Pat the Cope Gallagher |
||||
VÉLEMÉNY az Ipari, Kutatási és Energiaügyi Bizottság részéről (26.2.2013)
az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részére
a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Előadó: Seán Kelly
RÖVID INDOKOLÁS
2012. január 25-én az Európai Bizottság ismertette az EU adatvédelmi szabályainak átfogó reformját. A javasolt rendelet harmonizálni kívánja az online adatvédelmi jogokat, valamint garantálni ezen adatok szabad mozgását az Európai Unióban.
A javasolt rendelet további céljai:
· az adatvédelem hozzáigazítása a digitális világ megváltozott követelményeihez, tudván, hogy a jelenlegi rendelkezéseket 17 évvel ezelőtt fogadták el, amikor az európaiak kevesebb mint 1%-a használta az internetet;
· az 1995-ös szabályok különböző tagállamok általi végrehajtásában jelenleg tapasztalható eltérések kiküszöbölése, és annak biztosítása, hogy a személyes adatok védelméhez való alapvető jogokat egységesen alkalmazzák az Unió valamennyi tevékenységi területén;
· az online szolgáltatásokkal kapcsolatos fogyasztói bizalom megerősítése a jogokra és az adatvédelemre vonatkozó jobb tájékoztatáson, valamint az adatok helyesbítésére, tárolásának megszüntetésére és törlésére, illetve az adatok hordozhatóságára vonatkozó jog, továbbá a kifogásolási jog bevezetésén keresztül;
· a digitalizált egységes piac fellendítése a jelenlegi széttagoltság és az adminisztratív akadályok csökkentésével, valamint általánosabban annak elérése, hogy fontos szerepet játsszon az Európa 2020 stratégiában.
A jelenlegi 95/46/EK irányelvhez képest a javasolt rendelet bevezeti, hogy a közszférában, valamint a magánszférában a 250 főnél nagyobb vállalatoknál és azon társaságoknál, amelyek fő tevékenysége a személyes adatok feldolgozása, kötelezően adatvédelmi tisztviselőt kell kinevezni.
Javulás történt a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítása terén is.
A jelenlegi javaslat létrehozza az Európai Adatvédelmi Testületet, a rendelet megsértése esetén pedig szankciókat, büntetéseket és kártérítési jogokat ír elő.
Az előadó alapvetően támogatja a bizottsági javaslat fő céljait.
A javasolt módosítások abban hivatottak segíteni, hogy elkerüljék a vállalkozásokra háruló túlzott adminisztratív terheket, különösen azon vállalkozások esetében, amelyek adatvédelmi elszámoltathatóságot építettek be, továbbá hogy bizonyos fokú rugalmasságot garantáljanak a rendelet néhány rendelkezésével kapcsolatban, különös tekintettel az elszámoltathatósági mechanizmusra és a felügyelő hatóság értesítésére. Az eredeti szöveg néhány fogalommeghatározását és szempontját pontosítani kell, kontextusba kell helyezni, illetve egyszerűsíteni kell.
Az előadó inkább az adatvédelem kvalitatív, nem pedig kvantitatív megközelítésének ad elsőbbséget, amely a fent említett elszámoltathatósági elv alapján a vállalatirányításra összpontosít, szemben azzal, hogy túlságosan a hozzájárulásra vagy a bürokratikus dokumentálási eljárásokra hagyatkozna, amelyek mindazonáltal szintén szerepet játszanak az adatvédelemben.
Az is fontos továbbá, hogy hangsúlyt kapjanak a technikai megoldások, mint például a beépített adatvédelem, a pszeudonimizált vagy anonimizált adatok, a különleges adatok védelmének kiemelt kezelése és a célzott megfelelőségi intézkedések.
Az előadó ki kívánja emelni annak fontosságát, hogy elkerüljük az olyan nem kívánt következményeket, amelyek negatív hatást fejthetnek ki a sajtószabadság, az egészségügyi kutatás, a pénzügyi bűnözés elleni küzdelem, a sportcsalások elleni küzdelem, valamint az intelligens energiahálózatok és intelligens közlekedési rendszerek innovációja terén.
A javaslat egy másik szempontja a felhatalmazáson alapuló jogi aktusok jelentős számát érinti. Az előadó úgy véli, hogy túlzott mértékben élnek a felhatalmazáson alapuló jogi aktusokkal, és javasolja többségük törlését.
