Index 
 Előző 
 Következő 
 Teljes szöveg 
Eljárás : 2012/0011(COD)
A dokumentum állapota a plenáris ülésen
Válasszon egy dokumentumot : A7-0402/2013

Előterjesztett szövegek :

A7-0402/2013

Viták :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Szavazatok :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5
A szavazatok indokolása

Elfogadott szövegek :

P7_TA(2014)0212

Elfogadott szövegek
PDF 1513kWORD 1159k
2014. március 12., Szerda - Strasbourg
Az egyén védelme a személyes adatok feldolgozása során ***I
P7_TA(2014)0212A7-0402/2013
Állásfoglalás
 Egységes szerkezetbe foglalt szöveg

Az Európai Parlament 2014. március 12-i jogalkotási állásfoglalása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatról (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Rendes jogalkotási eljárás: első olvasat)

Az Európai Parlament,

–  tekintettel a Bizottság Európai Parlamenthez és Tanácshoz intézett javaslatára (COM(2012)0011),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére, 16. cikkének (2) bekezdésére és 114. cikkének (1) bekezdésére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C7–0025/2012),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,

–  tekintettel a belga képviselőház, a német Bundesrat, a francia szenátus, az olasz képviselőház és a svéd parlament által a szubszidiaritás és az arányosság elvének alkalmazásáról szóló 2. jegyzőkönyv alapján előterjesztett indokolt véleményekre, amelyek szerint a jogalkotási aktus tervezete nem egyeztethető össze a szubszidiaritás elvével,

–  tekintettel az Európai Gazdasági és Szociális Bizottság 2012. május 23-I véleményére(1),

–  a Régiók Bizottságával folytatott konzultációt követően,

–  tekintettel az európai adatvédelmi biztos 2012. március 7-i véleményére(2),

–  tekintettel az Európai Unió Alapjogi Ügynöksége 2012. október 1-jei véleményére,

–  tekintettel eljárási szabályzatának 55. cikkére,

–  tekintettel az Állampolgári Jogi, Bel- és Igazságügyi Bizottság jelentésére, valamint a Foglalkoztatási és Szociális Bizottság, az Ipari, Kutatási és Energiaügyi Bizottság, a Belső Piaci és Fogyasztóvédelmi Bizottság és a Jogi Bizottság véleményeire (A7-0402/2013),

1.  elfogadja első olvasatban az alábbi álláspontot;

2.  felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslatát lényegesen módosítani kívánja, vagy helyébe másik szöveget kíván léptetni;

3.  utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak, a Bizottságnak és a nemzeti parlamenteknek.

(1) HL C 229., 2012.7.31., 90. o.
(2) HL C 192., 2012.6.30., 7. o.


Az Európai Parlament álláspontja amely első olvasatban 2014. március 12-én került elfogadásra a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet) szóló .../2014/EU európai parlamenti és tanácsi rendelet elfogadására tekintettel
P7_TC1-COD(2012)0011

(EGT vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre, és különösen annak 16. cikke (2) bekezdésére, valamint 114. cikke (1) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezetének a nemzeti parlamentek részére való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére(1),

a Régiók Bizottságával folytatott konzultációt követően,

tekintettel az európai adatvédelmi biztos véleményére(2),

rendes jogalkotási eljárás keretében(3),

mivel:

(1)  A természetes személyeknek a személyes adataik feldolgozásával kapcsolatban nyújtott védelem alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és a Szerződés 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2)  A személyes adatok feldolgozásának célja az emberek szolgálata; a személyes adataik feldolgozása vonatkozásában az egyének védelméhez kapcsolódó elveknek és szabályoknak a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen személyes adataik védelméhez való jogukat. Ennek hozzá kell járulnia a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint az egyének jólétéhez.

(3)  A 95/46/EK európai parlamenti és tanácsi irányelv(4) célja a feldolgozási tevékenységek tekintetében a természetes személyek alapvető jogai és szabadságai védelmének harmonizálása, valamint a személyes adatok tagállamok közötti szabad áramlásának biztosítása.

(4)  A belső piac működéséből eredő gazdasági és társadalmi integráció lényegesen megnövelte a határokon keresztüli áramlást. Az Unión belül megnövekedett a gazdasági és a társadalmi, az állami és a piaci szereplők közötti adatcsere. A tagállamok nemzeti hatóságai az uniós jog értelmében kötelesek olyan mértékben együttműködni és személyes adatokat cserélni, ami lehetővé teszi számukra feladataik ellátását, vagy a fellépést egy másik tagállam hatósága nevében.

(5)  A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatmegosztás és -gyűjtés mértéke ugrásszerűen megnőtt. A technológia a magánvállalatok és a hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel. Az egyének egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes információkat. A technológia egyaránt megváltoztatta a gazdaságot és a társadalmi életet, szükségessé téve az Unión belüli szabad adatáramlás és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás egyszerűbbé tételét, biztosítva egyúttal a személyes adatok magas szintű védelmét.

(6)  E fejlemények szükségessé teszik egy olyan szilárd és következetesebb uniós adatvédelmi keret kialakítását, amely mögött erős kikényszeríthetőség áll, hiszen fontos megteremteni azt a bizalmat, amely lehetővé teszi a digitális gazdaság belső piaci fejlődését. Az egyéneknek ellenőrzést kell gyakorolniuk saját személyes adataik felett, és erősíteni kell a jogbiztonságot és a gyakorlat biztonságát az egyének, gazdasági szereplők és hatóságok tekintetében.

(7)  A 95/46/EK irányelv célkitűzései és elvei továbbra is fontosak, de nem akadályozták meg az adatvédelem uniós végrehajtásának széttagoltságát, a jogbiztonság hiányát és azt a széles körben elterjedt közfelfogást, hogy különösen az online tevékenységgel összefüggésben lényeges kockázatok jelentkeznek az egyének védelme tekintetében. Az egyes tagállamokban végzett személyesadat-feldolgozás terén az egyének jogai és szabadságai, különösen a személyes adatok védelméhez való jog védelmének szintjei közötti eltérések akadályozhatják a személyes adatok Unióban történő továbbítását. Ebből eredően ezek az eltérések akadályt jelentenek számos uniós szintű gazdasági tevékenység elvégzésében, torzítják a versenyt, és hátráltatják a hatóságokat az uniós jog szerinti feladataik teljesítésében. A védelmi szintek közötti ezen eltérés a 95/46/EK irányelv végrehajtásában és alkalmazásában fennálló eltéréseknek tulajdonítható.

(8)  Az egyének következetes és magas szintű védelmének biztosítása és a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmi szintjének az ilyen adatok feldolgozása vonatkozásában azonosnak kell lennie minden tagállamban. A természetes személyeknek a személyes adataik feldolgozásához kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell.

(9)  A személyes adatoknak az Unió egész területén biztosított hatékony védelme megköveteli az érdekeltek jogainak, valamint a személyes adatok feldolgozását végző és a feldolgozást meghatározó személyek kötelezettségeinek megszilárdítását és részletes meghatározását, de ugyanakkor azt is, hogy a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzését és biztosítását azonos hatáskörben és a jogsértőkre azonos szankciót kiszabva lássák el a tagállamokban.

(10)  A Szerződés 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályok megállapítására.

(11)  Az egyének egységes szintű védelmének az Unió egész területén való biztosítása, valamint az adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére, beleértve a mikro-, kis- és középvállalkozásokat, valamint az egyének részére a jogi úton érvényesíthető jogoknak és az adatkezelők és -feldolgozók kötelezettségeinek és felelősségének valamennyi tagállamban azonos szintjét, a személyes adatok feldolgozásának következetes nyomon követését és azt, hogy minden tagállamban rendelkezésre álljanak a megfelelő szankciók és a különböző tagállamok felügyelő hatóságai hatékonyan együttműködjenek. A rendelet számos eltérést tartalmaz annak érdekében, hogy figyelembe vegye a mikro-, kis- és középvállalkozások sajátos helyzetét. Emellett az uniós intézményeket és szervezeteket, a tagállamokat és felügyelő hatóságaikat arra ösztönzik, hogy e rendelet alkalmazása során vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit. A mikro-, kis- és középvállalkozások fogalmát a 2003/361/EK bizottsági ajánlás(5) alapján kell meghatározni.

(12)  Az e rendelet által nyújtott védelem a természetes személyeket a személyes adatok feldolgozása tekintetében nemzetiségtől és lakóhelytől függetlenül illeti meg. Olyan adatfeldolgozás tekintetében, amely jogi személyeket érint, és különösen olyan vállalkozásokat, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat, senki nem igényelheti a jelen rendelet szerinti védelmet. Ez vonatkozik arra az esetre is, ha a jogi személy egy vagy több természetes személy nevét tartalmazza.

(13)  Az egyének védelmének technológiailag semlegesnek kell lennie, és az nem függhet a felhasznált technológiáktól; különben komoly megkerülési kockázatot teremtene. Az egyének védelme az automatizált eszközök útján végzett személyesadat-feldolgozás mellett a kézi feldolgozásra is vonatkozik, amennyiben az adatokat egy nyilvántartási rendszerben tárolják, vagy kívánják tárolni. A meghatározott szempontok szerint nem rendszerezett iratok, illetve iratok csoportjai, és azok borítóoldalai nem tartoznak e rendelet hatálya alá.

(14)  E rendeletnek nem tárgya az olyan tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelme vagy adatok szabad áramlása, amelyek az uniós jog hatályán kívül esnek, és nem tartozik a rendelet hatálya alá az uniós intézmények, szervek, hatóságok és ügynökségek 45/2001/EK rendelet alkalmazási körébe tartozó személyesadat-feldolgozása, vagy a tagállamok által végzett személyesadat-feldolgozás, ha a tevékenységeket az Unió közös kül- és biztonságpolitikájával összefüggésben végzik. A 45/2001/EK európai parlamenti és tanácsi rendeletet(6) összhangba kell hozni ezzel a rendelettel, és ennek a rendeletnek megfelelően kell alkalmazni. [Mód. 1]

(15)  A rendelet nem alkalmazandó továbbá a természetes személyek által végzett adatfeldolgozásra, amennyiben azt kizárólag személyes,családi vagy otthoni házi használatra, például levelezés vagy címjegyzékek vezetése során, illetve zártkörű értékesítés céljából végzik, és amely nélkülöz minden haszonszerzési célt, és nem kapcsolódik kereskedelmi vagy szakmai tevékenységhez. A kivétel nem A rendelet alkalmazandó továbbá azonban azokra az adatkezelőkre vagy és -feldolgozókra, akik ilyen személyes vagy házi használatra szolgáló személyesadat-feldolgozáshoz biztosítanak eszközöket. [Mód. 2]

(16)  A személyes adatok felelős hatóságok általi, bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő feldolgozása vonatkozásában az egyének védelme és az ilyen adatok szabad áramlása uniós szintű különös jogi eszköz tárgya. A rendelet ennek értelmében nem alkalmazandó az e célok érdekében végzett feldolgozási tevékenységekre. Ugyanakkor a hatóságok által a jelen rendelet alapján végzett adatfeldolgozást, amennyiben azokat bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljára használják fel, uniós szinten külön jogi aktus (2014/…/EU európai parlamenti és tanácsi irányelv a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról) szabályozza.

(17)  E rendeletet a 2000/31/EK európai parlamenti és tanácsi irányelv(7), különösen az említett irányelv 12–15. cikke szerinti, a közvetítő szolgáltatók felelősségére vonatkozó szabályok alkalmazásának a sérelme nélkül kell alkalmazni.

(18)  E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét a rendelettel megállapított rendelkezések alkalmazása során. A valamely hatóság vagy állami szerv birtokában lévő személyes adatokat az említett hatóság vagy állami szerv a hivatalos iratokhoz való nyilvános hozzáférésre vonatkozó uniós vagy tagállami joggal összhangban közölheti, amely összeegyezteti az adatvédelemhez való jogot a hivatalos iratokhoz való nyilvános hozzáférés jogával, és helyes egyensúlyt képez a különféle felmerülő érdekek között. [Mód. 3]

(19)  A tagállam területén az adatkezelő vagy -feldolgozó valamely szervezete tevékenységének keretében végzett bármely személyesadat-feldolgozást e rendelettel összhangban kell végezni tekintet nélkül arra, hogy maga az adatfeldolgozás az Unió területén történik-e vagy sem. A letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel. E letelepedések – legyen akár fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező.

(20)  Annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre e rendelet értelmében jogosultak, a nem az Unióban letelepedett adatkezelő által az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozását az Unióban akkor kell a rendelet betartásával végezni, ha a feldolgozási tevékenység termékek vagy szolgáltatások ilyen érintettek számára – akár fizetés ellenében, akár anélkül – történő nyújtására, vagy az ilyen érintettek viselkedésének nyomon követésére szolgál. Annak megállapítása érdekében, hogy az ilyen adatkezelő termékeket és szolgáltatásokat kínál-e unióbeli érintetteknek, meg kell bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő szolgáltatásokat tervez nyújtani az Unió egy vagy több tagállamában az érintettek számára. [Mód. 4]

(21)  Annak meghatározása érdekében, hogy a feldolgozás az érintett „viselkedésének nyomon követésére” szolgál-e, azt kell az adatok eredetétől függetlenül megvizsgálni, hogy az egyéneket nyomon követik-e az interneten, vagy az egyén profiljának megalkotását is magában illetve hogy rájuk vonatkozó egyéb adatokat gyűjtenek-e, többek között az Unión kívülről hozzáférhető uniós nyilvántartásokból vagy közleményekből, és többek között azzal a szándékkal, hogy a profilalkotást is magukban foglaló adatfeldolgozási technikákat alkalmaznak-e, különösen az egyénre vonatkozó döntések meghozatala vagy személyes igényeinek, viselkedésének vagy beállítottságának elemzése vagy előrejelzése érdekében alkalmazzák, vagy később esetlegesen alkalmazzák. [Mód. 5]

(22)  Amennyiben a nemzetközi közjog értelmében valamely tagállam nemzeti jogát kell alkalmazni, e rendelet alkalmazandó a nem az Unióban letelepedett adatkezelőre is, például a tagállam diplomáciai vagy konzuli képviseleteire.

(23)  A védelem Az adatvédelem elveit minden azonosított természetes vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű ésszerűen valószínűsíthető módon felhasználhat az egyén közvetlen vagy közvetett azonosítására vagy kiválasztására. Annak megállapítására, hogy egy módszer ésszerűen valószínűsíthetően felhasználható-e az egyén azonosítására, milyen objektív tényezőt tekintetbe kell venni, például az azonosítás költségeit és az azonosításhoz szükséges időt, figyelembe véve egyrészt a feldolgozás idején rendelkezésre technológiát, másrészt a technológiai fejlődést. Az adatvédelem . A védelem elvei ezért nem alkalmazhatók az olyan módon anonimmá tett anonim adatokra, hogy az érintett a továbbiakban nem azonosítható vagyis az olyan információkra, amelyek nem kapcsolhatók egy azonosított vagy azonosítható személyhez. A rendelet ezért nem érinti az ilyen anonim adatok többek között statisztikai vagy kutatási célú feldolgozását. [Mód. 6].

(24)  Az online szolgáltatások igénybe vétele során az egyének a berendezéseik, alkalmazásaik, eszközeik A rendeletet alkalmazni kell az olyan adatfeldolgozásra, amely berendezések, alkalmazások, eszközök és szabványos protokolljaik protokollok által rendelkezésre bocsátott online azonosítókhoz kapcsolódnak, azonosítókat mint például az IP-cím vagy a cookie-azonosítók. Mivel ez olyan nyomokat hagy maga után, amely az egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal együtt felhasználható az egyének profiljának létrehozásához és az azonosításukhoz. Ebből következik, hogy az azonosítószámokat, tartózkodási helyre utaló adatokat, online azonosítókat vagy egyéb sajátos tényezőket nem szükségképpen kell minden körülmények között személyes adatnak tekinteni. IP-címeket, cookie-azonosítókat és rádiófrekvenciás azonosító címkéket használ fel, kivéve, ha ezek az azonosítók nem köthetők egy azonosított vagy azonosítható személyhez. [Mód. 7]

(25)  A hozzájárulást kifejezetten kell megadni bármely olyan megfelelő eljárással – nyilatkozattal vagy egyértelmű megerősítő cselekedettel –, amely lehetővé teszi az érintett nyilatkozatára vagy egyértelmű beleegyező aktusára alapozva az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítását, IP-címeket, cookie-azonosítókat és rádiófrekvenciás azonosító címkéket használ fel, kivéve, ha ezek az azonosítók nem köthetők egy azonosított vagy azonosítható személyhez. biztosítva azt, hogy az egyének tudatában legyenek annak, hogy személyesadat-feldolgozáshoz adják beleegyezésüknek ,beleegyezésüket. Ilyen egyértelmű megerősítő cselekedet lehet például beleértve az internetes honlap látogatása során egy négyzet megjelölését megjelölése és bármely egyéb nyilatkozatot nyilatkozat vagy beleegyezést, magatartás amely egyértelműen jelzi ezzel összefüggésben az érintett hozzájárulását személyes adatainak tervezett feldolgozásához. A hallgatás, a szolgáltatás puszta használata vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás lehetővé tesz minden olyan feldolgozási tevékenységet, amelyet ugyanazon cél vagy célok érdekében végeznek. Amennyiben az érintett hozzájárulását elektronikus igénylés alapján adja meg, az igénylésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában kérik. [Mód. 8]

(26)  Az egészségre vonatkozó személyes adatok közé tartozik különösen minden olyan adat, amely az érintett egészségi állapotára vonatkozik; az egyén egészségügyi szolgáltatásnyújtás érdekében történő nyilvántartása; az egészségügyi ellátásért teljesített fizetések és az arra való jogosultság az egyén vonatkozásában; olyan adott egyénhez rendelt szám, szimbólum vagy adat, amelynek célja, hogy egészségügyi szempontból kizárólagosan azonosítsa a személyt; az egyénnel kapcsolatban a neki nyújtott egészségügyi szolgáltatás során gyűjtött bármilyen információ; testrész vagy testet alkotó anyag – beleértve a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; egy személy azonosítása, aki egészségügyi szolgáltatást nyújt az egyénnek; bármilyen többek között az érintett betegséggel, fogyatékossággal, betegségkockázattal, kórtörténettel, klinikai kezeléssel vagy az érintett aktuális fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, mint például orvos vagy egyéb egészségügyi dolgozó, kórház, orvosi berendezés vagy in vitro diagnosztikai teszt.

(27)  Az adatkezelő Unión belüli fő szervezet helyét objektív feltételek alapján kell meghatározni, és annak magában kell foglalnia a feldolgozás céljára, feltételeire és módjára vonatkozó fő döntéseket meghatározó igazgatási tevékenység tényleges, tartós jellegű gyakorlását. E feltétel azonban független attól, hogy a személyesadat-feldolgozásra ténylegesen ezen a helyen kerül-e sor; a személyes adatok feldolgozásához vagy a feldolgozási tevékenységekhez kapcsolódó technikai eszközök és technológiák jelenléte és használata önmagában nem hoz létre ilyen fő szervezetet, ezért nem meghatározó feltétel a fő szervezet helye szempontjából. Az adatfeldolgozó fő szervezete az Unión belüli központi igazgatásának helye.

(28)  Az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások vállalkozáscsoportot alkotnak, minek körében az ellenőrző vállalkozás az a vállalkozás, amely például tulajdonosi jogok, pénzügyi részesedés vagy az arra vonatkozó szabályok, vagy a személyes adatok védelmére vonatkozó szabályok végrehajtására való jogosultság révén meghatározó befolyást gyakorol a többi vállalkozás felett.

(29)  A gyermekeknek személyes adataik tekintetében különös védelmet kell biztosítani, mivel ők kevésbé lehetnek tisztában a személyes adatok feldolgozásának kockázataival, következményeivel és az ahhoz kapcsolódó biztosítékokkal és jogosultságokkal. Az egyén gyermekként történő meghatározásához e rendelet átveszi a gyermekek jogairól szóló ENSZ-egyezmény fogalommeghatározását.Amennyiben az adatfeldolgozás az érintettnek a közvetlenül gyermekeknek nyújtott termékekkel vagy szolgáltatásokkal összefüggésben megadott hozzájárulásán alapul, ezt a hozzájárulást 13 év alatti gyermekek esetében a gyermek szülőjének vagy jogi képviselőjének kell megadni vagy engedélyezni. Gyermek célközönség esetén az életkornak megfelelő nyelvezetet kell használni. A jogszerű adatfeldolgozás egyéb indokait, például a közérdeket továbbra is alkalmazni kell, például a közvetlenül gyermekeknek nyújtott megelőző vagy tanácsadási szolgáltatások tekintetében. [Mód. 9]

(30)  A személyes adatok feldolgozásának törvényesnek, tisztességesnek és átláthatónak kell lennie az érintett egyének vonatkozásában. Az adatfeldolgozás sajátos céljainak különösen kifejezetten megfogalmazottaknak és jogszerűeknek, valamint az adatgyűjtés időpontjában meghatározottaknak kell lenniük. Az adatoknak megfelelőnek és relevánsnak kell lenniük, valamint az adatok feldolgozásának céljához szükséges legkisebb mértékre kell korlátozódniuk; ez elsősorban annak biztosítását igényli, hogy az összegyűjtött adatok ne legyenek túlzott mértékűek, az adattárolás időtartama pedig a lehető legkisebb mértékűre korlátozódjon. A személyes adatokat csak abban az esetben lehet feldolgozni, ha a feldolgozás célját egyéb eszközzel nem lehetséges elérni. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek. Annak biztosítása érdekében, hogy az adatokat csak a szükséges ideig tárolják, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

(31)  A feldolgozás jogszerűsége érdekében a személyes adatok az érintett személy hozzájárulása vagy akár az e rendeletben, akár az e rendelet által hivatkozott egyéb uniós vagy tagállami jogszabályban meghatározott más jogalap alapján dolgozhatók fel. Gyermekek vagy jogképességgel nem rendelkező személyek esetében a vonatkozó uniós vagy tagállami jognak kell meghatároznia azokat a feltételeket, amelyek mellett a szóban forgó személy a hozzájárulást megadja vagy engedélyezi. [Mód. 10]

(32)  Amennyiben a feldolgozás az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az érintett hozzájárult a feldolgozási művelethez. Különösen a más ügyben tett írásos nyilatkozattal összefüggésben biztosítékokkal kell biztosítani azt, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, valamint azzal, hogy milyen mértékben tette ezt. Az adatminimalizálás elvének való megfelelés érdekében a bizonyítási terhet nem szabad akként értelmezni, hogy az az érintettek pozitív azonosítását teszi szükségessé, kivéve, ha ez szükséges. A polgári jog feltételeihez hasonlóan (lásd például a 93/13/EGK irányelvet(8)) az adatvédelmi politikáknak a lehető legérthetőbbeknek és -átláthatóbbaknak kell lenniük. Nem tartalmazhatnak rejtett vagy hátrányos záradékokat. Harmadik személyek személyes adatainak feldolgozásához hozzájárulás nem adható. [Mód. 11]

(33)  A szabad akaratból tett hozzájárulás biztosítása érdekében egyértelművé kell tenni, hogy a hozzájárulás jelent érvényes jogalapot, amennyiben az egyén nem rendelkezik egyéni és szabad választással, és később nem tagadhatja meg vagy vonhatja vissza hátrányok nélkül a hozzájárulását. Különösen érvényes ez akkor, ha az adatkezelő olyan hatóság, amely a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon megadottnak. Nem képez szabad hozzájárulást azon alapértelmezett lehetőségek – például az előre kipipált négyzetek – alkalmazása, amelyeket az érintettnek módosítania kell ahhoz, hogy tiltakozzon az adatfeldolgozás ellen. A szolgáltatás használatához nem kérhető a szolgáltatás nyújtásához nem szükséges kiegészítő személyes adatok feldolgozásához való hozzájárulás. Hozzájárulás visszavonása esetén ez lehetővé teheti az adatokhoz kötött szolgáltatás megszűnését vagy végre nem hajtását. Amennyiben a tervezett cél végeredménye nem világos, az adatkezelő rendszeres időközönként tájékoztatja az érintettet a feldolgozásról, és hozzájárulása megerősítését kéri. [Mód. 12]

(34)  A hozzájárulás nem hoz létre érvényes jogalapot a személyes adatok feldolgozására, amennyiben egyértelmű kiegyensúlyozatlanság áll fenn az érintett és az adatkezelő között. Ez különösen fennáll, ha az érintett függő viszonyban van az adatkezelőtől, többek között, amikor a munkavállaló személyes adatait a munkáltató a munkaviszonnyal összefüggésben dolgozza fel. Amennyiben az adatfeldolgozó hatóság, csak akkor áll fenn kiegyensúlyozatlanság a konkrét adatfeldolgozási műveletek tekintetében, ha a hatóság a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon, az érintett érdekére figyelemmel megadottnak. [Mód. 13]

(35)  A feldolgozás jogszerű akkor is, ha arra valamely szerződés vagy valamely megkötendő szerződés keretében van szükség.

(36)  Ha a feldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy közérdekű feladat végrehajtásához, illetve hivatali hatáskör gyakorlásához szükséges, a feldolgozásnak olyan uniós vagy nemzeti jogi jogalappal kell rendelkeznie, amely megfelel a Chartában foglalt, a jogok és szabadságok korlátozására vonatkozó követelménynek. Ide kell tartozniuk az olyan kollektív megállapodásoknak is, amelyeket a nemzeti jog általános érvényűnek ismerhet el. Az uniós vagy a nemzeti jog feladata annak meghatározása is, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelő közigazgatási szerv vagy a közjog, illetve a magánjog hatálya alá tartozó egyéb természetes vagy jogi személy, például szakmai szövetség legyen-e. [Mód. 14]

(37)  A feldolgozást hasonlóan jogszerűnek kell tekinteni akkor, ha azt az érintett élete szempontjából alapvető fontosságú érdek védelme céljából végzik.

(38)  Az adatkezelő, vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdeke jogalapot teremthet a feldolgozáshoz, feltéve hogy az megfelelnek az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak, és hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Ezt különösen akkor kell vizsgálni, ha az érintett gyermek, mivel a gyermekeknek különös védelmet kell biztosítani. Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, feltételezhető, hogy az álnevesített adatokra korlátozódó feldolgozás megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Az érintettnek joga van tiltakozni a feldolgozás ellen egyedi helyzetével kapcsolatos indokok alapján, és térítésmentesen. Az átláthatóság biztosítása érdekében az adatkezelőt kötelezni kell arra, hogy kifejezetten tájékoztassa az érintettet az alapul szolgáló jogos érdekről és a tiltakozáshoz való jogról, és igazolnia kell e jogos érdekeket. Az érintett érdekei és alapvető jogai megelőzik az adatkezelő érdekét, amennyiben a személyes adatokat olyan körülmények között dolgozzák fel, amelyekben az érintettek nem számítanak további adatfeldolgozásra. Mivel a jogalkotó feladata jogszabályokban meghatározni a hatóságok adatfeldolgozásának jogalapját, e jogi indokolás nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra. [Mód. 15]

(39)  Az érintett adatfeldolgozó jogos érdekét jelenti a hálózati és informatikai biztonság biztosításához szigorúan szükséges és ezzel arányos mértékű adatfeldolgozás, vagyis az érintett hálózat vagy információs rendszer adott megbízhatósági szintű ellenállási képessége a szóban forgó hálózatokon és rendszereken tárolt vagy továbbított adatok és az általuk e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül – a hatóságok, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT), hálózatbiztonsági incidenskezelő csoportok (CSIRT), elektronikus hírközlési hálózatok és szolgáltatások szolgáltatói, valamint biztonságtechnológiai szolgáltatók számára – elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát veszélyeztető véletlen eseményekkel, illetve jogellenes vagy rosszindulatú tevékenységgel szemben. Ez magában foglalhatja például az elektronikus hírközlési hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú kódkiosztás megakadályozását, a hozzáférés megtagadásával (denial of service) járó támadások, valamint a számítógépes és elektronikus hírközlési rendszerekben való károkozás megakadályozását.Ezt az elvet kell alkalmazni a személyes adatoknak a nyilvánosan rendelkezésre álló hálózatokhoz vagy információs rendszerekhez való visszaélésszerű hozzáférés, és ezek használatának korlátozása céljából történő feldolgozása, például az elektronikus azonosítók feketelistázása esetén. [Mód. 16]

(39a)  Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, az adatkezelő által elszenvedett károk megelőzése vagy mérséklése az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Ugyanezt az elvet kell alkalmazni az érintettel szembeni jogi követelések – például adósságbehajtás vagy polgári jogi kártérítés és jogorvoslat – érvényesítésére is. [Mód. 17]

(39b)  Amennyiben az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, a személyes adatok saját és hasonló termékekkel és szolgáltatásokkal kapcsolatos közvetlen üzletszerzés vagy postai úton történő közvetlen üzletszerzés érdekében való feldolgozása az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak, amennyiben jól látható tájékoztatást nyújtanak a kifogásoláshoz való jogról és a személyes adatok forrásáról. Az üzleti kapcsolatokra vonatkozó adatok feldolgozása általánosságban az adatkezelő vagy adatközlés esetén az adatokat fogadó harmadik fél jogos érdekének minősül, és úgy tekinthető, hogy az megfelel az érintettnek az adatkezelővel fenntartott viszonyon alapuló jogos elvárásainak. Ugyanez vonatkozik az olyan személyes adatok feldolgozására is, amelyeket az érintett egyértelműen nyilvánosságra hozott. [Mód. 18]

(40)  A személyes adatok egyéb célú feldolgozása csak akkor megengedett, ha a feldolgozás az adatgyűjtés eredeti céljaival is összeegyeztethető, különösen, ha a feldolgozásra történelmi, statisztikai vagy tudományos kutatás céljából van szükség. Az adatgyűjtés eredeti céljával összeegyeztethetetlen egyéb cél esetén az adatkezelőnek a jogszerű adatfeldolgozás érdekében be kell szereznie az érintett ezen egyéb célhoz való hozzájárulását, vagy más jogszerű indokra kell alapítania a feldolgozást, különösen ha az uniós jog vagy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, így rendelkezik. Minden esetben biztosítani kell az e rendeletben rögzített elvek alkalmazását, valamint különösen az érintett ezen egyéb célokról történő tájékoztatását. [Mód. 19]

(41)  Az alapvető jogokkal és a magánélettel kapcsolatos, jellegüknél fogva különösen érzékeny és visszaélésre alkalmas személyes adatok különleges védelmet érdemelnek. Az ilyen adatok feldolgozása csak az érintett kifejezett hozzájárulásával végezhető. Az ilyen tilalomtól való eltérésről azonban különleges esetekre tekintettel kifejezetten rendelkezni kell, különösen amennyiben az adatfeldolgozást olyan egyesületek, illetve alapítványok végzik, amelyek célja – jogszerű tevékenységük keretében – az alapvető szabadságok gyakorlásának lehetővé tétele. [Mód. 20]

(42)  Megfelelő biztosítékok és a személyes adatok és más alapvető jogok védelme mellett jogszabály útján is el lehet térni az adatok érzékeny kategóriái feldolgozásának tilalmától, amennyiben ezt közérdekű okok indokolják különösen egészségügyi célból, beleértve a közegészségügyet és a szociális védelmet, valamint az egészségügyi szolgáltatások igazgatását, elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek, vagy történelmi, statisztikai és tudományos kutatási célból illetve az archiválási szolgálatok számára. [Mód. 21]

(43)  Ezenfelül csak közérdekből lehetséges a személyes adatok hatóságok általi feldolgozása a hivatalosan elismert vallási szervezetek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében.

(44)  A választással kapcsolatos tevékenységek során egyes tagállamokban a demokratikus rendszer működése megkívánja, hogy a politikai pártok adatokat gyűjtsenek az emberek politikai véleményéről; az ilyen adatok feldolgozása csak közérdekből lehetséges, feltéve hogy megfelelő biztosítékokat hoznak létre.

(45)  Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, akkor az adatkezelő nem köteles további információkat szerezni az érintett azonosítása érdekében, kizárólag abból a célból, hogy megfeleljen e rendelet bármely rendelkezésének. Hozzáférés iránti kérelem esetén az adatkezelő jogosult az érintettől további adatokat kérni annak érdekében, hogy az adatkezelő azonosíthassa azokat a személyes adatokat, amelyeket az érintett igényel. Amennyiben az érintett tud ilyen adatokkal szolgálni, az adatkezelő nem tagadhatja meg a hozzáférést információhiányra hivatkozva. [Mód. 22]

(46)  Az átláthatóság elve megköveteli, hogy a nyilvánosság vagy az érintett tájékoztatása könnyen hozzáférhető és érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg. Ez különösen akkor fontos, amikor az online reklámozáshoz hasonló helyzetek során a szereplők nagy száma és a gyakorlatok technológiai összetettsége megnehezíti az érintett számára annak felismerését és megértését, hogy személyes adatai feldolgozásra kerülnek-e, valamint hogy ki által és milyen célra. Mivel a gyermekeket különös védelemben kell részesíteni, ezért a kifejezetten gyermekekre vonatkozó feldolgozás során minden információt és közleményt olyan világos és közérthető nyelven kell megfogalmazni, hogy a gyermek könnyen megértse.

(47)  Az érintettek e rendeletben biztosított jogainak gyakorlását egyszerűbbé tevő eljárásokat kell létrehozni, – ideértve az adatok vonatkozásában kérelemre és térítésmentesen biztosított hozzáférés, helyesbítés és törlés, adatokhoz való hozzáférésre, azok helyesbítésére és törlésére, valamint a tiltakozáshoz való jog gyakorlásának mechanizmusait – kell létrehozni.gyakorlására vonatkozó mechanizmusokat. Az adatkezelőnek kötelesnek kell lennie arra, hogy az érintett kérelmére meghatározott ésszerű határidőn belül válaszoljon, valamint hogy megindokolja, ha nem ad helyt az érintett kérelmének. [Mód. 23]

(48)  A tisztességes és átlátható adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, az adatok egyes célok tekintetében történő tárolásának valószínű időtartamáról arról, hogy az adatokat harmadik feleknek vagy harmadik országoknak továbbítják-e vagy sem, a kifogásolási intézkedések, illetve a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár. Ezt a tájékoztatást a szabványosított ikonok formájában nyújtott egyszerűsített tájékoztatást követően kell az érintetteknek megadni, ami azt is jelentheti, hogy hozzáférhetővé kell tenni. Ez azt is jelenti, hogy a személyes adatok feldolgozása oly módon történik, hogy ténylegesen lehetővé válik az érintett számára jogainak gyakorlása. [Mód. 24]

(49)  Az érintettre vonatkozó személyes adatok feldolgozásával kapcsolatos tájékoztatást az adatgyűjtés időpontjában kell rendelkezésére bocsátani, illetve, abban az esetben, ha az adatokat nem az érintettől gyűjtötték be, ésszerű határidőn belül, az ügy körülményeire tekintettel. Ha az adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor tájékoztatni kell az érintettet.

(50)  Mindazonáltal nem szükséges e kötelezettség előírása, ha az érintett már rendelkezik ismeri az említett tájékoztatással tájékoztatást, vagy ha az adat rögzítését, illetve közlését jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Utóbbi helyzet állhat fenn különösen történelmi, statisztikai, vagy tudományos célból történő feldolgozás esetén; e tekintetben figyelembe vehető az érintettek száma, az adatok kora és az elfogadott kárpótló intézkedések. Utóbbi helyzet állhat fenn különösen történelmi, statisztikai, vagy tudományos célból történő feldolgozás esetén; e tekintetben figyelembe vehető az érintettek száma, az adatok kora és az elfogadott kárpótló intézkedések. [Mód. 25]

(51)  Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait, becsült időtartamát, az adatok címzettjeit, az adatok feldolgozásának általános logikáját, valamint azt, hogy az ilyen adatfeldolgozás, legalábbis amennyiben az profilalkotásra épül, milyen következményekkel jár, és hogy tájékoztatást kapjon minderről. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy szellemi tulajdont és különösen például a szoftvert védelemben részesítő szerzői jogot joggal összefüggésben. E megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. [Mód. 26]

(52)  Az adatkezelőnek minden ésszerű intézkedést meg kell tennie a hozzáférést kérő érintett személyazonosságának megállapítására, különösen az online szolgáltatásokkal és online azonosítókkal összefüggésben. Az adatkezelő nem őrizheti meg a személyes adatokat kizárólag azért, hogy megválaszolhassa az esetleges kérelmeket.

(53)  Minden személynek joga van a rá vonatkozó személyes adatok helyesbítéséhez és „a személyes adatok tárolásának megszüntetéséhez”, törléséhez amennyiben az ilyen adatok megőrzése nem felel meg e rendeletnek. Az érintetteknek különösen ahhoz van joga, hogy személyes adataikat töröljék, és ne dolgozzák fel akkor, ha az adatokra azok gyűjtése vagy más módon való feldolgozása céljának tekintetében már nincs szükség, ha az érintettek visszavonták a feldolgozáshoz adott hozzájárulásukat, vagy ha megtiltják a rájuk vonatkozó személyes adatok feldolgozását, vagy ha személyes adataik feldolgozása egyébként nem áll összhangban e rendelettel. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta hozzájárulását, amikor nem volt teljes mértékben tisztában a feldolgozás kockázataival, később pedig el akarja távolítani az ilyen személyes adatokat, különösen az internetről. Mindazonáltal az adatok továbbra is visszatarthatóak, ha ez történelmi, statisztikai vagy tudományos kutatási célokból, a közegészségügy területén közérdekből vagy a véleménynyilvánítás jogának gyakorlásához szükséges, ha jogszabály előírja, vagy ha az adat feldolgozásának korlátozása indokoltabb a törlésénél. Ezenfelül a törléshez való jog nem alkalmazható, ha a személyes adatok megőrzése az érintettel aláírt szerződés teljesítéséhez szükséges, vagy ha a szóban forgó adatok megőrzését jogszabály írja elő. [Mód. 27]

(54)  A személyes adatok tárolásának megszüntetéséhez törléséhez való jog online környezetben való erősítése érdekében a törléshez való jogot is ki kell terjeszteni oly módon, hogy a személyes adatokat jogi indokolás nélkül nyilvánosságra hozó adatkezelőt kötelezni adatkezelőnek tájékoztatnia kell arra az ilyen adatokat feldolgozó harmadik feleket arról, hogy valamennyi szükséges lépést tegye meg az érintett kérte e személyes adatokra mutató linkek, vagy e személyes adatok -többek között harmadik felek általi – törlése másolatának, illetve másodpéldányának törlését. E tájékoztatás biztosítása érdekében az adatkezelőnek minden ésszerű lépést meg kell tennie – beleértve a műszaki intézkedéseket is – az adatkezelő felelősségi körébe tartozó közléssel érintett adatok tekintetében. A személyes adatok harmadik fél általi közlése tekintetében az adatkezelő felel a nyilvánosságra hozatalért, amennyiben a harmadik fél általi közlést az adatkezelő engedélyezte kártérítési jogának sérelme nélkül. [Mód. 28]

(54a)  Azokat az érintett által vitatott adatokat, amelyek helyessége vagy helytelensége nem állapítható meg, zárolni kell addig, amíg a kérdést nem tisztázzák. [Mód. 29]

(55)  A saját adataik feletti ellenőrzés és a hozzáférési jog gyakorlásának további erősítése érdekében az érintetteknek joga van a személyes adatok elektronikus úton történő feldolgozása során az őket érintő adatokról strukturált és széles körben elterjedt elektronikus formátumban másolatot kérni. Az érintettnek lehetősége van a rendelkezésre bocsátott adatok továbbítására is, az egyik automatizált alkalmazástól – például a közösségi hálózatról – a másikhoz. Az adatkezelőket ösztönözni kell az adathordozhatóságot lehetővé tevő interoperábilis formátumok kifejlesztésére. Ez alkalmazandó akkor is, ha az érintett az adatot a hozzájárulása alapján vagy szerződés teljesítése keretében bocsátotta az automatizált feldolgozó rendszer rendelkezésére. . Az információs társadalommal összefüggő szolgáltatást nyújtók nem tehetik kötelezővé az említett adatok továbbítását szolgáltatásaik igénybevételéhez. [Mód. 30]

(56)  Amennyiben Még akkor is, ha a személyes adatokat jogszerűen dolgozhatják fel az érintett alapvető érdekeinek védelme érdekében vagy közérdekű, illetve hatósági indokok vagy az adatkezelő jogos érdekei alapján, ugyanakkor minden érintettnek jogot kell biztosítani a rá vonatkozó adatok feldolgozásának térítésmentes, könnyen és hatékonyan megvalósítható kifogásolására. Az adatkezelőre hárul annak bizonyítása, hogy az ő jogos érdeke elsőbbséget élvez az érintett alapvető jogaival és szabadságaival szemben. [Mód. 31]

(57)  Ha az adatokat közvetlen üzletszerzés érdekében dolgozzák fel, Amennyiben az érintett jogosult térítésmentesen, valamint könnyen és hatékonyan kifogásolni az ilyen feldolgozást. a feldolgozás kifogásolására, az adatkezelőnek érthető módon és formában, világos és közérthető nyelven kifejezetten fel kell hívnia erre az érintett figyelmét, és ezt a felhívást egyértelműen meg kell különböztetnie minden más információtól. [Mód. 32]