MÓDOSÍTÁSOK
Az Ipari, Kutatási és Energiaügyi Bizottság felhívja az Állampolgári Jogi, Bel- és Igazságügyi Bizottságot mint illetékes bizottságot, hogy jelentésébe foglalja bele a következő javaslatokat:
Módosítás 1 Rendeletre irányuló javaslat 1 a bevezető hivatkozás (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
tekintettel az Európai Unió Alapjogi Chartájára, és különösen annak 7. és 8. cikkére, |
Módosítás 2 Rendeletre irányuló javaslat 1 b bevezető hivatkozás (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
tekintettel az emberi jogok európai egyezményére, és különösen annak 8. cikkére, |
Módosítás 3 Rendeletre irányuló javaslat 1 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(1a) A vélemény nyilvánítás és a tájékozódás szabadsága az Európai Unió Alapjogi Chartájának 11. cikkével összhangban alapvető jognak minősül. Ez a jog magában foglalja a véleményalkotás szabadságát, valamint az információk és eszmék megismerésének és közlésének szabadságát anélkül, hogy ebbe hatósági szerv beavatkozhatna, továbbá országhatárokra való tekintet nélkül. A tömegtájékoztatás szabadságát és sokszínűségét tiszteletben kell tartani. |
Indokolás | |
Kifejezetten hivatkozni kell a tájékozódás szabadságára és a szabad véleménynyilvánításhoz való jogra, amelyek az Európai Unió Alapjogi Chartájának 11. cikke értelmében alapvető jogok az Európai Unióban. | |
Módosítás 4 Rendeletre irányuló javaslat 2 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(2a) A nyilvánosan hozzáférhető nyilvántartásokban szereplő személyes adatok kezelése tekintetében az egyének magánélete védelmének kell kiindulópontként szolgálnia. |
Módosítás 5 Rendeletre irányuló javaslat 3 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(3a) Nem szabad aláásni az információhoz való szabad hozzáférés elvét, amely alkotmányos hagyományaik révén jellemzi a tagállamokat, ugyanakkor biztosítani kell a tagállamok alkotmányaiban elismert véleménynyilvánítási és sajtószabadságot. |
Módosítás 6 Rendeletre irányuló javaslat 5 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(5) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatmegosztás és -gyűjtés mértéke ugrásszerűen megnőtt. A technológia a magánvállalatok és a hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel. Az egyének egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes információkat. A technológia egyaránt megváltoztatta a gazdaságot és a társadalmi életet, szükségessé téve az Unión belüli szabad adatáramlás és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás egyszerűbbé tételét, biztosítva egyúttal a személyes adatok magas szintű védelmét. |
(5) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatmegosztás és -gyűjtés mértéke ugrásszerűen megnőtt. A technológia a magánvállalatok és a hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel. Az egyének egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes információkat. A technológia egyaránt megváltoztatta a gazdaságot és a társadalmi életet, olyan javított jogi biztosítékokat téve szükségessé, amelyek egyszerűbbé teszik majd az Unión belüli szabad adatáramlást és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítást, biztosítva egyúttal a személyes adatok magas szintű védelmét. |
Indokolás | |
Noha a rendelet célja kettős – a személyes adatok védelme és Unión belüli szabad áramlásának biztosítása –, az első célkitűzésnek – alapvető jog lévén – nagyobb hangsúlyt kell kapnia. | |
Módosítás 7 Rendeletre irányuló javaslat 5 a preambulumbekezdés (új) | |
A Bizottság által javasolt szöveg |
Módosítás |
|
(5a) Egyéb technológiákkal együtt a számítási felhő átalakíthatja az európai gazdaságot, feltéve, hogy megfelelő adatbiztonsági és adatvédelmi intézkedések vannak érvényben. A személyes adatok legmagasabb szintű biztonságának szavatolása érdekében elengedhetetlen az adatkezelők és adatfeldolgozók e rendeletben foglalt jogainak és kötelezettségeinek ismerete. |
Módosítás 8 Rendeletre irányuló javaslat 8 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(8) Az egyének következetes és magas szintű védelmének biztosítása és a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmi szintjének az ilyen adatok feldolgozása vonatkozásában azonosnak kell lennie minden tagállamban. A természetes személyeknek a személyes adataik feldolgozásához kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. |