(58)  Minden Az adatfeldolgozás jogszerűségének sérelme nélkül minden természetes személyt jogosult a profilalkotás kifogásolására. Az olyan profilalkotás, amely az érintettel kapcsolatban joghatáshoz vezet vagy hasonlóan jelentős hatással van az érintett érdekeire, jogaira vagy szabadságaira, kizárólag megillet a jog, hogy ne legyen automatizált adatfeldolgozási eszközökkel végzett profilalkotáson alapuló intézkedés alanya Az ilyen intézkedések mindazonáltal megengedhetőek akkor engedélyezhető, ha azt jogszabály kifejezetten előírja engedélyezi, ha valamely szerződés megkötése vagy telesítése során végzik, vagy ha az érintett hozzájárult. Az ilyen feldolgozásra minden esetben megfelelő biztosítékok mellett kerülhet sor, beleértve az érintett külön tájékoztatását és az emberi beavatkozás kérésének értékeléshez való hozzáférés jogát, valamint azt, hogy és az ilyen intézkedés nem vonatkozhat gyermekekre. Az ilyen intézkedések nem vezethetnek faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, szexuális irányultság vagy nemi identitás alapján történő megkülönböztetéshez. [Mód. 33]

(58a)   A kizárólag álnevesített adatok feldolgozásán alapuló profilalkotásról azt kell feltételezni, hogy nincs jelentős hatással az érintett érdekeire, jogaira és szabadságaira. Amennyiben a profilalkotás – akár egyetlen forrásból, akár több különböző forrásból származó álnevesített adatokon alapul – lehetővé teszi az adatkezelő számára, hogy az álnevesített adatokat egy konkrét érintetthez kösse, a feldolgozott adat nem tekinthető többé álnevesített adatnak. [Mód. 34]

(59)  Az uniós és a tagállami jog korlátozhatja az egyes alapelveket, az információhoz való jogot, a betekintési, módosítási és törlési jogot, az adathordozhatósághoz a hozzáféréshez és az adatszerzéshez fűződő jogot, a kifogásolási jogot, valamint a profilalkotást profilalkotáson alapuló intézkedések és a személyes adatokkal való jogsértés érintettel történő közlését, amennyiben ez egy demokratikus társadalomban a közbiztonság védelméhez szükséges és arányos, beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, bűncselekmények vagy a szabályozott szakmák etikai szabályainak megsértései megelőzését, nyomozását és üldözését, az egyéb uniós vagy tagállami közérdeket, különösen az Unió vagy egy tagállam konkrét és jól meghatározott fontos gazdasági vagy pénzügyi érdekét, vagy az érintett, illetve mások jogainak és szabadságainak védelmét. E korlátozásoknak összhangban kell állniuk az Európai Unió Alapjogi Chartájával, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel. [Mód. 35]

(60)  A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét különös tekintettel a dokumentálásra, az adatbiztonságra, a hatásvizsgálatokra, az adatvédelmi tisztviselőre és az adatvédelmi hatóságok által végzett felügyeletre. Az adatkezelőnek biztosítania és kötelezettségének megfelelően bizonyítania kell,és képesnek kell lennie bizonyítani, hogy valamennyi adatfeldolgozási művelet összhangban áll e rendelettel. . Ezt független belső vagy külső ellenőröknek kell felülvizsgálniuk.[Mód. 36]

(61)  A rendelet követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg mind az adatfeldolgozás megtervezésének mind magának az adatfeldolgozásnak az időpontjában. Az adatkezelő az e rendelettel való összhang biztosítása és bizonyítása érdekében belső szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz. A beépített adatvédelem elve megköveteli, hogy az adatvédelem a technológia teljes életciklusába beágyazódjon, az igen korai tervezési szakasztól egészen a végső telepítésig, alkalmazásig és leszerelésig. Ebbe bele kell tartoznia az adatkezelő vagy -feldolgozó által használt termékekért és szolgáltatásokért vállalt felelősségnek is. Az alapértelmezett adatvédelem a szolgáltatásokkal és termékekkel kapcsolatban olyan adatvédelmi beállításokat követel meg, amelyeknek alapértelmezett módon kell megfelelniük az általános adatvédelmi elveknek, mint például az adatminimalizálásnak és a célhoz kötöttségnek. [Mód. 37]

(62)  Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége a felügyelő hatóságok ellenőrzése és intézkedései tekintetében is megköveteli az e rendelet szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, feltételeit és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet. A közös adatkezelők közötti megállapodásoknak tükrözniük kell a közös adatkezelők tényleges szerepét és a köztük fennálló kapcsolatokat. Az e rendelet értelmében történő adatfeldolgozáshoz hozzá kell, hogy tartozzon annak engedélyezése, hogy az adatkezelő az adatokat egy közös adatkezelőnek vagy a nevében történő adatfeldolgozás céljából egy adatfeldolgozóhoz továbbítsa. [Mód. 38]

(63)  Amennyiben az Unióban lakóhellyel rendelkező érintettek személyes adatait az Unióban nem letelepedett olyan adatkezelő dolgozza fel az Unióban, akinek adatfeldolgozási tevékenysége termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához vagy az ilyen érintettek viselkedésének nyomon követéséhez kapcsolódik, az adatkezelőnek képviselőt kell kijelölnie, kivéve ha az adatkezelő egy megfelelő szintű védelmet biztosító harmadik országban telepedett le, vagy az adatkezelő kis- vagy középvállalkozás, adatfeldolgozás bármely összefüggő 12 hónap során kevesebb mint 5000 érintettre és nem a személyes adatok különleges kategóriáira vonatkozik, vagy az adatkezelő egy hatóság vagy állami szerv, vagy ha az adatkezelő csak alkalmi jelleggel kínál termékeket és szolgáltatásokat ezen érintetteknek. A képviselő az adatkezelő nevében jár el, és bármelyik felügyelő hatóság megkeresheti. [Mód. 39]

(64)  Annak megállapítása érdekében, hogy az adatkezelő csupán alkalmi jelleggel kínál-e termékeket és szolgáltatásokat az Unióban lakóhellyel rendelkező érintetteknek az Unióban, azt kell megvizsgálni, hogy az adatkezelő tevékenységeinek összességéből kitűnik-e az, hogy a termékek és szolgáltatások ilyen érintettek számára történő nyújtása kiegészítő jelleggel bír-e a fő tevékenységekhez képest. [Mód. 40]

(65)  Az adatkezelőnek Ahhoz, hogy az adatkezelő vagy -feldolgozónak feldolgozó igazolni tudja az e rendelettel való összhang igazolása érdekében dokumentálnia összhangot, vezetnie kell minden adatfeldolgozási tevékenységet az e rendeletben előírt követelményeknek való megfeleléshez szükséges dokumentációt. Minden adatkezelő vagy -feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt – kérésre – hozzáférhetővé tenni az adatfeldolgozási műveletek esetleges ellenőrzése a rendeletnek való megfelelés értékelése céljából. Azonban egyaránt hangsúlyt kell fektetni a helyes gyakorlatra és a szabályok betartására, nem csupán a dokumentáció elkészítésére. [Mód. 41]

(66)  A biztonság fenntartása és a jelen rendelettel ellentétes adatfeldolgozás megelőzése érdekében az adatkezelőnek vagy -feldolgozónak értékelnie kell az adatfeldolgozás természetéből fakadó kockázatokat, és meg kell tennie az e kockázatok csökkentésére alkalmas intézkedéseket. Ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, a védendő személyes adatok jellegével és a belőlük fakadó kockázatokkal kapcsolatban figyelembe véve a technika állását és alkalmazásuk költségeit. Az adatfeldolgozás biztonságát biztosító technikai szabványok és szervezeti intézkedések kialakítása során a Bizottságnak elő kell mozdítania mozdítani a technológiai semlegességet, az átjárhatóságot és az innovációt, valamint adott esetben együtt ösztönözni kell működnie a harmadik országokkal folytatott együttműködést. [Mód. 42]

(67)  A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – jelentős gazdasági veszteséget és társadalmi kárt okozhat – a személyazonossággal való visszaélést is beleértve – az érintett egyén számára. Az adatkezelőnek ezért haladéktalanul, amennyiben lehetséges, az ilyen adatsértésről való tudomásszerzést követő 24 , vagyis feltehetőleg legfeljebb 72 órán belül értesítenie kell a felügyelő hatóságot. Ha ez 24 órán belül nem tehető meg, Adott esetben az értesítéshez csatolni kell a késedelem indokainak ismertetését. A szükséges óvintézkedések lehetővé tétele érdekében haladéktalanul értesíteni kell azokat az egyéneket, akiknek személyes adatait a jogsértés hátrányosan befolyásolhatja. Az érintett személyes adatait vagy magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, fizikai károkozáshoz, súlyos sértéshez vagy hírnévrontáshoz vezet. Az értesítésnek tartalmaznia kell a személyes adatokat érintő jogsértés jellegének leírását, valamint az érintett egyénnek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintetteknek szóló tájékoztatást az ésszerűség keretei között a lehető leghamarabb meg kell tenni, szorosan együttműködve a felügyelő hatósággal, és az az által vagy más releváns hatóságok (például bűnüldöző hatóságok) által nyújtott iránymutatást betartva. Például ha annak a lehetősége, hogy az érintettek enyhíthetik a kár közvetlen veszélyét, az érintettek sürgős értesítését igényelné, míg az adatsértés folytatásával vagy hasonló adatsértés elkövetésével szemben alkalmazott megfelelő intézkedések hosszabb időtartamot indokolhatnak. [Mód. 43]

(68)  Annak meghatározása érdekében, hogy a személyes adatok megsértéséről haladéktalanul értesítették-e a felügyelő hatóságot, valamint az érintettet, meg kell vizsgálni, hogy az adatkezelő megfelelő technológiai védelmet, illetve szervezeti intézkedéseket vezetett-e be és alkalmazott-e annak haladéktalan megállapítása érdekében, hogy sor került-e a személyes adatok megsértésére, valamint annak érdekében, hogy haladéktalanul tájékoztassa a felügyelőt hatóságot és az érintettet a személyes és gazdasági érdekek sérelmének bekövetkezését megelőzően, figyelemmel különösen a személyes adatok megsértésének jellegére és súlyosságára, valamint annak következményeire, illetve az adatsértésnek az érintettre gyakorolt hátrányos hatásaira.

(69)  A személyes adatok megsértéséről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor megfelelő figyelmet kell fordítani az adatsértés körülményeire, beleértve azt is, hogy a személyes adatokat védték‑e olyan megfelelő műszaki védelmi intézkedésekkel, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti feltárás szükségtelenül veszélyeztethetné az adatsértés körülményeinek kivizsgálását.

(70)  A 95/46/EK irányelv általános jelleggel előírta, hogy értesíteni kell a felügyelő hatóságot a személyes adatok feldolgozásáról. Ez a kötelezettség igazgatási és költségvetési terhekkel jár, azonban nem minden esetben járul hozzá a személyes adatok védelmének javításához. Ezért az ilyen megkülönböztetés nélküli általános értesítési kötelezettséget meg kell szüntetni, és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek inkább az érintettek alapvető jogait és szabadságait jellegüknél, alkalmazási területüknél és céljuknál fogva valószínűsíthetően veszélyeztető feldolgozási műveletekre összpontosítanak. Ilyen esetekben az adatkezelőnek vagy -feldolgozónak adatvédelmi hatásvizsgálatot kell végeznie az adatfeldolgozás előtt, amelynek kifejezetten tartalmaznia kell a személyes adatok védelmét biztosító tervezett intézkedéseket, biztosítékokat és mechanizmusokat, valamint az e rendelettel való összhang bizonyítását.

(71)  Ez különösen vonatkozik azokra az újonnan létrehozott nagyméretű személyesadat-nyilvántartó rendszerekre, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű feldolgozását hivatottak biztosítani, és amelyek jelentős számú érintettre gyakorolhatnak hatást.

(71a)  A hatásvizsgálat bármely fenntartható adatvédelmi rendszer legfontosabb alapja, amely biztosítja, hogy a vállalatok a kezdetektől fogva ismerik adatfeldolgozási műveleteik összes lehetséges következményeit. Alapos hatásvizsgálatok esetében lényegesen korlátozottabb az adatokat vagy a magánéletet sértő műveletek valószínűsége. Az adatvédelmi hatásvizsgálatoknak ezért a személyes adatok kezelésének teljes időtartamára ki kell terjedniük, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig, részletesen leírva a tervezett adatfeldolgozási műveleteket, az érintettek jogaira és szabadságaira vonatkozó kockázatokat, a kockázatok kezelésére tervezett intézkedéseket, a rendelettel való összhang igazolását szolgáló biztosítékokat, biztonsági intézkedéseket és mechanizmusokat. [Mód. 44]

(71b)  Az adatkezelőknek az adatkezelés teljes időtartama alatt a személyes adatok védelmére kell koncentrálniuk, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig, már a kezdeteknél beruházva egy egységességi mechanizmussal felügyelt fenntartható adatgazdálkodási rendszerbe. [Mód. 45]

(72)  Bizonyos körülmények között ésszerűnek és gazdaságosnak bizonyulhat az adatvédelmi hatásvizsgálat nem egyetlen projekt tekintetében történő lefolytatása, például amennyiben a hatóságok vagy állami szervek közös alkalmazást vagy adatfeldolgozási felületet kívánnak létrehozni, vagy ha több adatkezelő közös alkalmazást vagy feldolgozási környezetet kíván bevezetni valamely ipari ágazat vagy terület, illetve egy széles körben használt horizontális tevékenység tekintetében.

(73)  Az adatvédelmi hatásvizsgálatot hatóságnak vagy állami szervnek kell elvégeznie, amennyiben ilyen hatásvizsgálatra még nem került sor azon nemzeti jogszabály elfogadásával összefüggésben, amelyen a hatóság vagy állami szerv feladatainak elvégzése alapul, és amely szabályozza a szóban forgó sajátos feldolgozási műveletet vagy műveleteket. [Mód. 46]

(74)  Amennyiben egy adatvédelmi hatásvizsgálat azt jelzi, hogy az adatfeldolgozó műveletek valószínűleg magas szintű, különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, mint például kizárhatják az egyéneket a jogaik gyakorlásából vagy különleges új technológiákat alkalmaznak, a műveletek megkezdése előtt konzultálni kell az adatvédelmi tisztviselővel vagy a felügyelő hatósággal arról a kockázatos feldolgozásról, amely esetlegesen nem áll összhangban e rendelettel, és javaslatokat készíteni e helyzet orvoslására. Ezt a konzultációt egyaránt el kell végezni a A nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése során a felügyeleti hatósággal is konzultálni kell. [Mód. 47]

(74a)  A hatásvizsgálatok csak akkor lesznek eredményesek, ha az adatkezelők gondoskodnak arról, hogy teljesítsék az eredetileg azokban lefektetett ígéreteket. Az adatkezelőknek ezért időszakos adatvédelmi megfelelőségvizsgálatokat kell lefolytatniuk, amelyek igazolják, hogy az érvényes adatfeldolgozási mechanizmusok összhangban vannak az adatvédelmi hatásvizsgálatban lefektetett biztosítékokkal. Emellett azt is demonstrálniuk kell, hogy az adatkezelő képes megfelelni az érintettek önálló választásainak. Továbbá amennyiben a vizsgálat megfelelőségi ellentmondásokat talál, fel kell azokra hívnia a figyelmet, és ajánlásokat kell megfogalmaznia a teljes mértékű megfelelés elérésének módjára. [Mód. 48]

(75)  Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a magánszférában a feldolgozást nagyvállalkozás végzi feldolgozás 12 hónapon belül 5000-nél több érintettre vonatkozik, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel érzékeny adatokra vonatkozó feldolgozási művelet vagy olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Annak megállapítása során, hogy jelentős számú érintettre vonatkozóan dolgoznak-e fel adatokat, nem kell figyelembe venni azokat az archivált adatokat, amelyeket oly módon korlátoznak, hogy azokra nem vonatkozik az adatokhoz való rendes hozzáférés, amelyek nem képezik az adatkezelő által végzett adatfeldolgozási műveletek tárgyát, és amelyeket már nem lehet módosítani. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat és különleges védelemben részesülnek az elbocsátás ellen, akár az adatkezelő alkalmazásában állnak, akár nem , és függetlenül attól, hogy ezt a feladatot teljes munkaidőben végzik-e. A végső felelősség továbbra is a szervezet vezetéséé. Az adatvédelmi tisztviselővel különösen a személyes adatok automatizált feldolgozására szolgáló rendszerek megtervezését, beszerzését, fejlesztését és telepítését megelőzően kell konzultálni a beépített és az alapértelmezett adatvédelmi elvek biztosítása érdekében. [Mód. 49]

(75a)  Az adatvédelmi tisztviselőnek legalább a következő képesítésekkel kell rendelkeznie: az adatvédelmi jog lényegének és alkalmazásának – többek között a technikai és szervezeti intézkedéseknek és eljárásoknak – a mélyreható ismerete; a beépített és az alapértelmezett adatvédelemre és az adatbiztonságra vonatkozó technikai követelményekben való jártasság; ágazatspecifikus ismeretek az adatkezelő vagy -feldolgozó méretének és a feldolgozandó adatok érzékenységének megfelelően; ellenőrzések, konzultációk, dokumentálás és naplófájl-elemzés elvégzésére irányuló képesség; valamint a munkavállalói képviselettel való együttműködési képesség. Az adatkezelőnek lehetővé kell tennie az adatvédelmi tisztviselő számára, hogy továbbképzési programokban vegyen részt a feladatainak ellátásához szükséges különleges ismeretek fenntartása céljából. Az adatvédelmi tisztviselőnek történő kijelölés nem szükségszerűen követeli meg az adott alkalmazott teljes időben történő foglalkoztatását. [Mód. 50]

(76)  A szövetségeket vagy az adatkezelők kategóriáit képviselő más szerveket a munkavállaló képviselőivel folytatott konzultációt követően ösztönözni kell eljárási szabályzat létrehozására e rendelet keretein belül annak érdekében, hogy megkönnyítsék e rendelet hatékony alkalmazását, figyelembe véve a meghatározott ágazatokban végzett feldolgozás sajátos jellegzetességeit. E szabályzatok megkönnyítenék az e rendeletnek való megfelelést az ágazat számára.[Mód. 51]

(77)  Az átláthatóság és az e rendelettel való összhang elősegítése érdekében ösztönözni kell olyan tanúsítási mechanizmusok, adatvédelmi címkék és egységesített jelzők létrehozását, amelyek lehetővé teszik az érintetteknek az adott termékek és szolgáltatások adatvédelmi szintjének gyors megbízható és ellenőrizhető felmérését. Európai szinten létre kell hozni egy európai adatvédelmi címkét, melynek célja, hogy bizalmat ébresszen az érintettek körében, az adatkezelők számára jogbiztonságot teremtsen, ugyanakkor „exportálja” az európai adatvédelmi normákat azáltal, hogy lehetővé teszi a nem európai vállalkozások számára, hogy ha tanúsítással rendelkeznek, könnyebben belépjenek az európai piacokra. [Mód. 52]

(78)  A személyes adatok határokon átnyúló áramlására szükség van a nemzetközi kereskedelem és együttműködés bővüléséhez. Ezen áramlások növekedése új kihívásokat és aggodalmakat támasztott a személyes adatok védelme tekintetében. Mindazonáltal a személyes adatok Unióból valamely harmadik államba vagy nemzetközi szervezetek részére történő továbbítása esetén nem sérülhet az egyéneknek az Unióban e rendelettel biztosított védelem szintje. A harmadik országokba irányuló továbbítás csak e rendelet tagállamok általi teljes betartásával lehetséges.

(79)  E rendelet nem sérti az Unió és harmadik országok között kötött, a személyes adatok továbbításáról szóló nemzetközi megállapodásokat, – beleértve az érintetteknek szolgáltatott megfelelő a polgárok alapvető jogainak kellő szintű védelmét szavatoló biztosítékokat is – szóló nemzetközi megállapodásokat. [Mód. 53]

(80)  A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ezekben az esetekben a személyes adatok az említett országokba további engedély beszerzése nélkül is továbbíthatók. A Bizottság a harmadik országnak küldött, teljes körű indokolással ellátott értesítést követően dönthet úgy is, hogy visszavonja ezt a határozatot. [Mód. 54]

(81)  A Bizottságnak – az Uniót megalapozó alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik ország vizsgálata során figyelembe kell vennie, hogy az adott harmadik országban mennyire tisztelik a jogállamiságot, a bírói igazságszolgáltatáshoz való jogot valamint a nemzetközi emberi jogi normákat és előírásokat.

(82)  A Bizottságnak hasonlóképpen felismerheti, hogy az adott harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Bármely olyan jogszabály, amely lehetővé teszi az Unióban feldolgozott személyes adatokhoz való, területen kívüli hozzáférést az uniós vagy a tagállami jog felhatalmazása nélkül, a megfelelőség hiánya jelének tekintendő. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani. Ebben az esetben rendelkezni kell a Bizottság és ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról. [Mód. 55]

(83)  Megfelelőségi határozat hiányában az adatkezelő vagy -feldolgozó intézkedéseket hoz a védelem harmadik országban fellépő hiányosságainak ellensúlyozására, az érintett számára megfelelő biztosítékok rendelkezésre bocsátása útján. Ezek a megfelelő biztosítékok magukban foglalják a kötelező erejű vállalati szabályok, a Bizottság által elfogadott egységes adatvédelmi feltételek, a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek vagy a felügyelő hatóság által engedélyezett szerződési feltételek vagy olyan egyéb megfelelő és arányos intézkedések alkalmazását, amelyek az adattovábbítási művelet vagy az adattovábbítási műveletek csoportjának összes körülménye fényében igazolhatók, amennyiben a felügyelő hatóság engedélyezi. Ezeknek a megfelelő biztosítékoknak garantálniuk kell az érintettek jogainak az Unión belüli feldolgozásnak megfelelő tiszteletét, különösen ami a célhoz kötöttséget, illetve a hozzáféréshez, a javításhoz, a törléshez és a kártérítés igényléséhez való jogot illeti. E biztosítékoknak konkrétabban garantálniuk kell a személyesadat-feldolgozás elveinek betartását, védelmezniük kell az érintettek jogait és hatékony jogorvoslati mechanizmusokról kell rendelkezniük, biztosítaniuk kell a beépített és alapértelmezett adatvédelem elveinek tiszteletben tartását, illetve garantálniuk kell az adatvédelmi tisztviselő meglétét. [Mód. 56]

(84)  Az a lehetőség, miszerint az adatkezelő vagy -feldolgozó alkalmazhatja a Bizottság vagy a felügyelő hatóság által elfogadott egységes adatvédelmi feltételeket, nem zárja ki sem azt, hogy az adatkezelő vagy -feldolgozó szélesebb körű szerződésben alkalmazza ezen egységes adatvédelmi feltételeket, sem a további feltételek vagy kiegészítő biztosítékok hozzáadását, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyelő hatóság által elfogadott egységes szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. . A Bizottság által elfogadott általános adatvédelmi előírások különböző helyzetekre vonatkozhatnak, nevezetesen az Európai Unióban letelepedett adatkezelők által az Európai Unión kívül letelepedett adatkezelők számára, illetve az Európai Unióban letelepedett adatkezelők által az Európai Unión kívül letelepedett feldolgozók, köztük alfeldolgozók számára történő adatközlésre. Az adatkezelőket és –feldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi előírásokat kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb biztosítékokat nyújtsanak. [Mód. 57]

(85)  Az adott vállalkozáscsoport alkalmazhatja a jóváhagyott kötelező erejű vállalati szabályokat az Unióból az ugyanazon vállalkozáscsoporton belüli szervezetekhez irányuló nemzetközi adattovábbítások során, amennyiben e vállalati szabályok a személyes adatok továbbítása kategóriái megfelelő biztosítékainak biztosítására szolgáló minden lényeges alapelveket alapelvet és érvényesíthető jogokat jogot tartalmaznak. [Mód. 58]

(86)  Rendelkezni kell a továbbítás lehetőségéről bizonyos körülmények esetében, ha az érintett hozzájárulását adta, ha a továbbítás szerződés vagy jogi igény érvényesítése keretében szükséges, ha a fontos közérdek uniós vagy tagállami jogban szereplő védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánossággal vagy a jogos érdekkel rendelkező személyekkel való konzultáció. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő adatok vagy adatkategóriák összességére, és amennyiben a nyilvántartás célja a jogos érdekkel rendelkező személyekkel való konzultáció, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek, , teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait. [Mód. 59]

(87)  Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyelő hatóságok vagyközötti, társadalombiztosítási ügyekért vagy a közegészségügyért felelős hivatalok közötti, illetve a bűncselekmények megelőzésére, nyomozására, felderítésére vagy üldözésére hatáskörrel rendelkező – többek között a pénzmosás megelőzésével és a terrorizmus finanszírozása elleni küzdelemmel foglalkozó – hatóságok felé irányuló nemzetközi adattovábbítás esetében. . A személyes adatok továbbítását ezenkívül jogszerűnek kell tekinteni akkor is, ha az az érintett vagy egy másik személy életének védelme érdekében szükséges, és amennyiben az érintett nem képes hozzájárulást adni. A személyes adatok fontos közérdek alapján indokolt továbbítása csak alkalomszerűen vehető igénybe. Minden egyes esetben el kell végezni az adattovábbítás körülményeinek gondos értékelését. [Mód. 60]

(88)  Az adattovábbítás összes körülményének mérlegelése alapján a gyakorinak vagy tömegesnek nem minősülő továbbítások is az adatkezelő vagy -feldolgozó jogos érdekének tekinthetők. A történelmi, statisztikai és tudományos kutatási célú feldolgozás esetében figyelembe kell venni a társadalom tudásnövelésre irányuló jogos érdekét. [Mód. 61]

(89)  Amennyiben a Bizottság nem határozott a harmadik országbeli védelem megfelelő szintjéről, az adatkezelő vagy -feldolgozó olyan megoldásokat alkalmaz, amely adattovábbítás esetében is biztosítja amelyek jogilag kötelező érvényű garanciát nyújtanak az érintetteknek arra vonatkozóan, hogy az érintettek azok az adattovábbítást követően továbbra is hozzájussanak az Unió területén történő adatfeldolgozás tekintetében élvezett alapvető jogokhoz és biztosítékhoz , amennyiben a feldolgozás nem tömeges, nem ismétlődő jellegű és nem szervezett. Az említett garancia révén gondoskodni kell a pénzügyi kártérítésről az adatok elveszése, illetve az azokhoz való engedély nélküli hozzáférés vagy azok engedély nélküli feldolgozása esetén, továbbá – a nemzeti jogszabályoktól függetlenül – kötelezettséget kell vállalni a teljes körű tájékoztatásra az adatokhoz való, harmadik országbeli hatóságok általi valamennyi hozzáféréssel kapcsolatban. [Mód. 62].

(90)  Néhány harmadik ország olyan törvényeket, rendeleteket és más jogalkotási eszközöket alkalmaz, amelyek közvetlenül szabályozzák a tagállamok természetes vagy jogi személyei által végzett adatfeldolgozási tevékenységet. E törvények, rendeletek és más jogalkotási eszközök országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja az egyéneknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, amennyiben az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor áll fenn, ha a közlés olyan, az uniós jogban vagy azon tagállam jogában elismert fontos közérdekből szükséges, amelynek hatálya alá az adatkezelő tartozik. A Bizottságnak felhatalmazáson alapuló jogi aktusban kell részletesen meghatároznia a fontos közérdek megvalósulásának feltételeit. Azokban az esetekben, amikor az adatkezelők vagy -feldolgozók ellentmondásos megfelelési követelményekkel találják szemben magukat az Unió és egy harmadik ország jogszabályai közötti különbségek miatt, a Bizottságnak gondoskodnia kell arról, hogy az uniós jog mindig elsőbbséget élvezzen. A Bizottságnak iránymutatást és segítséget kell nyújtania az adatkezelő és ‑feldolgozó részére, és törekednie kell a kérdéses harmadik országgal fennálló jogszabályi konfliktus feloldására. [Mód. 63]

(91)  Amennyiben a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy az egyének nem képesek gyakorolni adatvédelmi jogaikat, különösen az említett adatok jogellenes felhasználása vagy nyilvánosságra hozatala elleni védelem érdekében. Ezzel egyidejűleg a felügyelő hatóságok megállapíthatják, hogy képtelenek a panaszok érvényesítésére vagy vizsgálat lefolytatására a határaikon kívül folyó tevékenységek tekintetében. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, az egymásnak ellentmondó jogi rendszerek, valamint gyakorlatban felmerülő olyan akadályok, mint a források korlátozottsága. Ezért elő kell mozdítani az adatvédelmi felügyelő hatóságok közötti szorosabb együttműködést az információcsere és a külföldi partnerekkel folytatott vizsgálatok elősegítése érdekében.

(92)  A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok létrehozása a tagállamokban alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak. A hatóságoknak feladataik teljes körű ellátásához – figyelemmel a lakosság méretére és a személyesadat-feldolgozás mennyiségére – megfelelő pénzügyi és személyzeti erőforrásokkal kell rendelkezniük. [Mód. 64]

(93)  Amennyiben valamely tagállam több felügyelő hatóságot hoz létre, jogszabályban kell rendelkeznie azokról a mechanizmusokról, amelyek biztosítják e felügyelő hatóságoknak az egységességi mechanizmusban való hatékony részvételét. Az említett tagállam kijelöli különösen azt a felügyelő hatóságot, amely az ezen hatóságok mechanizmusban való hatékony részvétele érdekében egyetlen kapcsolattartóként működik a más felügyelő hatóságokkal, az Európai Adatvédelmi Testülettel és a Bizottsággal való gyors és egyszerű együttműködés érdekében.

(94)  Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyelő hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat – hatékony ellátásához szükséges megfelelő anyagi és személyzeti erőforrásokat, helyiségeket és infrastruktúrát, különös figyelmet fordítva a személyzet megfelelő technikai és jogi készségeire. [Mód. 65]

(95)  A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és különösen biztosítani kell azt, hogy az említett tagokat a tagállam parlamentje vagy kormánya nevezze ki, kellően gondoskodva a politikai beavatkozás lehetőségének minimalizálásáról, valamint szabályozni kell a tagok szükséges képesítését és az összeférhetetlenség elkerülését és a tagok beosztását. [Mód. 95]

(96)  A felügyelő hatóságok a természetes személyeknek személyes adataik feldolgozása tekintetében biztosítandó védelem, valamint a személyes adatok belső piacon belüli szabad áramlásának biztosítása érdekében ellenőrzik az e rendelet értelmében elfogadott rendelkezések alkalmazását, és hozzájárulnak azoknak az Unió egész területén történő következetes alkalmazásához. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(97)  Amennyiben az adatkezelő vagy -feldolgozó uniós szervezetének tevékenységével összefüggésben végzett adatfeldolgozásra egynél több tagállamban kerül sor, egyetlen felügyelő hatóság lesz illetékes az adatkezelő vagy -feldolgozó biztosítja az egyablakos ügyintézést és jár el az adatkezelők vagy -feldolgozók felügyeletéért felelős fő hatóságként az egész Unió területén belüli tevékenységeinek nyomon követésére és és hozza meg a kapcsolódó határozatok meghozatalára határozatokat a következetes alkalmazás elősegítése, a jogbiztonság biztosítása, és az ilyen adatkezelőkre és -feldolgozókra háruló adminisztratív terhek csökkentése érdekében. [Mód. 67]

(98)  Az ilyen egyablakos ügyintézést biztosító illetékes hatóság annak a tagállamnak a felügyelő hatósága, ahol az adatkezelő vagy -feldolgozó fő szervezete vagy képviselője található. Bizonyos esetekben az illetékes hatóság kérésére az Európai Adatvédelmi Testület nevezheti ki a fő hatóságot az egységességi mechanizmus segítségével. [Mód. 68]

(98a)  Lehetővé kell tenni, hogy azok az érintettek, akiknek a személyes adatait egy másik tagállamban letelepedett adatkezelő vagy -feldolgozó dolgozza fel, panaszaikkal a választásuk szerinti felügyelő hatósághoz fordulhassanak. A fő adatvédelmi hatóságnak össze kell hangolnia munkáját a többi érintett hatóság munkájával. [Mód. 69]

(99)  Bár e rendelet a tagállami bíróságok tevékenységére is alkalmazandó, a felügyelő hatóságok hatásköre nem terjed ki a személyes adatok feldolgozására, ha a bíróságok igazságszolgáltatási feladatkörükben járnak el, ezzel biztosítva a bírák függetlenségét igazságszolgáltatási feladataik ellátása folyamán. E kivétel azonban szigorúan csak a bírósági ügyekben ellátott valódi igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyekbe a bírákat a nemzeti jognak megfelelően bevonhatják.

(100)  E rendelet Unió-szerte következetes ellenőrzésének és érvényesítésének biztosítása érdekében a felügyelő hatóságokat minden tagállamban ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a jogi kötőerővel bíró beavatkozást, határozatokat és szankciókat, különösen az egyéni panaszok esetén, valamint a bírósági eljárásokban való részvétel jogát is. A felügyelő hatóságoknak a helyiségekbe való belépéssel kapcsolatos vizsgálati hatáskörét az uniós joggal és a nemzeti joggal összhangban kell gyakorolni. Ez különösen az előzetes bírósági engedély beszerzésének követelményére vonatkozik.

(101)  Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett vagy a közérdekből eljáró egyesületek panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet vagy az egyesületet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani. [Mód. 70]

(102)  A felügyelő hatóságok nyilvánosságnak szánt figyelemfelkeltő tevékenységei magukban foglalják az adatkezelőknek és -feldolgozóknak – beleértve a mikro-, kis- és középvállalkozásokat –, valamint az érintetteknek címzett konkrét intézkedéseket.

(103)  A felügyelő hatóságoknak feladataik ellátása során együtt kell működniük, és kölcsönösen támogatniuk kell egymást annak érdekében, hogy biztosítsák e rendelet következetes alkalmazását és érvényesítését a belső piacon.

(104)  Mindegyik felügyelő hatóság jogosult részt venni a felügyelő hatóságok közös műveleteiben. A megkeresett felügyelő hatóság köteles a megkeresésre meghatározott időn belül választ adni.

(105)  E rendelet Unió-szerte következetes alkalmazásának biztosítása érdekében létre kell hozni a felügyelő hatóságok egymás közötti és a Bizottsággal való együttműködését szolgáló egységességi mechanizmust. Ezt a mechanizmust különösen akkor kell alkalmazni, amikor valamely felügyelő hatóság olyan feldolgozási műveletekkel kapcsolatban kíván intézkedést hozni, amelyek termékek vagy szolgáltatások különböző tagállamokbeli érintettek számára történő nyújtásához, vagy az ilyen érintettek nyomon követéséhez kapcsolódnak, vagy amelyek lényegesen érinthetik a személyes adatok szabad áramlását. A mechanizmus abban az esetben is alkalmazandó, ha a felügyelő hatóság vagy a Bizottság kéri az ügy egységességi eljárásban való kezelését. Ezenfelül az érintetteknek jogosultak kell lenniük arra, hogy számon kérjék a következetességet, amennyiben úgy ítélik meg, hogy egy tagállam adatvédelmi hatósága által hozott intézkedés nem felel meg ennek a kritériumnak. E mechanizmust a Bizottság azon intézkedéseinek sérelme nélkül lehet alkalmazni, amelyeket a Szerződések szerinti hatásköreinek gyakorlása során tesz. [Mód. 71]

(106)  Az egységességi eljárás alkalmazása keretében az Európai Adatvédelmi Testület tagjainak egyszerű többséggel hozott döntése alapján, vagy bármely felügyelő hatóság vagy a Bizottság kérésére meghatározott időn belül véleményt bocsát ki.

(106a)  E rendelet következetes alkalmazásának biztosítása érdekében az Európai Adatvédelmi Testület egyes konkrét esetekben az illetékes felügyelő hatóságokra nézve kötelező határozatot fogadhat el. [Mód. 72]

(107)  Az e rendelettel való összhang biztosítása érdekében a Bizottság véleményt fogadhat el e tárggyal kapcsolatban, vagy határozatot hozhat, amelyben felkéri a felügyelő hatóságot a tervezett intézkedés felfüggesztésére. [Mód. 73]

(108)  Az érintettek érdekeinek védelme céljából sürgős intézkedésre is szükség lehet, különösen abban az esetben, amikor a veszély abban áll, hogy jelentősen akadályozzák az érintettet jogainak gyakorlásában. Következésképpen az egységességi mechanizmus alkalmazása során a felügyelő hatóságnak képesnek kell lennie meghatározott érvényességi idejű ideiglenes intézkedések elfogadására.

(109)  E mechanizmus alkalmazása a szóban forgó határozat jogi érvényességének és a felügyelő hatóság általi végrehajtásának feltétele. Más, határon átnyúló ügyekben az érintett felügyelő hatóságok az egységességi mechanizmus aktiválása nélkül, két- vagy többoldalú kölcsönös segítséget nyújthatnak és közös vizsgálatot folytathatnak.

(110)  Uniós szinten létre kell hozni az Európai Adatvédelmi Testületet. A Testület felváltja a 95/46/EK irányelvvel létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportot. A Testület a tagállamok felügyelő hatóságainak vezetőiből és az európai adatvédelmi biztosból áll. A Bizottság részt vesz a Testület tevékenységében. Az Európai Adatvédelmi Testület az Unió egész területén hozzájárul e rendelet következetes alkalmazásához, ideértve a Bizottság az uniós intézmények részére történő tanácsadást és a felügyelő hatóságok közötti, Unión belüli együttműködés előmozdítását, többek között a közös műveletek koordinálását is. Az Európai Adatvédelmi Testület feladatai ellátása során függetlenül jár el. Az Európai Adatvédelmi Testület fokozza a párbeszédet az érintett felekkel, például az érintettek egyesületeivel, a fogyasztói szervezetekkel, az adatkezelőkkel és más érintett érdekelt felekkel és szakértőkkel. [Mód. 74]

(111)  Minden érintettnek joga Az érintetteknek joguk van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joga joguk van a az Alapjogi Charta 47. cikkének megfelelő hatékony bírósági jogorvoslathoz, ha álláspontja álláspontjuk szerint sérültek az e rendelet szerinti jogaijogaik, illetve ha a felügyelő hatóság a panaszra nem válaszol vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg. [Mód. 75]

(112)  Az érintetteknek az adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott, a A tagállami jognak megfelelően létrehozott valamennyi, közérdekű feladatot ellátó szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében és azok beleegyezésével panaszt emelni a felügyelő hatósággal hatóságnál szemben vagy bírósági jogorvoslatot igénybe venni, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint személyes adatokat sértettek meg.sérültek e rendelet rendelkezései. [Mód. 76]

(113)  Valamennyi természetes vagy jogi személyt megilleti a jog, hogy a felügyelő hatóság rá vonatkozó határozata ellen bírósági úton keressen jogorvoslatot. A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt lehet megindítani.

(114)  Az érintett bírósági jogvédelmét erősítendő azokban az esetekben, amelyekben az illetékes felügyelő hatóság székhelye nem az érintett lakóhelye szerinti tagállamban van, az érintett az érintettek adataik védelmével kapcsolatos jogainak és érdekeinek védelmével foglalkozó a közérdekből eljáró bármely szervet, szervezetet szervtől, szervezettől vagy egyesülettől kérheti egyesületet megbízhatja, hogy az érintett nevében indítson eljárást a felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. [Mód. 77]

(115)  Azokban az esetekben, amelyekben a valamely másik tagállamban székhellyel rendelkező illetékes felügyelő hatóság nem jár el, vagy nem megfelelő intézkedéseket tett valamely panasz nyomán, az érintett a szokásos tartózkodási helye szerinti tagállam felügyelő hatóságától kérheti, hogy indítson eljárást e felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. Ez kizárólag az uniós lakosokra vonatkozik. A kérelmet elbíráló felügyelő hatóság – bírósági felülvizsgálat tárgyát képező – határozatban dönthet arról, hogy helyt adhat-e a kérelemnek, vagy sem. [Mód. 78]

(116)  Az adatkezelő vagy -feldolgozó elleni eljárást illetően a felperes választhat, hogy az eljárást annak a tagállamnak a bírósága előtt indítja meg, ahol az adatkezelő vagy -feldolgozó telephellyel rendelkezik, vagy uniós tartózkodás esetén az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő közhatalmi jogosítványait gyakorolva eljáró uniós vagy tagállami hatóság. [Mód. 79]

(117)  Amennyiben a jelek arra utalnak, hogy eltérő tagállami bíróságok előtt párhuzamosan folynak eljárások, a bíróságok kötelesek egymással felvenni a kapcsolatot. A bíróságnak lehetőséget kell teremteni arra, hogy egy másik tagállamban folyamatban lévő ügy esetén az eljárást felfüggeszthesse. A tagállamoknak a hatékonyság érdekében biztosítaniuk kell, hogy a bírósági keresetek lehetővé tegyék az e rendelet megsértését orvosló vagy megelőző intézkedések gyors elfogadását.

(118)  A jogellenes adatfeldolgozás miatt esetlegesen akár anyagi, akár más természetű kárt szenvedett személy kártérítését az adatkezelőnek vagy -feldolgozónak kell állnia, aki/amely kizárólag akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén. [Mód. 80]

(119)  Szankciót kell kiróni minden olyan személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki/amely nem tesz eleget e rendeletnek. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében. A szankciókra vonatkozó szabályokkal kapcsolatban az uniós jog általános szabályaival és az Alapjogi Chartával összhangban álló, megfelelő eljárási biztosítékokat kell bevezetni, például biztosítani kell a hatékony bírósági jogorvoslathoz és a joszerű eljáráshoz való jogot, valamint a többszöri eljárás tilalma elvének betartását. [Mód. 81]

(119a)A szankciók alkalmazása során a tagállamoknak teljes mértékben tiszteletben kell tartaniuk a megfelelő eljárási biztosítékokat, például a hatékony bírósági jogorvoslathoz és a jogszerű eljáráshoz való jogot, valamint a többszöri eljárás tilalma elvének betartását. [Mód. 82]

(120)  Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyelő hatóság szankcionálhatja a közigazgatási szabálysértéseket. E rendelet meghatározza e szabálysértéseket, valamint a kapcsolódó közigazgatási bírság felső határát, amelyet minden egyes esetben a konkrét helyzettel arányosan kell meghatározni, kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára. Az egységességi mechanizmus a közigazgatási szankciók alkalmazásában mutatkozó eltérések kezelésére is felhasználható.