(8) Az egyének következetes és magas szintű védelmének biztosítása és a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmi szintjének az ilyen adatok feldolgozása vonatkozásában egyenértékűnek és lehetőség szerint azonosnak kell lennie minden tagállamban. A természetes személyeknek a személyes adataik feldolgozásához kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. |
Indokolás | |
Az adatfeldolgozási szabályok elméletben már ma is minden tagállamban „egyenértékűek”. E megközelítés hiányosságából fakad az a mögött húzódó logika, hogy a javaslat rendelet formáját ölti. E preambulumbekezdésnek megfelelően tükröznie kell ezt az elgondolást. | |
Módosítás 9 Rendeletre irányuló javaslat 10 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(10) A Szerződés 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályok megállapítására. |
(10) A Szerződés 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek által, illetve az uniós jog hatálya alá tartozó tevékenységeik folytatása során a tagállamok által végzett feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályok megállapítására. |
Módosítás 10 Rendeletre irányuló javaslat 11 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(11) Az egyének egységes szintű védelmének az Unió egész területén való biztosítása, valamint az adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére, beleértve a mikro-, kis- és középvállalkozásokat, valamint az egyének részére a jogi úton érvényesíthető jogoknak és az adatkezelők és -feldolgozók kötelezettségeinek és felelősségének valamennyi tagállamban azonos szintjét, a személyes adatok feldolgozásának következetes nyomon követését és azt, hogy minden tagállamban rendelkezésre álljanak a megfelelő szankciók és a különböző tagállamok felügyelő hatóságai hatékonyan együttműködjenek. A rendelet számos eltérést tartalmaz annak érdekében, hogy figyelembe vegye a mikro-, kis- és középvállalkozások sajátos helyzetét. Emellett az uniós intézményeket és szervezeteket, a tagállamokat és felügyelő hatóságaikat arra ösztönzik, hogy e rendelet alkalmazása során vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit. A mikro-, kis- és középvállalkozások fogalmát a kis- és közepes méretű vállalkozások meghatározásáról szóló, 2003. május 6-i 2003/361/EK bizottsági ajánlás alapján kell meghatározni. |
(11) Az egyének egységes szintű védelmének az Unió egész területén való biztosítása, valamint az adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére, beleértve a mikro-, kis- és középvállalkozásokat, valamint az egyének részére a jogi úton érvényesíthető jogoknak és az adatkezelők és -feldolgozók kötelezettségeinek és felelősségének valamennyi tagállamban azonos szintjét, a személyes adatok feldolgozásának következetes nyomon követését és azt, hogy minden tagállamban rendelkezésre álljanak a megfelelő szankciók és a különböző tagállamok felügyelő hatóságai hatékonyan együttműködjenek. Amennyiben az bizonyíthatóan szükséges és nem ássa alá sem a személyes adatok védelmét, sem a belső piac elveit, a rendelet számos eltérést tartalmaz annak érdekében, hogy figyelembe vegye a mikro-, kis- és középvállalkozások sajátos helyzetét. Emellett az uniós intézményeket és szervezeteket, a tagállamokat és felügyelő hatóságaikat arra ösztönzik, hogy e rendelet alkalmazása során, az érintett felekkel konzultációt folytatva vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit, valamint a „gondolkozz először kicsiben” elvet annak érdekében, hogy már a döntéshozatal legkorábbi szakaszaiban érvényesüljenek a mikro-, kis- és középvállalkozások érdekei. A mikro-, kis- és középvállalkozások fogalmát a kis- és közepes méretű vállalkozások meghatározásáról szóló, 2003. május 6-i 2003/361/EK bizottsági ajánlás alapján kell meghatározni. |
Módosítás 11 Rendeletre irányuló javaslat 12 preambulumbekezdés | |
A Bizottság által javasolt szöveg |
Módosítás |
(12) Az e rendelet által nyújtott védelem a természetes személyeket a személyes adatok feldolgozása tekintetében nemzetiségtől és lakóhelytől függetlenül illeti meg. Olyan adatfeldolgozás tekintetében, amely jogi személyeket érint, és különösen olyan vállalkozásokat, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat, senki nem igényelheti a jelen rendelet szerinti védelmet. Ez vonatkozik arra az esetre is, ha a jogi személy egy vagy több természetes személy nevét tartalmazza. |
(12) Az e rendelet által nyújtott védelem a természetes személyeket a személyes adatok feldolg |