(121)  Az újságírás, az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás kivételnek számít Szükség esetén mentességeket vagy eltéréseket kell biztosítani az e rendelet meghatározott rendelkezéseiben szereplő követelmények alól a személyesadat-feldolgozás tekintetében vonatkozásában, annak érdekében, hogy a személyes adatok védelmét összhangba hozzák a véleménynyilvánítás szabadságával, különösen az információk megismerésének és közlésének jogával, amelyet elsősorban az Európai Unió Alapjogi Chartájának 11. cikke biztosít. Ez alkalmazandó különösen a személyes adatok audiovizuális területen, valamint a hírarchívumokban és sajtókönyvtárakban történő feldolgozására. Következésképpen a tagállamoknak jogalkotási intézkedések elfogadásával kell meghatározni az ezen alapvető jogok közötti egyensúly érdekében szükséges kivételeket és eltéréseket. E kivételeket és eltéréseket a tagállamok az általános elvek, az érintett jogai, az adatkezelő és -feldolgozó, a harmadik országokba vagy nemzetközi szervezetekhez irányuló adattovábbítás, a független felügyelő hatóságok és az együttműködés és a következetesség, illetve az egyedi adatfeldolgozási helyzetek tekintetében állapítják meg. Ez azonban nem vezethet az e rendelet más rendelkezései alóli kivételek tagállamok általi meghatározásához. Annak érdekében, hogy figyelembe vegyék a véleménynyilvánítás szabadságához való jog jelentőségét minden demokratikus társadalomban, az e szabadsághoz tartozó olyan fogalmakat, mint az újságírás, kiterjesztően kell értelmezni, annak érdekében, hogy magában foglalják az olyan. Ezért a tagállamoknak az e rendelet szerint szabályozandó kivételek és eltérések alkalmazásában „újságírással kapcsolatosnak” kell minősíteniük azokat a tevékenységeket amelyek célja , amely célja a nyilvánosság számára információk, vélemények vagy gondolatok közlése, függetlenül attól a médiumtól, amelyet a közvetítésre felhasználnak,figyelembe véve a technológiai fejlõdést is. E tevékenységek nem korlátozódhatnak a média-vállalkozásokra, és azok nyereség elérése érdekében vagy nonprofit célból is végezhetők. [Mód. 83]

(122)  A szigorúbb védelmet igénylő különös adatkategóriának minősülő egészségügyi vonatkozású személyes adatok feldolgozását gyakran indokolhatja egy sor, az egyének és a társadalom egészének hasznára vonatkozó jogszerű ok, különösen a határokon átnyúló egészségügyi ellátások folytonosságának biztosításával összefüggésben. Következésképpen e rendelet meghatározza az egészségügyi vonatkozású személyes adatok feldolgozásának harmonizált feltételeit, amelyekre az egyének alapvető jogait és személyes adatait védelemben részesítő különös és megfelelő biztosítékok vonatkoznak. Ez magában foglalja az egyének jogát az egészségükre vonatkozó személyes adataikhoz, például a diagnózist, a vizsgálati eredményeket, a kezelőorvos vizsgálatait és a kezeléseket és beavatkozásokat tartalmazó kórlaphoz való hozzáféréshez.

(122a)   Az egészségre vonatkozó személyes adatokat kezelõ szakembernek lehetõleg anonimizált vagy álnevesített adatokat kell kapnia, hogy a beteg személyazonosságát csak a beteg kezelõorvosa vagy a szóban forgó adatfeldolgozást kérõ szakorvos ismerje. [Mód. 84]

(123)  A népegészség terén az érintett hozzájárulása nélkül is szükséges lehet az egészségügyi vonatkozású személyes adatok közérdekből történő feldolgozása. Ebben az összefüggésben a „népegészség” fogalmát a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról szóló, 2008. december 16-i 1338/2008/EK európai parlamenti és tanácsi rendeletben(9) meghatározottak szerint úgy kell értelmezni, hogy az valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot, beleértve a morbiditást és a fogyatékosságot, az egészségi állapotot befolyásoló tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra kiosztott források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi személyes adatok ilyen közérdekű feldolgozása nem eredményezheti azt, hogy a személyes adatokat más célokból harmadik személyek, így munkáltatók, biztosítók és bankok dolgozzák fel. [Mód. 85]

(123a)   A különleges adatkategóriának minõsülõ egészségügyi vonatkozású személyes adatok feldolgozása történelmi, statisztikai vagy tudományos kutatás céljából lehet szükséges. E rendelet ennélfogva kivételt biztosít a hozzájárulási követelmény alól a jelentõs közérdeket szolgáló kutatások esetében. [Mód. 86]

(124)  A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással és a szociális biztonsággal összefüggésben is alkalmazni kell. és a szociális biztonsággal . Következésképpen A tagállamok az e rendeletben megállapított szabályokkal és minimumkövetelményekkel összhangban szabályozhatják a munkavállalók személyes adatainak a munkaviszonnyal összefüggő feldolgozásának szabályozása érdekében a tagállamok e rendelet keretein belül jogszabályban különös szabályokat fogadhatnak el a személyes adatoknak a foglalkoztatási ágazatban való feldolgozására.foglalkoztatással és a szociális biztonsággal kapcsolatban történõ feldolgozását. Amennyiben valamely tagállamban a foglalkoztatási viszony kérdéseinek szabályozására a munkavállalók képviselõi és a vállalkozásnak vagy a vállalkozáscsoport fõ vállalkozásának vezetõi közötti megállapodás (kollektív szerzõdés) révén vagy a 2009/38/EK európai parlamenti és tanácsi irányelv(10) szerint törvényes jogalap létezik, a személyes adatok foglalkoztatással összefüggõ feldolgozásának is szabályozhatónak kell lennie ilyen megállapodás keretében. [Mód. 87]

(125)  A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása akkor jogszerű, ha tiszteletben tartja az egyéb, például a klinikai vizsgálatokat szabályozó vonatkozó jogszabályokat is.

(125a)  A személyes adatokat következésképpen feldolgozhatják az olyan levéltári szolgálatok is, amelyek fõ feladata vagy törvényi kötelezettsége, hogy közérdekbõl összegyûjtsék, megõrizzék, osztályozzák, közöljék, kiaknázzák és terjesszék az archívumokat. A tagállamoknak össze kell hangolniuk a személyes adatok védelméhez való jogot a levéltári szabályokkal és az állampolgárok adminisztratív adatokhoz való nyilvános hozzáférésére vonatkozó szabályokkal. A tagállamoknak elõ kell mozdítaniuk, hogy elsõsorban az európai levéltári munkacsoport olyan szabályokat dolgozzon ki, amelyek biztosítják az adatok harmadik személyekkel szembeni bizalmas jellegét, illetve az adatok valódiságát, integritását és megfelelõ megõrzését. [Mód. 88]

(126)  E rendelet alkalmazásában a tudományos kutatás magában foglalja az alapkutatást, az alkalmazott kutatást, valamint a magánfinanszírozású kutatást, emellett figyelembe kell vennie az Európai Unió működéséről szóló szerződés 179. cikke (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést. A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása nem eredményezheti a személyes adatok más célból való feldolgozását, kivéve ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján. [Mód. 89]

(127)  A felügyelő hatóságok azon jogköre tekintetében, hogy az adatkezelőtől vagy -feldolgozótól hozzáférést kérjenek a személyes adatokhoz és azok helyiségeihez, a tagállamok e rendelet keretein belül jogszabályban hozhatnak különös rendelkezéseket a szakmai vagy más, azzal egyenértékű titoktartási kötelezettségek biztosítása érdekében, amennyiben a személyes adatok védelmére vonatkozó jogot összhangba kell hozni a szakmai titoktartásra vonatkozó kötelezettséggel.

(128)  E rendelet az Európai Unió működéséről szóló szerződés 17. cikke értelmében tiszteletben tartja és nem sérti az egyházak és vallási szervezetek vagy közösségek nemzeti jog szerinti jogállását a tagállamokban. Ennek következtében, amennyiben valamely tagállamban egy egyház a rendelet hatálybalépésének időpontjában átfogó megfelelõ szabályokat alkalmaz a személyek adatfeldolgozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazandók, amennyiben azokat összhangba hozzák e rendelettel. Az ilyen egyházak és vallási szervezetek kötelesek gondoskodni egy teljesen független felügyelő hatóság létrehozásáról.és a rendeletnek megfelelõnek ismerik el. [Mód. 90]

(129)  E rendelet célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen a tájékoztatás ikonalapú módjára vonatkozó feltételek gyermek hozzájárulásával kapcsolatos szempontok és feltételek meghatározása; az adatok különös kategóriáinak feldolgozása; az egyértelműen túlzó kérelmek feltételeinek megállapítása és az érintett jogainak gyakorlására vonatkozó díjak; az érintett tájékoztatására és a hozzáférési jogra vonatkozó szempontok és követelmények; a személyes adatok tárolásának megszüntetésére és a törlésre vonatkozó jog; a profilalkotáson alapuló intézkedések; az adatkezelő feladataira vonatkozó szempontok és követelmények és a beépített és alapértelmezett adatvédelem; az adatfeldolgozó; a dokumentációra és a feldolgozás biztonságára vonatkozó szempontok és követelmények; a személyes adatok megsértésének megállapítására és a felügyelő hatóság részére történő bejelentésre vonatkozó szempontok és követelmények és azok a körülmények, amelyek fennállása esetén a személyes adatok védelmének megsértése várhatóan hátrányosan érinti az érintettet; az adatvédelmi hatásvizsgálatot igénylő feldolgozási műveletek szempontjai és követelményei; az előzetes konzultációt igénylő magas szintű különös kockázatok meghatározásának szempontjai és követelményei; az adatvédelmi tisztviselő kinevezése és feladatai; az eljárási szabályzatok e rendeletnek való megfelelésének elismerése; a tanúsítási mechanizmusok szempontjai és követelményei; a valamely harmadik ország vagy nemzetközi szervezet által biztosított védelem megfelelő szintje a kötelező erejű vállalati szabályok útján való továbbítás szempontjai és követelményei; a továbbítás eltérései; a közigazgatási szankciók; az egészségügyi célú feldolgozás; a foglalkoztatással összefüggő feldolgozás, valamint a történelmi, statisztikai és tudományos kutatási célú feldolgozás tekintetében. Kiemelten fontos, hogy a Bizottság az előkészítő munka folyamán megfelelő egyeztetéseket folytasson, többek között -különösen az Európai Adatvédelmi Testülettel -szakértői szinten is. A felhatalmazáson alapuló jogi aktusok előkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történő egyidejű, időben és megfelelő módon történő eljuttatásáról. [Mód. 91]

(130)  E rendelet egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni a gyermekek személyes adatainak feldolgozására vonatkozó egységes űrlapok; az érintettek jogainak gyakorlására ellenõrizhetõ hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében egységes eljárások és űrlapok; az érintettekkel a jogaik gyakorlásáról szóló kommunikációra érintett tájékoztatására vonatkozó egységes formanyomtatványok és eljárások; a hozzáférési jogra és az adathordozási jogra vonatkozó egységes formanyomtatványok , beleértve a személyes adatok érintettel való közlését; az adatkezelõ és az adatfeldolgozó által megõrizendõ dokumentációra és eljárások; az adatkezelőnek a beépített és alapértelmezett adatvédelem és a dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok; az adatfeldolgozás biztonságára vonatkozó sajátos előírások; a személyes adatok megsértésének megsértése felügyelő hatóság részére történő bejelentésének és a személyes adatok megsértésének érintettel való közlésére vonatkozó és a személyes adatok megsértése dokumentálásának egységes formátumok és eljárások; az adatvédelmi hatásvizsgálat szabványai és eljárásai; az előzetes engedélyezésre és előzetes konzultációra szolgáló formanyomtatványa és eljárások; a tanúsítás technikai szabványai és mechanizmusai; a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlések; a kölcsönös segítségnyújtás; a közös műveletek; az egységességi mechanizmus keretében hozott határozatok tekintetében.a felügyelõ hatóság elõzetes konzultációjának és tájékoztatásának formanyomtatványai tekintetében. Az említett hatásköröket a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i 182/2011/EU európai parlamenti és tanácsi rendeletnek(11) megfelelően kell gyakorolni. Ezzel összefüggésben a Bizottságnak sajátos intézkedések alkalmazását kell mérlegelnie mérlegeli a mikro-, kis- és középvállalkozások tekintetében. [Mód. 92]

(131)  Vizsgálóbizottsági eljárást kell alkalmazni az egységes formanyomtatványok elfogadására: a gyermekek személyes adatainak feldolgozására ellenõrizhetõ hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében egységes ûrlapok; az érintettekkel a jogaik gyakorlásáról szóló kommunikációra hozzájárulására vonatkozó egységes formanyomtatványok; az érintettek jogainak gyakorlására vonatkozó különös egységes eljárások és formanyomtatványok, az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra vonatkozó egységes formanyomtatványok és eljárások beleértve a személyes adatok érintettel való közlését; az adathordozhatóság joga; az adatkezelő beépített és az adatfeldolgozó által megõrizendõ dokumentációra alapértelmezett adatvédelem és dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok és eljárások; az adatfeldolgozás biztonságára vonatkozó különös követelmények; a személyes adatok megsértésének megsértése felügyelő hatóság részére történő bejelentésének és a személyes adatok megsértése dokumentálásának egységes formanyomtatványa és eljárásai és a személyes adatok megsértésének érintettel való közlése; az adatvédelmi hatásvizsgálat követelményei és eljárásai; az a felügyelõ hatóság előzetes engedélyezés és előzetes konzultáció konzultációjának és tájékoztatásának formanyomtatványai és eljárásai; a tanúsítás műszaki követelményei és mechanizmusai; a harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlés; a kölcsönös segítségnyújtás; a közös műveletek és az egységességi eljárás szerinti határozatok elfogadására tekintetében, feltéve hogy az említett jogi aktusok általános hatállyal bírnak. [Mód. 93]

(132)  A Bizottságnak azonnal alkalmazandó végrehajtási aktusokat kell elfogadnia az olyan kellően indokolt esetekben, amennyiben valamely harmadik ország, vagy annak régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít megfelelő védelmi szintet, továbbá a felügyelő hatóság által az egységességi mechanizmus keretében közölt tények esetében a rendkívüli sürgősség ezt megköveteli. [Mód. 94]

(133)  Mivel e rendelet célkitűzéseit, vagyis az egyének megfelelő szintű védelmét, valamint az adatok Unión belüli szabad áramlását a tagállamok nem tudják kielégítően megvalósítani, és ezért azok – a fellépés léptéke vagy hatásai miatt – uniós szinten jobban megvalósíthatók, az Unió intézkedéseket fogadhat el az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően e rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

(134)  E rendelet hatályon kívül helyezi a 95/46/EK irányelvet. Mindazonáltal a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyelő hatóságok által kiadott engedélyek továbbra is hatályban maradnak. A személyes adatok harmadik országoknak való továbbításával kapcsolatban a Bizottság által hozott határozatoknak és a felügyelõ hatóságok által kiadott engedélyeknek a 41. cikk (8) bekezdése értelmében az e rendelet életbe lépése után ötéves átmeneti idõszakra továbbra is hatályban kell maradniuk, kivéve, ha ezen idõszak vége elõtt a Bizottság módosítja, felváltja vagy hatályon kívül helyezi a rendeletet. [Mód. 95]

(135)  E rendeletet kell alkalmazni a személyes adatok feldolgozása vonatkozásában az alapvető jogok és szabadságok védelmét érintő minden olyan esetben, amelyre nem vonatkoznak a 2002/58/EK európai parlamenti és tanácsi irányelv(12) céljával azonos célú sajátos kötelezettségek, ideértve az adatkezelő kötelezettségeit és az egyének jogait. Az e rendelet és a 2002/58/EK irányelv közötti kapcsolat egyértelművé tétele érdekében ez utóbbi irányelvet ennek megfelelően módosítani kell.

(136)  Izland és Norvégia tekintetében e rendelet az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás(13) értelmében vett schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(137)  Svájc tekintetében e rendelet az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás(14) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(138)  Liechtenstein tekintetében e rendelet az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség között a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról aláírt jegyzőkönyv(15) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(139)  Figyelemmel arra, hogy – amint az Európai Unió Bírósága hangsúlyozta – a személyes adatok védelme nem abszolút jog, hanem azt a társadalomban betöltött szerepe alapján kell vizsgálni, és az arányosság elvével összhangban egyensúlyba kell hozni más alapvető jogokkal, e rendelet tiszteletben tart minden alapvető jogot és betartja az Európai Unió Alapjogi Chartája által elismert, a Szerződésekben rögzített elveket, nevezetesen a magán- és a családi élet, valamint az otthon és a kapcsolattartás tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a gondolat-, lelkiismeret- és vallásszabadsághoz való jogot, a véleménynyilvánításhoz és a tájékoztatáshoz való jogot, a vállalkozás szabadságát, a kulturális, vallási és nyelvi sokféleséget és a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot, továbbá a kulturális, vallási és nyelvi sokféleséget.

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és célkitűzések

(1)  Ez a rendelet a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályokat állapítja meg.

(2)  E rendelet védi a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogot.

(3)  A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a személyes adatok feldolgozása vonatkozásában az egyének védelmével összefüggő okokból.

2. cikk

Tárgyi hatály

(1)  E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő feldolgozására, függetlenül feldolgozási módtól, valamint azoknak a személyes adatoknak a nem automatizált módon történő feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)  E rendelet nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

a)  az uniós jog hatályán kívül eső, így különösen a nemzetbiztonságot érintő tevékenységek során végzett adatfeldolgozás;

b)  az Unió intézményei, szervei, hivatalai és ügynökségei által végzett adatfeldolgozás;

c)  a tagállamok által az Európai Unióról szóló szerződés V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett adatfeldolgozás;

d)  a természetes személy által haszonszerzési cél nélkül kizárólag saját személyes célra vagy háztartási tevékenysége keretében végzett adatfeldolgozás; Ez a kivétel a személyes adatok olyan esetben való közlésére is vonatkozik, amikor ésszerûen elvárható, hogy csak korlátozott számú személyek férnek hozzá;

e)  az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett adatfeldolgozás.

(3)  E rendelet nem sérti a 2000/31/EK irányelv alkalmazását, különösen az irányelv 12–15. cikkébe foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat. [Mód. 96]

3. cikk

Területi hatály

(1)  E rendeletet kell alkalmazni az Unióban letelepedett adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben végzett személyesadat-feldolgozásra attól függetlenül, hogy az adatfeldolgozás az Unióban vagy azon kívül történik. .

(2)  E rendeletet kell alkalmazni a nem az Unióban letelepedett adatkezelő vagy –feldolgozó által végzett, az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozására az Unióban, ha a feldolgozási tevékenységek

a)  termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához kapcsolódnak függetlenül attól, hogy az érintettnek fizetnie kell-e azokért;; vagy

b)  viselkedésük az ilyen érintettek nyomon követéséhez kapcsolódnak.

(3)  E rendeletet kell alkalmazni a nem az Unióban, hanem olyan helyen letelepedett adatkezelő által végzett személyesadat-feldolgozásra, ahol a nemzetközi közjog értelmében valamely tagállam nemzeti joga alkalmazandó. [Mód. 97]

4. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

(1)  „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy;

(2)  „személyes adat”: az érintettre azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító, például a név, egy azonosító szám, helymeghatározó adat, egyedi azonosító vagy az adott személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi vagy nemi identitására vonatkozó egy vagy több tényezõre történõ utalás révén;

2a.  „álneves adat”: olyan személyes adat, amelynek esetében további információk felhasználása nélkül nem állapítható meg, hogy az adat mely konkrét érintettre vonatkozik, amennyiben e további információk külön vannak tárolva, és az érintett kilétének megállapítását megakadályozandó gondoskodtak bizonyos technikai és szervezeti lépésekrõl;

2b.  „kódolt adat”: olyan személyes adat, amelyet technológiai védelmi intézkedések révén értelmezhetetlenné tettek a hozzáférési joggal nem rendelkezõ valamennyi személy számára;

(3)  „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

3a.   „profilalkotás”: a személyes adatok automatizált feldolgozásának bármely olyan formája, amelynek célja valamely természetes személyhez kapcsolódó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy elõrejelzése;

(4)  „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;

(5)  „adatkezelő”: az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; ha a célokat, feltételeket és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki;

(6)  „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

(7)  „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják;

(7a)  „harmadik fél”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelõvel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelõ vagy -feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására;

(8)  „az érintett hozzájárulása”: az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok feldolgozásához;

(9)  „személyes adatok megsértése”: a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, megsemmisítése, elvesztése, módosítása, jogosulatlan felfedését felfedése vagy az azokhoz való jogosulatlan hozzáférést eredményezi hozzáférés;

(10)  „genetikai adat”: az egyén genetikai jellemzőire vonatkozó bármely valamennyi olyan személyes adat, amelyet a születés előtti korai fejlődés során örökölt vagy szerzett és amely az érintett személytõl vett biológiai minta elemzésének – különösen kromoszómaelemzés, a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, illetve az ezekbõl nyerhetõ információkkal megegyezõ információk megszerzését lehetõvé tevõ bármilyen más elem vizsgálatának – eredménye;

(11)  „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzőjére vonatkozó adat, amely lehetővé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

(12)  „egészségügyi adat”: minden olyan adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik;

(13)  „fő szervezet”: az akár adatkezelő vonatkozásában a letelepedés azon helye akár feldolgozó vállalat vagy vállatok csoportjának székhelye az Unióban, ahol a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket meghozzák; amennyiben a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket nem az Unióban hozzák meg, a fő szervezet az a hely, ahol az Unióban létrehozott adatkezelő tevékenységeivel összefüggésben a fő feldolgozási tevékenységeket végzik. A feldolgozó vonatkozásában a „fő szervezet” a központi ügyvezetés helye az Unióban; Többek között az alábbi objektív kritériumok kerülhetnek megfontolásra: az adatkezelõ vagy -feldolgozó székhelyének helye; azon szervezet egy vállalatcsoporton belüli helye, amely a vállalatirányítási funkciók és adminisztratív feladatok ellátása szempontjából a legjobb helyzetben van ahhoz, hogy az e rendeletben meghatározott szabályokkal foglalkozzon és azokat érvényesítse; az a hely, ahol az adatfeldolgozást meghatározó tényleges és valós irányítási tevékenységet tartós jelleggel végzik;

(14)  „képviselő”: az az Unióban letelepedett természetes vagy jogi személy, aki, illetve amely az adatkezelő kifejezett szándékának megfelelően tevékenykedik, és akit, illetve amelyet az adatkezelõt képviseli az adatkezelőre e rendelet értelmében háruló kötelezettségek vonatkozásában a felügyelő hatóság vagy az Unió más szerve az adatkezelő helyett megkeres;

(15)  „vállalkozás”: gazdasági tevékenységet folytató jogalany, függetlenül a jogi formájától, ideértve különösen a rendszeres gazdasági tevékenységet folytató természetes és jogi személyeket, partnerségeket és egyesületeket;

(16)  „vállalkozáscsoport”: az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások;

(17)  „kötelező erejű vállalati szabályok”: az Unió valamelyik tagállamában letelepedett adatkezelő vagy feldolgozó által kidolgozott személyesadat-védelmi politikák a személyes adatok adatkezelő vagy feldolgozó részére, vállalkozáscsoporton belüli, egy vagy több harmadik államba történő továbbítása vagy továbbítássorozata tekintetében;

(18)  „gyermek”: bármely 18 évesnél fiatalabb személy;

(19)  „felügyelő hatóság”: a tagállam által a 46. cikk értelmében létrehozott hatóság. [Mód. 98]

II. FEJEZET

ALAPELVEK

5. cikk

A személyes adatok feldolgozására vonatkozó alapelvek

A személyes adatok:

a)  feldolgozását jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (jogszerûség, tisztesség és átláthatóság);

b)  gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal ellentétesen (célhoz kötöttség);;

c)  megfelelőek, relevánsak, és nem haladják meg a feldolgozás céljához szükséges legkisebb mértéket, és csak akkor és addig dolgozhatók fel, amikor és ameddig e célok nem érhetők el olyan információ feldolgozásával, amely nem vonatkozik személyes adatokra (adatminimalizálás);

d)  pontosak és amennyiben szükséges naprakész állapotban kell azokat tartani; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, tekintettel feldolgozásuk céljaira, haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság);

e)  tárolásának olyan formában kell történnie, amely az érintettek közvetlen vagy közvetett azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok további tárolására csak annyiban kerülhet sor, amennyiben az adatokat kizárólag történelmi, statisztikai vagy tudományos kutatási, illetve archiválási célból, a 83. és a 83acikk szerinti szabályokkal és feltételekkel összhangban dolgozzák fel, és amennyiben időszakos felülvizsgálatot végeznek a tárolás további szükségességének vizsgálata érdekében valamint ha megfelelõ mûszaki és szervezeti intézkedéseket tettek annak érdekében, hogy az adatokhoz való hozzáférés csak e célokból legyen lehetséges (tárolásminimalizálás);

(ea)  feldolgozása olyan módon történik, ami ténylegesen lehetõvé teszi az érintett számára, hogy gyakorolja jogait (hatékonyság);

(eb)  feldolgozása olyan módon történik, ami védelmet biztosít megfelelõ technikai vagy szervezeti intézkedések révén az engedély nélküli vagy jogellenes feldolgozás, valamint a véletlen adatvesztés, -megsemmisülés vagy -károsodás ellen (integritás);

f)  feldolgozása az adatkezelő felelősségére történik, akinek minden feldolgozási művelet tekintetében biztosítania és igazolnia kell és igazolnia kell tudniaz e rendelet rendelkezéseivel való összhangot (elszámoltathatóság). [Mód. 99]

6. cikk

Az adatfeldolgozás jogszerűsége

(1)  A személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az alábbiak valamelyike teljesül:

a)  az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő feldolgozásához;

b)  az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)  az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)  az adatfeldolgozás az érintett létfontosságú érdekének védelme miatt szükséges;

e)  az adatfeldolgozás közérdekű feladat végrehajtásához vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásához szükséges;

f)  az adatfeldolgozás az adatkezelő jogszerű érdekének érvényesítéséhez szükséges, vagy adatközlés esetén a harmadik fél érdekének érvényesítéséhez, akivel közlik az adatokat, és amely kielégíti az érintett jogos elvárásait az adatkezelővel kialakított kapcsolata alapján, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra.

(2)  A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása a 83. cikk szerinti feltételek és biztosítékok fennállása esetében jogszerű.

(3)  Az (1) bekezdés c) és e) pontja szerinti adatfeldolgozás alapjáról:

a)  uniós jogszabályban vagy

b)  az adatkezelőre irányadó tagállami jogszabályban kell rendelkezni.

A tagállami jogszabálynak közérdekű célt vagy mások jogainak és szabadságának védelmét kell szolgálnia, tiszteletben kell tartania a személyes adatok védelméhez való jog lényegét, és arányosnak kell lennie a kitűzött jogszerű céllal. E rendelet keretein belül a tagállamok jogszabályai előírhatják a feldolgozás jogszerűségének részleteit, különösen az adatkezelők tekintetében, a feldolgozás célját és a célhoz kötöttséget, az adatok és az érintettek jellegét, a feldolgozásra vonatkozó intézkedéseket és eljárásokat, a címzetteket, valamint a tárolás időtartamát.

(4)  Amennyiben a további feldolgozás célja nem egyeztethető össze a személyes adatok gyűjtésének céljával, a feldolgozás jogalapjának mindenképpen az (1) bekezdés a)‑e) pontja valamelyikének kell lennie. Ez különösen az általános szerződési feltételek módosítására alkalmazandó.

(5)  A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés f) pontja szerinti különös ágazatokra és adatfeldolgozási helyzetekre ‑ beleértve a gyermekekre vonatkozó személyes adatok feldolgozását ‑ vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 100]

7. cikk

A hozzájárulás feltételei

(1)  Az Amennyiben a feldolgozás hozzájáruláson alapul, az adatkezelőre hárul annak bizonyítása, hogy az érintett hozzájárult személyes adatainak konkrét célokból történő feldolgozásához.

(2)  Amennyiben az érintett hozzájárulását valamely más ügyre is vonatkozó írásos nyilatkozattal összefüggésben kell megadni adják meg, a hozzájárulás kérésének megjelenésében egyértelműen megkülönböztethetőnek kell lennie ettől a más ügytől. Az érintett hozzájárulására vonatkozó, az e rendeletet részben megsértő előírások semmisnek tekintendők.

(3)  Az A feldolgozás egyéb jogalapjainak sérelme nélkül, az érintett bármikor visszavonhatja hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti hozzájáruláson alapuló feldolgozás jogszerűségét. A hozzájárulás visszavonása nem lehet nehezebb, mint annak megadása. Az adatkezelő tájékoztatja az érintettet, ha a hozzájárulás visszavonása az adatkezelő által nyújtott szolgáltatás vagy a vele fenntartott kapcsolat végét eredményezheti.

(4)  A hozzájárulás nem teremt jogalapot a feldolgozásra, ha jelentős egyenlőtlenség áll fenn az érintett és az adatkezelő helyzete között.az adott célra korlátozódik, és a cél megszűnésekor elveszti érvényességét, illetve amikor a személyes adat feldolgozására már nincs szükség annak a célnak az eléréséhez, amihez az adatokat eredetileg gyűjtötték. Valamely szerződés teljesítése, illetve szolgáltatás nyújtása nem tehető függővé a szerződés teljesítéséhez, illetve a szolgáltatás nyújtásához a 6. cikk (1) bekezdésének b) pontja értelmében nem szükséges adatok feldolgozásához adott hozzájárulástól. [Mód. 101]

8. cikk

Gyermekek személyes adatainak feldolgozása

(1)  E rendelet alkalmazásában, a közvetlenül gyermekeknek nyújtott információs társadalommal összefüggő termékekkel vagy szolgáltatásokkal összefüggésben a 13 év alatti gyermekek személyes adatainak feldolgozása csak akkor és olyan mértékben jogszerű, ha a gyermek szülője vagy gyámja jogi képviselője ahhoz hozzájárult vagy engedélyezte. Az adatkezelő ésszerű erőfeszítéseket tesz, hogy ellenőrizhető ellenőrizze az ilyen hozzájárulást szerezzen be, figyelemmel az elérhető technológiára, anélkül, hogy szükségtelen személyesadat-feldolgozást okozna.

(1a)  A gyermekek, a szülők és a jogi képviselők általi hozzájárulás kifejezése érdekében nyújtott információkat – beleértve a személyes adat adatkezelő általi gyűjtését és felhasználását – egyértelmű, a célközönség számára megfelelő nyelvezettel kell megadni.

(2)  Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, mint például a gyermekkel kapcsolatos szerződés érvényességére, formájára vagy hatályára vonatkozó szabályokat.

(3)  A Bizottság a 86. Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadhat el annak érdekében, hogy részletesen meghatározza iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésének ellenőrzésének módszereire vonatkozó szempontokat és előírásokat. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében.

(4)  A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 102]

9. cikkA személyes adatok különleges kategóriáinak feldolgozása

Különleges adatkategóriák

(1)  Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti filozófiai-világnézeti meggyőződésre, szexuális irányultságra vagy nemi identitásra a szakszervezeti tagságra és tevékenységekre utaló személyes adatok, valamint a genetikai vagy biometrikus adatok, az egészségügyi adatok vagy a szexuális életre közigazgatási szankciókra, ítéletekre, bűncselekményekre vagy bűncselekmények gyanújára, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása.

(2)  Az (1) bekezdés nem alkalmazható alkalmazandó abban az esetben, ha:

a)  az érintett a 7. és 8. cikk szerinti feltételeknek megfelelően hozzájárulását adta az említett személyes adatok egy vagy több meghatározott célból történő feldolgozásához, kivéve, ha az uniós vagy nemzeti jog úgy rendelkezik, hogy az érintett nem mentesíthet az (1) bekezdésben említett tilalom alól; vagy

aa)  az adatfeldolgozás olyan szerzõdés teljesítéséhez vagy végrehajtásához szükséges, amelyben az érintett az egyik fél, vagy az a szerzõdés megkötését megelõzõen az érintett kérésére történõ lépések megtételéhez szükséges;

b)  az adatfeldolgozás az adatkezelő különös kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben az érintett alapvető jogaira és érdekeire – például a megkülönböztetésmentességhez való jogravonatkozó a megfelelő biztosítékokról rendelkező uniós vagy nemzeti jogszabályok vagy kollektív szerződések ezt lehetővé teszik a 82. cikkben felsorolt feltételek és biztosítékok betartásával; vagy

c)  az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, amennyiben az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni; vagy

d)  az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szervezet céljainak megfelelően, és az adatok nem adhatók ki az érintettek hozzájárulása nélkül; vagy

e)  az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott; vagy

f)  az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek; vagy

g)  az adatfeldolgozás közérdekű jelentős közérdek miatti feladat ellátásához szükséges olyan uniós jogszabály vagy nemzeti jogszabály alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jogot, és az érintett alapvető jogainak és jogos érdekeinek biztosítására megfelelő intézkedéseket ír elő; vagy

h)  az egészségügyi adatok feldolgozása egészségügyi célból szükséges, a 81. cikk szerinti feltételek és biztosítékok mellett; vagy

i)  az adatfeldolgozás történelmi, statisztikai, vagy tudományos kutatási célból szükséges, a 83. cikk szerinti feltételek és biztosítékok mellett; vagy

ia)  az adatfeldolgozás levéltári szolgálatok céljából szükséges, a 83a. cikk szerinti feltételek és biztosítékok mellett; vagy

j)  a közigazgatási szankciókra, ítéletekre, bűncselekményekre,büntetőítéletekre vagy kapcsolódó biztonsági intézkedésekre vonatkozó adatok feldolgozása vagy a hatóság ellenőrzése mellett történik, vagy ha az adatfeldolgozásra olyan jogszabályi vagy szabályozási kötelezettségnek való megfelelés érdekében kerül sor, amelynek az adatfeldolgozó a hatálya alá tartozik, illetve fontos közérdek miatt végzett feladat teljesítése érdekében, amennyiben az érintett alapvető jogaira és érdekeire vonatkozóan azt megfelelő biztosítékokat nyújtó uniós vagy tagállami jogszabály teszi lehetővé. A büntetőítéletekről csak a hatóság ellenőrzésével vezethető teljes körű nyilvántartás.

(3)  A Bizottság felhatalmazást Az Európai Adatvédelmi Testületet megbízást kap arra, hogy a 66. cikkel összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a személyes adatok (1) bekezdés szerinti különleges kategóriáinak feldolgozására és a (2) bekezdésben meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 103]

10. cikk

Az azonosítást lehetővé nem tevő adatfeldolgozás

(1)  Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő vagy –feldolgozó számára közvetlenül vagy közvetetten , hogy azonosítson egy természetes személyt, illetve azok kizárólag álnevekkel kapcsolatos adatokból állnak, az adatkezelő nem dolgoz fel vagy szerez köteles kiegészítő információkat beszerezni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendelet valamelyik rendelkezésének.

(2)  Amennyiben az adatkezelő nem tudja betartani e rendelet valamely előírását az (1) bekezdés miatt, az adatkezelő nem köteles betartani e rendelet ama bizonyos előírását. Amennyiben ennek következtében az adatkezelő nem tudja teljesíteni az érintett kérését, erről megfelelően tájékoztatja az érintettet. [Mód. 104]

10a. cikk

Az érintettek jogaira vonatkozó általános elvek

(1)  Az adatvédelem alapját az érintett világos és egyértelmű jogai képezik, amelyeket az adatkezelőnek tiszteletben kell tartania. Az e rendeletben foglalt rendelkezések célja e jogok erõsítése, pontosítása, szavatolása és adott esetben kodifikálása.

(2)  E jogok közé tartozik többek között az egyértelmű, könnyen érthető tájékoztatás nyújtása az érintett személyes adatainak feldolgozásával, adatainak hozzáféréséhez, helyesbítéséhez és törléséhez való joggal, az adatok megszerzéséhez való joggal, a profilalkotás kifogásolásához való joggal, panasz benyújtásához való joggal az illetékes adatvédelmi hatósághoz és bírósági eljárás indításához való joggal, valamint a jogszerűtlen adatfeldolgozási műveletből eredő kár ellentételezéséhez és megtérítéséhez való joggal kapcsolatban. E jogokat általánosságban véve térítésmentesen kell tudni gyakorolni. Az adatkezelõ ésszerû határidõn belül válaszol az érintett kérésére. [Mód. 105]

III. FEJEZET

AZ ÉRINTETT JOGAI

1.SZAKASZ

ÁTLÁTHATÓSÁG ÉS SZABÁLYOZÁS

11. cikk

Átlátható tájékoztatás és kommunikáció

(1)  Az adatkezelőnek a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében tömör, átlátható, egyértelmű és könnyen hozzáférhető politikákkal kell rendelkeznie.

(2)  Az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést, különösen a kifejezetten gyermekeknek szóló tájékoztatást, az érintett részére érthető formában, az érintett befogadóképességének megfelelő, világos és közérthető nyelven nyújtja. [Mód. 106]

12. cikk

Az érintett jogainak gyakorlására vonatkozó eljárások és mechanizmusok

(1)  Az adatkezelő kialakítja a 14. cikk szerinti tájékoztatáshoz, valamint az érintettek 13. cikkben és 15–19. cikkben említett jogainak gyakorlásához szükséges eljárásokat. Az adatkezelő különösen a 13. cikkben és a 15–19. cikkben említett tevékenységek iránti kérelmek megkönnyítésére szolgáló mechanizmusokat biztosítja. Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja továbbá a kérelmek elektronikus úton történő benyújtásának lehetőségét is, ahol lehetséges.

(2)  Az adatkezelő indokolatlan késedelem nélkül és legkésőbb a kérelem beérkezésétől számított egy hónapon 40 naptári napon belül tájékoztatja az érintettet arról, hogy történt-e a 13. cikk és a 15–19. cikk szerinti intézkedés, valamint szolgáltatja a kért információt. E határidő egy hónappal meghosszabbítható, ha több érintett gyakorolja jogait, és együttműködésük ésszerű mértékben szükséges az adatkezelő szükségtelen és aránytalan törekvésének megakadályozása szempontjából. Ezt a tájékoztatást írásban kell nyújtani és – amennyiben lehetséges – az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, ahol közvetlen hozzáférést bocsátanak az érintett rendelkezésére a saját személyes adataihoz. Amennyiben az érintett elektronikus formában nyújtotta be a kérelmet, az értesítést – ha lehetséges – elektronikus formában kell közölni, kivéve, ha az érintett eltérően igényli.

(3)  Amennyiben az adatkezelő megtagadja, hogy az érintett kérelme nyomán nem hoz intézkedéseket hozzon, tájékoztatja az érintettet az elutasítás intézkedéshozatal elmaradásának okairól, valamint a felügyelő hatósághoz címzett panasz és a bírósági jogorvoslati kérelem lehetőségéről.

(4)  Az (1) bekezdés szerinti tájékoztatás és a kérelemre tett intézkedések térítésmentesek. Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, az adatkezelő az adminisztrációs költségeket figyelembe vevő, ésszerű díjat számíthat fel a tájékoztatásért vagy a kért intézkedés megtételéért, vagy visszautasíthatja a kért intézkedés megtételét. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen túlzó jellegének bizonyítása .

(5)  A Bizottság felhatalmazást kap arra, hogy a (4) bekezdés szerinti egyértelműen túlzó kérelmekre és díjakra vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)  A Bizottság egységes formanyomtatványokat és eljárásokat határozhat meg a (2) bekezdésben említett értesítés esetében, ideértve az elektronikus formátum megállapítását is. Ennek során a Bizottság megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 107]

13. cikkA címzettekhez kapcsolódó jogok

Az adatok helyesbítése és törlése esetén fennálló értesítési követelmény

Az adatkezelő minden olyan címzettet tájékoztat a 16. és 17. cikk értelmében végzett valamennyi törlésről vagy zárolásról, akivel/amellyel akinek/amelynek az adatot közölték továbbították, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az adatkezelő annak kérésére tájékoztatja az érintettet e címzettekről. [Mód. 108]

13a. cikk

Szabványosított információs politikák

(1)  Az érintettre vonatkozó személyes adatok gyûjtése során az adatkezelõnek az alábbiakról tájékoztatnia kell az érintettet az adatközlés elõtt a 14. cikk értelmében:

a)  a kért személyes adatok köre meghaladja-e a feldolgozás egyes konkrét céljaihoz szükséges minimális szintet;

b)  a kért személyes adatok tárolása meghaladja-e a feldolgozás egyes konkrét céljaihoz szükséges minimális szintet;

c)  feldolgozzák-e a személyes adatokat a gyûjtés során meghatározottakon kívüli célokra is;

d)  továbbítják-e a személyes adatokat kereskedelmi harmadik feleknek is;

e)  értékesítik vagy kölcsönzik-e a személyes adatokat;

f)  kódolt formában tárolják-e a személyes adatokat.

(2)  Az (1) bekezdésben foglalt adatokat e rendelet mellékletének értelmében sorokba rendezett táblázatos formában kell közölni, szöveg és szimbólumok használatával, az alábbi három oszlopban:

a)  az első oszlop ezen adatokat jelképező grafikus formákat tartalmaz;

b)  a második oszlop az ezen adatokat leíró alapvető információkat tartalmaz;

c)  a harmadik oszlop olyan grafikus formákat tartalmaz, amelyek jelzik egy adott adat megvalósulását.

(3)  Az (1) és (2) bekezdésben említett információkat könnyen látható és olvasható módon kell bemutatni, valamint olyan nyelven kell megjeleníteni, amelyet az adott tagállam fogyasztói – akiknek a tájékoztatást szánják – könnyen megértenek. Amennyiben az adatokat elektronikus úton jelenítik meg, számítógéppel olvashatóknak kell lenniük.

(4)  További radatokat nem kell közölni. Az (1) bekezdésben említett részletes magyarázatokat vagy az adatokhoz kapcsolódó további megjegyzéseket a 14. cikkben foglalt tájékoztatási követelményekkel együtt lehet nyújtani.

(5)  A Bizottság felhatalmazást kap arra, hogy ­– az Európai Adatvédelmi Testület véleményének kikérése után – a (2) bekezdésben és e rendelet mellékletében említett adatok és megjelenítésük további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 109]

2.SZAKASZ

TÁJÉKOZTATÁS ÉS AZ ADATOKHOZ VALÓ HOZZÁFÉRÉS

14. cikk

Az érintett tájékoztatása

(1)  Az érintettre vonatkozó személyes adatok gyűjtése során az adatkezelőnek legalább az alábbiakról tájékoztatnia kell az érintettet, a 13a. cikk értelmében tett tájékoztatás után:

a)  az adatkezelő, és – ha van ilyen – az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a személyazonossága és részletes elérhetősége;

b)  az adatfeldolgozás céljai, amelyekre a személyes adatok szolgálnak, illetve a személyes adatok feldolgozásának biztonságára vonatkozó információk, beleértve a szerződési feltételeket és az általános feltételeket a 6. cikk (1) bekezdésének b) pontja szerinti feldolgozás esetén, és az adatkezelő jogos érdekeit adott esetben a 6. cikk (1) bekezdésének f) pontja szerinti feldolgozás esetén követelmények végrehajtására és teljesítésére vonatkozó információk;

c)  a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának kritériumai;

d)  azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokba való betekintést, azok helyesbítését vagy törlését, vagy illetve kifogásolhatja az ilyen személyes adatok feldolgozását vagy az adatok megszerzését;

e)  a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

f)  a személyes adatok címzettjei, illetve a címzettek kategóriái;

g)  az adatkezelő harmadik országba vagy nemzetközi szervezet részére történő adattovábbítási szándéka esetén az e harmadik ország vagy nemzetközi szervezet által biztosított védelem szintje, és a Bizottság megfelelőségi határozatára határozata birtokában vagy annak hiányában, vagy a 42. cikkben vagy a 43. cikkben említett adattovábbítás esetén a megfelelő biztosítékokra, valamint ezek másolatának megszerzésére szolgáló eszközökre való hivatkozás mellett;

ga)  adott esetben a profilalkotás, a profilalkotáson alapuló intézkedések meglétére, valamint a profilalkotásnak az érintettre gyakorolt várható hatásaira vonatkozó tájékoztatás;

gb)  érdemi tájékoztatás bármely automatizált feldolgozással kapcsolatos logikáról;

h)  az érintett vonatkozásában a tisztességes feldolgozás biztosításához szükséges minden további tájékoztatás, tekintettel a személyes adatok gyűjtésének és feldolgozásának különös körülményeire különösen bizonyos olyan feldolgozási tevékenységek és műveletek meglétére, amelyek egy személyes adatokra vonatkozó hatásvizsgálat jelzése szerint nagy kockázatot hordozhatnak;

ha)  adott esetben tájékoztatás arról, hogy a személyes adatot valamely hatóság számára átadták-e az elmúlt 12 hónapban..

(2)  Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy önkéntes választható jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről.

(2a)   Az adatkezelőknek a feldolgozás (1) bekezdés d) pontja szerinti tisztességessé tételéhez szükséges további tájékoztatásról való döntés során figyelemmel kell lenniük a 34. cikk szerinti bármely releváns iránymutatásra.

(3)  Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak a személyes adatok.

(4)  Az adatkezelő az (1), (2) és (3) bekezdés szerinti tájékoztatást akkor nyújtja:

a)  amikor a személyes adatot az érintettől beszerzi, vagy indokolatlan késedelem nélkül, amikor a fenti feltétel nem teljesül; vagy

aa)  egy, a 73. cikkben felsorolt szerv, szervezet vagy társulás kérésére;

b)  ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés vagy -feldolgozás különös körülményeire tekintettel az adatgyűjtést követő ésszerű időtartamon belül, illetve, ha az adatokat más címzetthez kívánják továbbítani, legkésőbb az adatok első közlésekor továbbításakor, illetve ha az adatot az érintett személlyel folytatott kommunikációra használják fel, legkésőbb az ezzel at érintettel való első kapcsolatfelvétel időpontjában; vagy.

(ba)  csak kérésre, amennyiben az adatokat a személyes adatok feldolgozását melléktevékenységként végző kis- vagy mikorvállalkozás dolgozza fel.

(5)  Az (1)–(4) bekezdés nem alkalmazható, ha:

a)  az érintett már rendelkezik az (1), (2) és (3) bekezdés szerinti információkkal; vagy

b)  az adatot történelmi, statisztikai vagy tudományos célból dolgozzák fel a 81. cikkben vagy a 83. cikkben említett feltételek és biztosítékok mellett, az adatot nem az érintettől szerezték be, és a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel; és az adatkezelő bárki számára hozzáférhető módon tette közzé az adatot; vagy

c)  az adatot nem az érintettől szerezték be, és a rögzítést vagy a közlést az adatkezelőre vonatkozó olyan jogszabály kifejezetten előírja amely megfelelő intézkedéseket ír elő az érintett jogos érdekeinek védelme céljából, figyelemmel a személyes adatok feldolgozása és azok jellege jelentette kockázatokra; vagy

d)  az adatot nem az érintettől szerezték be, és az ilyen tájékoztatás nyújtása sérti másoknak más természetes személyeknek az uniós jogban vagy a tagállam jogában a 21. cikkel összhangban meghatározott jogait és szabadságait.

da)  az adatokat uniós vagy tagállami jogszabály által szabályozott szakmai titoktartási kötelezettség vagy törvényen alapuló titoktartási kötelezettség hatálya alá tartozó személy dolgozza fel szakmája gyakorlása során, ilyen személy birtokába kerül vagy ilyen személy tudomására jut, kivéve ha közvetlenül az érintettől szerzik meg az adatot.

(6)  Az (5) bekezdés b) pontja szerinti esetben az adatkezelő megteszi a megfelelő intézkedéseket az érintett jogainak és jogos érdekeinek védelme érdekében.

(7)  A Bizottság felhatalmazást kap arra, hogy az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el: az (1) bekezdés f) pontja szerinti címzettek kategóriáira vonatkozó feltételek, az (1) bekezdés g) pontja szerinti esetleges adattovábbításról szóló értesítésre vonatkozó követelmények, a különös ágazatok és helyzetek esetében az (1) bekezdés h) pontja szerint szükséges további tájékoztatásra vonatkozó feltételek, valamint az (5) bekezdés b) pontjában meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok. Ennek során a Bizottság mérlegeli megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében.

(8)  A Bizottság a különböző ágazatok és adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel – szükség esetén – egységes formanyomtatványokat határozhat meg az (1)–(3) bekezdés szerinti tájékoztatásnyújtás esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 110]

15. cikk

Az érintett hozzáférési joga az adatokhoz és azok megszerzéséhez

(1)  Az A 12. cikk (4) bekezdésének értelmében az érintett erre irányuló kérelem benyújtásával jogosult az adatkezelőtől bármikor megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e, emellett világos és közérthető nyelven az alábbi tájékoztatásra jogosult:. Az ilyen személyes adatok feldolgozása esetén az adatkezelő az alábbiakról nyújt tájékoztatást:

a)  az adatfeldolgozás céljai, a személyes adatok egyes kategóriáira nézve;;

b)  az érintett személyesadat-kategóriák;

c)  a címzettek vagy a címzettek kategóriái, akik számára az adatokat ki kívánják adni vagy kiadták, ideértve különösen a harmadik országokbeli címzetteket;

d)  a személyes adatok tárolásának időtartama, , vagy ha ez nem lehetséges, ezen időtartam meghatározásának kritériumai;;

e)  azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását;

f)  a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

g)  értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról;

h)  az ilyen feldolgozás jelentősége és várható következményei, legalább a 20. cikkben említett intézkedések esetében.

ha)  érdemi tájékoztatás bármely automatizált feldolgozással kapcsolatos logikáról;

hb)  a 21. cikk sérelme nélkül, személyes adatoknak valamely hatósággal a hatóság kérése miatti közlése esetén annak megerősítése, hogy kérelmet nyújtottak be.

(2)  Az érintettnek joga van az adatkezelőtől a feldolgozás alatt álló személyes adatok közlését kérni. Amennyiben az érintett a kérést elektronikus formában és strukturált formátumban terjeszti elő, az információt elektronikus formában kell megadni, kivéve, ha az érintett eltérően igényli. Az 10. cikk sérelme nélkül, az adatkezelő megtesz minden ésszerű lépést annak megállapítására, hogy az adatokhoz való hozzáférést kérő személy maga az érintett.

(2a)  Amennyiben a személyes adatokat az érintett bocsátotta rendelkezésre, és a személyes adatokat elektronikus úton dolgozzák fel, az érintettnek joga van arra, hogy kérje az adatkezelőtől a megadott személyes adatok széles körben használt elektronikus és interoprábilis formátumú másolatát, amely lehetővé teszi az érintett általi további használatot anélkül, hogy akadályozná a személyes adatok visszavonásával érintett adatkezelőt. Ahol műszaki szempontból megvalósítható és elérhető, az adatot az érintett kérésére közvetlenül továbbítják az adatkezelők között.

(2b)  Ez a cikk nem érinti az adatok törlésére irányuló kötelezettséget, amennyiben azok az 5. cikk (1) bekezdésének e) pontja alapján már nem szükségesek.

(2c)  A 14. cikk (5) bekezdésének da) pontja szerinti adatok esetében nem lehet az (1) és (2) bekezdésnek megfelelő hozzáférési joggal rendelkezni, kivéve, ha az érintett jogosult a szóban forgó titoktartást megszüntetni, és ennek megfelelően jár el.

(3)  A Bizottság felhatalmazást kap arra, hogy a 86. cikkel összhangban az érintettnek a személyes adatok tartalmáról szóló, az (1) bekezdés g) pontja szerinti értesítésére vonatkozó feltételek és követelmények további meghatározása érdekében felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)  A Bizottság a különböző ágazatok adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel egységes formanyomtatványokat és eljárásokat határozhat meg az (1) bekezdés szerinti tájékoztatás-kérés és nyújtás esetében, beleértve az érintett személyazonosságának ellenőrzését és a személyes adatok érintettel való közlését. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 111]

3.SZAKASZ

HELYESBÍTÉS ÉS TÖRLÉS

16. cikk

A helyesbítési jog

Az érintett jogosult az adatkezelőtől a rá vonatkozó pontatlan személyes adatok helyesbítését kérni. Az érintett jogosult a hiányos személyes adatok kiegészítését kérni, ideértve a helyesbítő nyilatkozat igénybevételét.

17. cikk

A személyes adatok tárolásának megszüntetéséhez és a törléshez való jog

(1)  Az érintett kérheti az adatkezelőtől a rá vonatkozó személyes adatok törlését, valamint az ilyen adatok további terjesztésétől való tartózkodást, különösen az érintett által gyermekkorában elérhetővé tett személyes adatok vonatkozásában, ha: (2c) A 14. cikk (5) bekezdésének da) pontja szerinti adatok esetében nem lehet az (1) és (2) bekezdésnek megfelelő hozzáférési joggal rendelkezni, kivéve, ha az érintett jogosult a szóban forgó titoktartást megszüntetni, és ennek megfelelően jár el.

a)  az adatokra már nincs szükség az adatgyűjtés vagy más módon történő feldolgozás céljából; vagy

b)  az érintett visszavonta a 6. cikk (1) bekezdésének a) pontja értelmében a feldolgozás alapját képező hozzájárulását, vagy lejárt az engedélyezett adattárolási időtartam, vagy a személyes adatok feldolgozásának nincs más jogalapja; vagy

c)  az érintett a 19. cikk értelmében kifogásolja a személyes adatok feldolgozását; vagy

ca)  az Unióban székhellyel rendelkező valamely bíróság vagy felügyelő hatóság jogerős ítéletet hozott arra vonatkozóan, hogy az érintett adatokat törölni kell;

d)  az adatfeldolgozás egyéb okokból nem áll összhangban e rendelettel adatok feldolgozása jogszerűtlenül történt.

(1a)  Az (1) bekezdés alkalmazása attól függ, hogy az adatkezelő meg tudja-e állapítani, hogy maga az érintett kérte a törlést.

(2)  Amennyiben az (1) bekezdés szerinti adatkezelő a 6. cikk (1) bekezdésén alapuló igazolás nélkül hozza nyilvánosságra hozza a személyes adatokat, a technikai intézkedéseket is beleértve megtesz minden ésszerű lépést, hogy – azon adatok vonatkozásában, amelyek nyilvánosságra hozatala az adatkezelő felelősségi körébe tartozik – értesítse az ilyen adatokat feldolgozó harmadik felet arról, hogy az érintett kérte a személyes adat bármely nyilvános internetes linkjének, másolatának vagy másodpéldányának törlését. Amennyiben az adatkezelő harmadik felet hatalmazott fel a személyes adatok nyilvánosságra hozatalára, az adatkezelő felelősséggel tartozik e nyilvánosságra hozatalért.a 77. cikk sérelme nélkül megteszi az adatok – akár harmadik fél általi – töröltetésére irányuló ésszerű lépéseket. Amennyiben lehetséges, az adatkezelő tájékoztatja az érintettet a harmadik fél által megtett lépésekről.

(3)  Az adatkezelő és adott esetben a harmadik fél késedelem nélkül elvégzi a törlést, kivéve, amennyiben a személyes adat megőrzése az alábbi okokból szükséges:

a)  a 80. cikkel összhangban a véleménynyilvánítás szabadságának gyakorlása;

b)  a 81. cikkel összhangban a népegészség területén közérdekből;

c)  a 83. cikkel összhangban álló történelmi, statisztikai vagy tudományos célú kutatási célok;

d)  az adatkezelőre vonatkozó uniós vagy nemzeti jogszabályba foglalt, a személyes adat megőrzésére vonatkozó jogi kötelezettség; a nemzeti jogszabályok közérdekű célt szolgálnak, tiszteletben tartják a személyes adatok védelméhez való jog lényegét, és arányosak a kitűzött jogszerű céllal;

e)  a (4) bekezdés szerinti esetekben.

(4)  Az adatkezelő a személyes adatok törlése helyett oly módon korlátozza azok feldolgozását, hogy azokra nem vonatkozik az adatokhoz való rendes hozzáférés és nem tartoznak az adatfeldolgozási műveletek hatálya alá, továbbá már nem módosíthatók, ha:

a)  az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát;

b)  az adatkezelőnek feladata ellátásához már nincs szüksége a személyes adatokra, de bizonyítási célból meg kell tartania az adatokat;

c)  a feldolgozás jogellenes, és az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri;

ca)  az Unióban székhellyel rendelkező valamely bíróság vagy felügyelő hatóság jogerős ítéletet hozott arra vonatkozóan, hogy az érintett feldolgozást korlátozni kell;

d)  az érintett a 18. cikk (2) 15. cikk (2a) bekezdése értelmében kéri a személyes adatok más automatizált feldolgozó rendszerbe történő továbbítását.

da)  a tárolástechnológia adott módja nem teszi lehetővé a törlést, és azt e rendelet életbe lépése előtt telepítették.

(5)  A (4) bekezdés szerinti személyes adatok a tárolás kivételével csak bizonyítás céljára vagy az érintett hozzájárulásával vagy más természetes vagy jogi személy jogainak védelme, illetve közérdekű cél érdekében dolgozhatók fel.

(6)  Amennyiben a személyes adatok feldolgozása a (4) bekezdés értelmében korlátozott, az adatkezelő a feldolgozás korlátozásának feloldása előtt tájékoztatja az érintettet.

(7)  Az adatkezelő olyan mechanizmusokat vezet be, amelyek biztosítják a személyes adatok törlésére és/vagy az adattárolás szükségességének időszakos felülvizsgálatára meghatározott határidő tiszteletben tartását.

(8)  A törlést követően az adatkezelő a továbbiakban nem dolgozhat fel más módon ilyen személyes adatokat.

(8a)  Az adatkezelő olyan mechanizmusokat vezet be, amelyek biztosítják a személyes adatok törlésére és/vagy az adattárolás szükségességének időszakos felülvizsgálatára meghatározott határidő tiszteletben tartását.

(9)  A Bizottság felhatalmazást kap arra, hogy– az Európai Adatvédelmi Testület véleményének kikérését követően – az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el:

a)  konkrét ágazatok és különleges adatfeldolgozási helyzetek esetében az (1) bekezdés alkalmazására vonatkozó feltételek;

b)  a személyes adat linkje, másolata vagy másodpéldánya nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő – (2) bekezdésben említett – törlésének feltételei;

c)  a személyesadat-feldolgozás (4) bekezdésben említett korlátozására vonatkozó szempontok és feltételek. [Mód. 112]

18. cikk

Az adathordozhatósághoz való jog

(1)  A személyes adatok strukturált és széles körben használt formátumban történő elektronikus feldolgozása esetén az érintettnek joga van arra, hogy kérje az adatkezelőtől a feldolgozás alatt álló adatok széles körben használt elektronikus és strukturált formátumú másolatát, amely lehetővé teszi az érintett általi további használatot.

(2)  Amennyiben a személyes adatokat az érintett bocsátotta rendelkezésre, és a feldolgozás hozzájáruláson vagy szerződésen alapul, az érintett jogosult arra, hogy ezeket a személyes adatokat és az érintett által rendelkezésre bocsátott, automatizált feldolgozó rendszerben tárolt bármely egyéb információt széles körben használt elektronikus formátumban egy másik rendszerbe továbbítson, anélkül hogy akadályozná a személyes adatok visszavonásával érintett adatkezelőt.

(3)  A Bizottság meghatározhatja az (1) bekezdés szerinti elektronikus formátumot, valamint a személyes adatok (2) bekezdés szerinti továbbításához használt technikai szabványokat, módokat és eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 113]

4.SZAKASZ

A KIFOGÁSOLÁSHOZ VALÓ JOG ÉS PROFILALKOTÁS

19. cikk

A kifogásoláshoz való jog

(1)  Az érintett egyedi helyzetével kapcsolatos indokok alapján bármikor kifogásolhatja személyes adatainak a 6. cikk (1) bekezdésének d),és e) és f) pontján alapuló feldolgozását, kivéve, ha az adatkezelő igazolja, hogy a feldolgozást olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.

(2)  Ha a személyes adatokat közvetlen üzletszerzés érdekében dolgozzák fel, adatok feldolgozása a 6. cikk (1) bekezdésének f) pontja szerint történik, az érintett bármikor és bármiféle indoklás nélkül térítésmentesen kifogásolhatja személyes adatainak ilyen üzletszerzés érdekében általános vagy bármely konkrét célból való feldolgozását. E jogra kifejezetten, érthető módon fel kell hívni az érintett figyelmét, és a felhívásnak egyértelműen megkülönböztethetőnek kell lennie minden más információtól.

(2a)   A (2) bekezdésben említett jogra kifejezetten, érthető módon és formában fel kell hívni az érintett figyelmét, és különösen a kifejezetten gyermekeknek szóló tájékoztatás esetében, világos és közérthető nyelven, és a felhívásnak egyértelműen megkülönböztethetőnek kell lennie minden más információtól.

(2b)  Az információs társadalommal kapcsolatos szolgáltatások alkalmazásával összefüggésben és a 2002/58/EK irányelv sérelme nélkül, a tiltakozáshoz való jogot automatikus módon is lehet gyakorolni olyan technikai szabvány alkalmazásával, amely lehetőv teszi az érintett számára, hogy óhajait egyértelmű módon fejezze ki.

(3)  Az (1) és (2) bekezdés szerinti kifogásolás esetében az adatkezelő a továbbiakban nem használhatja vagy dolgozhatja fel más módon az érintett személyes adatokat a kifogásban meghatározott célokra. [Mód. 114]

20. cikkProfilalkotáson alapuló intézkedések

Profilalkotás

(1)  Minden A 6. cikk előírásainak sérelme nélkül, minden természetes személynek joga van ahhoz, hogy ne terjedhessen ki rá olyan intézkedés hatálya, amely e természetes személyre nézve jogi hatással járna, vagy őt jelentős mértékben érintené, és amely kizárólag automatizált feldolgozáson alapul, és amelynek célja a természetes személyre vonatkozó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy előrejelzése.a profilalkotás kifogásolásához a 19. cikkel összhangban. Az érintettet jól látható módon tájékoztatják a profilalkotás kifogásolásához való jogról.

(2)  E rendelet egyéb rendelkezéseire figyelemmel, valamely személyre személy csak abban az esetben lehet vonatkozhat az érintettre hátrányos jogi hatással lévő intézkedésekhez vezető vagy az érintett érdekeire, jogaira vagy szabadságaira nézve hasonlóan jelentős hatással járó profilalkotás alanya, (1) bekezdés szerinti intézkedés, ha a feldolgozást:

a)  valamely szerződés megkötése megkötéséhez vagy teljesítéséhez szükséges teljesítése során végzik, ha a szerződés érintett kérelmére történő megkötése vagy teljesítése teljesül, vagy ha feltéve, hogy biztosítják az érintett jogos érdekeinek biztosítására alkalmas intézkedéseket, például az emberi beavatkozás kérésére vonatkozó jogot; vagy

b)  olyan uniós vagy nemzeti jogszabály írja elő kifejezetten, amely rendelkezik az érintett jogos érdekeinek biztosítására alkalmas intézkedésekről is; vagy

c)  az érintett hozzájárulása alapján végzik, a 7. cikkben megállapított feltételek és a megfelelő biztosítékok mellett.

(3)  A valamely természetes személlyel kapcsolatos egyes személyes szempontok értékelését célzó automatizált személyesadat-feldolgozás Tilos az olyan profilalkotás, amely egyének közötti megkülönböztetést vált ki faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, szexuális irányultság vagy nemi identitás alapján, illetve amely ilyen hatást kiváltó intézkedésekhez vezet. Az adatkezelő hatékony védelmet alkalmaz a profilalkotásból eredő lehetséges megkülönböztetés ellen. A profilalkotás nem alapulhat kizárólag a személyes adatok 9. cikkben említett különleges kategóriáin.

(4)  A (2) bekezdésben említett esetekben az adatkezelő által a 14. cikk alapján nyújtandó tájékoztatás felöleli az (1) bekezdés szerinti intézkedés céljából történő feldolgozás megvalósulására, és az ilyen feldolgozásnak az érintett tekintetében várható hatásaira vonatkozó információkat.

(5)  A Bizottság felhatalmazást kap arra, hogy az Az érintettre hátrányos jogi hatással lévő intézkedésekhez vezető vagy az érintett érdekeire, jogaira vagy szabadságaira nézve hasonlóan jelentős hatással járó profilalkotás nem alapulhat kizárólag vagy elsősorban automatizált feldolgozáson, és emberi értékelést is tartalmaz, ideértve az ilyen értékelést követő határozat magyarázatát. Az érintett (2) bekezdés szerinti jogos érdekeinek biztosítására alkalmas intézkedésekre vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. intézkedések emberi értékelést és az ilyen értékelést követő határozat magyarázatát is tartalmaznak.

(5a)  Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban az (2) bekezdés alapján iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a profilalkotásra vonatkozó szempontok és feltételek további meghatározása érdekében. [Mód. 115]

5.SZAKASZ

KORLÁTOZÁSOK

21. cikk

Korlátozások

(1)  Az uniós vagy a tagállami jog jogszabályi intézkedések útján korlátozhatja az 5. cikk a)–e) pontjában, valamint a 11–20. cikkben a 11–19. cikkekben és a 32. cikkben foglalt jogok és kötelezettségek körét, amennyiben e korlátozás világosan meghatározott közérdekű célt szolgál, tiszteletben tartja a személyes adatok védelméhez való jogot, arányos a kitűzött jogszerű céllal és tiszteletben tartja az érintett alapvető jogait és érdekeit, az alábbiak biztosításához szükséges és arányos intézkedésnek minősül a demokratikus társadalomban:

a)  közbiztonság;

b)  bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás lefolytatása;

c)  az Unió vagy a tagállam egyéb közérdeke, különösen az Unió vagy a tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, valamint a piac stabilitásának és integritásának védelmét kérdések;

d)  a szabályozott foglalkozások esetében az etikai vétségek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

e)  az a), b) c) és d) pontban említett esetekben – akár alkalmanként – a közhatalom gyakorlásához kapcsolódó egy illetékes közhatósági funkció gyakorlása keretében folytatott ellenőrzési, felügyeleti és szabályozási tevékenység;

f)  az érintett, vagy mások jogainak és szabadságainak védelme.

(2)  Az (1) bekezdésben említett jogszabályi intézkedések intézkedéseknek szükségeseknek és arányosaknak kell lenniük a demokratikus társadalomban, és azok részletes rendelkezéseket tartalmaznak legalább az adatfeldolgozással elérni kívánt célok és az adatkezelő meghatározása alábbiak tekintetében.

a)  az adatfeldolgozással elérni kívánt célok;

b)  az adatkezelő meghatározása;

c)  a feldolgozás konkrét céljai és eszközei;

d)  a visszaélés, illetve a jogtalan hozzáférés vagy továbbítás megakadályozását célzó biztosítékok;

e)  az érintettek joga arra, hogy tájékoztatást kapjanak a korlátozásról.

(2a)  Az (1) bekezdésben említett jogszabályozási intézkedések sem nem engedik meg a magán adatkezelők számára, sem nem kötelezik őket arra, hogy az eredeti célok szempontjából szigorúan szükséges adatokon kívül további adatokat tároljanak. [Mód. 116]

IV. FEJEZET

AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1.SZAKASZ

ÁLTALÁNOS KÖTELEZETTSÉGEK

22. cikk

Az adatkezelő felelőssége és elszámoltathatósága

(1)  Az adatkezelő adatkezelõ – a technika állására, a személyesadat-feldolgozás természetére, a feldolgozás kereteire, hatályára és céljaira, az érintettek jogait és szabadságait érintõ kockázatokra, valamint a szervezet típusára tekintettel – mind az adatfeldolgozás módjának meghatározása, mind a feldolgozás során elfogadja azokat a megfelelõ politikákat és megfelelõ és igazolható technikai és szervezési végrehajtja azokat a megfelelő intézkedéseket, amelyekkel biztosítja és átlátható módon igazolni tudja azt, hogy a személyes adatok feldolgozása e rendelettel összhangban történik.

(1a)  Az adatkezelõ – a technika állására és a végrehajtás költségeire tekintettel – minden ésszerû lépést megtesz olyan megfelelési politikák és eljárások végrehajtására, amelyek folyamatosan tiszteletben tartják az érintettek autonóm döntéseit. E megfelelési politikákat legalább kétévente felül kell vizsgálni, és szükség esetén aktualizálni kell.

(2)  Az (1) bekezdés szerinti intézkedések különösen a következőket tartalmazzák:

a)  a 28. cikk szerinti dokumentáció vezetése;

b)  a 30. cikkben rögzített adatvédelmi követelmények érvényesítése;

c)  a 33. cikk szerinti adatvédelmi hatásvizsgálat lefolytatása;

d)  a 34. cikk (1) és (2) bekezdése értelmében a felügyelő hatóság előzetes engedélyezéséhez vagy előzetes konzultációhoz szükséges feltételek teljesítése;

e)  a 35. cikk (1) bekezdése szerinti adatvédelmi tisztviselő kijelölése.

(3)  Az adatkezelő végrehajtja adatkezelõnek képesnek kell lennie az (1) és (2) bekezdésben említett intézkedések megfelelõségének és hatékonyságának felülvizsgálatához szükséges mechanizmusokat. Amennyiben ez arányos, a felülvizsgálatot független belső vagy külső ellenőr végzi. igazolására. Az adatkezelõ tevékenységére vonatkozó valamennyi rendszeres általános jelentés – például a tõzsdén jegyzett társaságok kötelezõen elkészítendõ jelentései – tartalmazza az (1) bekezdésben említett politikák és intézkedések összefoglaló leírását.

(3a)  Az adatkezelő jogosult a személyes adatok Unión belüli továbbítására azon vállalkozáscsoporton belül, amelynek részét képezi, amennyiben az adatfeldolgozás a vállalkozáscsoport egymáshoz kapcsolódó üzleti területei közötti törvényes belső adminisztratív célok érdekében szükséges, és amennyiben belső adatvédelmi rendelkezések vagy azokkal egyenértékű, a 38. cikkben említett eljárási szabályzatok garantálják a megfelelő szintű adatvédelmet, valamint az érintettek érdekeinek védelmét.

(4)  A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti – a (2) bekezdésben már említettektől eltérő – megfelelő intézkedésekre, a (3) bekezdésben említett felülvizsgálati és ellenőrzési mechanizmusok feltételeire, valamint a (3) bekezdés szerinti arányossági szempontokra vonatkozó további feltételek és követelmények meghatározása érdekében, továbbá különösen a mikro-, kis- és középvállalkozásokra vonatkozó különös intézkedések mérlegelése mellett a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 117]

23. cikk

Beépített és alapértelmezett adatvédelem

(1)  Az adatkezelő és adott esetben az adatfeldolgozó– a technika állására és végrehajtás költségeire az aktuális mûszaki ismeretekre, a legjobb nemzetközi gyakorlatokra és az adatfeldolgozásban rejlõ kockázatokra tekintettel – mind az adatfeldolgozás céljának és módjának meghatározása, mind a feldolgozás során megfelelő megfelelõ és arányos technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen e rendelet követelményeinek, és biztosítsa az érintettek jogainak védelmét, különösen az 5. cikkben megállapított elvek tekintetében. A beépített adatvédelemnek különös figyelmet kell fordítania a személyes adatok teljes életciklusának irányítására az adatgyûjtéstõl a feldolgozáson át az adatok törléséig, szisztematikusan összpontosítva a személyes adatok pontosságára, bizalmas jellegére, integritására, fizikai biztonságára és törlésére vonatkozó átfogó eljárási biztosítékokra. Amennyiben az adatkezelõ a 33. cikk szerinti adatvédelmi hatásvizsgálatot végzett, az eredményeket ezen intézkedések és eljárások kidolgozása során figyelembe kell venni.

(1a)  A különbözõ gazdasági szektorokban való széles körû alkalmazás elõmozdítása érdekében a 2004/18/EK európai parlamenti és tanácsi irányelv(16) és a 2004/17/EK európai parlamenti és tanácsi irányelv(17) (közüzemi irányelv) szerinti közbeszerzési eljárásokban elõfeltétellé kell tenni a beépített adatvédelmet.

(2)  Az adatkezelőnek olyan mechanizmusokat biztosítania kell végrehajtania, amelyek hogy alapértelmezett módon biztosítják azt, hogy kizárólag a feldolgozás egyes konkrét céljaihoz szükséges személyes adatok kerülnek kerüljenek feldolgozásra, és különösen azt, hogy az adatgyűjtés, -tárolás vagy -tárolás -terjesztés során sem az adatok mennyisége és sem az adattárolási időtartam tekintetében sem lépik ne lépjék túl az e célokhoz szükséges legkisebb mértéket . Ezeknek a mechanizmusoknak különösen azt kell biztosítaniuk, hogy a személyes adatok alapértelmezett módon ne váljanak határozatlan számú egyén számára hozzáférhetővé és hogy az érintettek ellenõrizhessék személyes adataik szétosztását.

(3)  A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti megfelelő intézkedésekre és mechanizmusokra, különösen az ágazatokhoz, termékekhez és szolgáltatásokhoz kapcsolódó beépített adatvédelmi követelményekre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)  A Bizottság az (1) és (2) bekezdésben rögzített követelményekre vonatkozó egységes technikai előírásokat állapíthat meg. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. ]

24. cikk

Közös adatkezelők

Amennyiben az több adatkezelő közösen másokkal együtt határozza meg a személyes adatok feldolgozásának céljait, feltételeit és módját, a közös adatkezelők egymás között megállapodásban szabályozzák az e rendelet szerinti kötelezettségeknek való megfeleléssel kapcsolatos felelősségüket, különösen az érintett jogainak gyakorlásának vonatkozó eljárások és mechanizmusok tekintetében. A megállapodásnak megfelelõen tükröznie kell a közös adatkezelõk érintettekkel szembeni felelõsségi körét és velük való kapcsolatát, és a megállapodás lényegét az érintett rendelkezésére kell bocsátani. Amennyiben a felelõsség nem egyértelmû, az adatkezelõk egyetemlegesen felelõsek. [Mód. 119]

25. cikk

A nem az Unió területén letelepedett adatkezelők képviselői

(1)  A 3. cikk (2) bekezdése szerinti helyzetben az adatkezelő uniós képviselőt jelöl ki.

(2)  E kötelezettséget nem kell alkalmazni:

a)  a harmadik országban letelepedett adatkezelőre, ha a Bizottság úgy határozott, hogy a harmadik ország a 41. cikk értelmében megfelelő védelmi szintet biztosít; vagy

b)  a 250 főnél bármely egymást követõ 12 hónapból álló idõszak során 5000-nél kevesebb érintettre vonatkozó személyes adatokat feldolgozó és a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriái, a tartózkodási helyre utaló adatok, illetve a gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozását nem folytató adatkezelõre; főt foglalkoztató vállalkozásra; vagy

c)  állami hatóságra vagy szervre; vagy

d)  az érintetteknek az Unióban lakóhellyel rendelkező érintetteknek csak alkalmi jelleggel termékeket és szolgáltatásokat kínáló adatkezelőre, kivéve, ha a személyes adatok feldolgozása a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáit, tartózkodási helyre utaló adatokat, gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatokat érint.

(3)  A képviselőnek azon tagállamok egyikében kell székhellyel/lakóhellyel rendelkeznie, ahol azon érintettek lakóhelye található, akiknek a személyes adatait feldolgozzák a termékek vagy szolgáltatások érintettek számára történõ nyújtása keretében, vagy az érintettek akiknek a viselkedését nyomon követik követése történik.

(4)  A képviselő adatkezelő általi kijelölése nem érinti a magával az adatkezelővel szembeni keresetindításhoz való jogot. [Mód. 120]

26. cikk

Az adatfeldolgozó

(1)  Az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelő technikai és szervezési intézkedések és eljárások tekintetében kellő garanciákat nyújt oly módon, hogy a feldolgozás megfelel e rendelet követelményeinek, és biztosítja az érintett jogainak védelmét, különösen az elvégzendő feldolgozást szabályozó technikai biztonsági és szervezési intézkedések tekintetében, továbbá köteles biztosítani az említett intézkedések teljesítését.

(2)  Az adatfeldolgozó által történő adatfeldolgozást olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti,. Az adatkezelõ és az adatfeldolgozó szabadon határozzák meg e rendelet követelményeivel összefüggõ szerepeiket és feladataikat, ugyanakkor biztosítják, hogy az adatfeldolgozó és amely az adatfeldolgozó vonatkozásában különösen megköveteli:

a)  kizárólag az adatkezelő utasítása alapján járjon el, különösen, ha tilos a felhasznált személyes adatok továbbítása dolgozzon fel személyes adatokat, kivéve, ha az Unió vagy a tagállam jogszabályai másként rendelkeznek;

b)  csak olyan személyeket alkalmazzon, akik titoktartási kötelezettséget vállaltak, vagy törvényes titoktartási kötelezettség alatt állnak;

c)  megtegye a 30. cikk szerinti összes szükséges intézkedést;

d)  megállapítja másik adatfeldolgozót adatfeldolgozó kizárólag az adatkezelő előzetes engedélyével vegyen igénybe; történő igénybevételének feltételeit, kivéve, ha ezek megállapítása másként történik;

e)  amennyiben az adatfeldolgozás jellegére tekintettel lehetséges, az adatkezelővel kötött megállapodásban határozza meg az érintett III. fejezet szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolására irányuló adatkezelői kötelezettség teljesítéséhez szükséges teljesítésével összefüggõ megfelelõ és lényeges technikai és szervezési követelményeket;

f)  támogassa az adatkezelőt a 30–34. cikk szerinti kötelezettségek teljesítésében figyelembe véve az adatfeldolgozás jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)  az adatfeldolgozást követően adja át juttassa vissza az összes eredményt az adatkezelőnek, és a személyes adatokat más módon ne dolgozza fel és törölje a meglévõ másolatokat, kivéve, ha uniós vagy tagállami jogszabályok az adatok tárolását írják elõ;

h)  az e cikkben meghatározott kötelezettségek teljesítésének ellenőrzéséhez igazolásához szükséges minden tájékoztatást tegyen elérhetővé az adatkezelő és a felügyelő hatóság számára számára, és tegye lehetõvé a helyszíni vizsgálatot.

(3)  Az adatkezelő és az adatfeldolgozó írásba foglalja az adatkezelő utasításait és az adatfeldolgozó (2) bekezdés szerinti kötelezettségeit.

(3a)  Az (1) bekezdésben említett kellõ garanciák az e rendelet 38. vagy 39. cikke szerinti eljárási szabályzatok vagy tanúsítási mechanizmusok betartásával igazolhatók.

(4)  Amennyiben valamely adatfeldolgozó az adatkezelő utasításaitól eltérő módon dolgozza fel a személyes adatokat, vagy az adatfeldolgozás módját és céljait meghatározó féllé válik, az adatfeldolgozó e feldolgozás tekintetében adatkezelőnek minősül, és rá a közös adatkezelőkre vonatkozó, a 24. cikkben rögzített szabályokat kell alkalmazni.

(5)  A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti adatfeldolgozó felelősségére, kötelezettségeire és feladataira és a személyes adatoknak a vállalkozáscsoporton belül történő feldolgozásának megkönnyítésére, különösen az ellenőrzésre és jelentéstételre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 121]

27. cikk

Az adatkezelő és az adatfeldolgozó felügyelete mellett végzett feldolgozás

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó felügyelete alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt az uniós vagy nemzeti jog kötelezi.

28. cikk

Dokumentáció

(1)  Valamennyi adatkezelő és –feldolgozó, valamint – ha van ilyen – az adatkezelő képviselője dokumentálja a feladatkörébe tartozó összes feldolgozási műveletet. az e rendeletben meghatározott követelmények teljesítéséhez szükséges, rendszeresen frissített dokumentációt vezet.

(2)  A dokumentáció Emellett minden adatkezelõ és -feldolgozó dokumentálja legalább az alábbi információt tartalmazza információkat:

a)  az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó és – ha van ilyen – a képviselő neve és elérhetősége;

b)  az adatvédelmi tisztviselő neve és elérhetősége, ha van ilyen;

c)  az adatfeldolgozás céljai, beleértve az adatkezelő jogos érdekeit, amennyiben a feldolgozás a 6. cikk (1) bekezdésének f) pontján alapul;

d)  az érintettek kategóriáinak, valamint a rájuk vonatkozó személyes adatok kategóriáinak ismertetése;

e)  a személyes adatok címzettjei vagy címzetti kategóriái, beleértve a jogos érdekre hivatkozással a személyes adatokat megszerző adatkezelõk neve és elérhetõsége, ha vannak ilyenek; adatkezelőket;

f)  adott esetben az adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország és a nemzetközi szervezet azonosítását, valamint a 44. cikk (1) bekezdésének h) pontja szerinti esetekben a megfelelő biztosítékok igazolását;

g)  a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározása;

h)  a 22. cikk (3) bekezdésében említett mechanizmusok leírása.

(3)  Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kérelemre a felügyelő hatóság rendelkezésére bocsátja a dokumentációt.

(4)  Az (1) és (2) bekezdésben szereplő kötelezettségek nem vonatkoznak az alábbi adatkezelőkre és adatfeldolgozókra:

a)  kereskedelmi érdek nélkül személyes adatokat feldolgozó természetes személyek; vagy

b)  a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő tevékenységként dolgoz fel.

(5)  A Bizottság felhatalmazást kap arra, hogy – különösen az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselőjének feladataira tekintettel – az (1) bekezdés szerinti dokumentációra vonatkozó szempontok és követelmények további meghatározása érdekében, a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)  A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdés szerinti dokumentáció esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 122]

29. cikk

Együttműködés a felügyelő hatósággal

(1)  Az adatkezelő és – ha van ilyen – az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kötelezettségei teljesítése során – kérelemre – együttműködik a felügyelő hatósággal különösen azáltal, hogy rendelkezésre bocsátja az 53. cikk (2) bekezdésének a) pontja szerinti információt, és hozzáférést biztosít az említett bekezdés b) pontjának megfelelően.

(2)  A felügyelő hatóság 53. cikk (2) bekezdése szerinti hatáskörének gyakorlását követően az adatkezelő és az adatfeldolgozó a felügyelő hatóság által meghatározott ésszerű határidőn belül válaszol a felügyelő hatóságnak. A válasz tartalmazza a felügyelő hatóság észrevételeire válaszul meghozott intézkedések ismertetését és az elért eredményeket.[Mód. 123]

2.SZAKASZ

ADATBIZTONSÁG

30. cikk

Az adatfeldolgozás biztonsága

(1)  Az adatkezelő és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, , a 33. cikk szerinti adatvédelmi hatásvizsgálat eredményeit figyelembe véve végrehajtja a megfelelő technikai és szervezési intézkedéseket az adatfeldolgozás kockázatainak és a védendő személyes adatok jellegének megfelelő védelmi szint biztosítása érdekében.

(1a)  A technológiai fejlődés állására és a végrehajtás költségeire való tekintettel az ilyen biztonsági politika gondoskodik arról, hogy

a)  biztosítani lehessen a személyes adatok sértetlenségének igazolását;

b)  biztosítani lehessen a személyes adatokat feldolgozó rendszerek és szolgáltatások folyamatos bizalmas jellegét, integritását, elérhetőségét és rugalmasságát;

c)  az információs rendszerek és szolgáltatások rendelkezésre állását, integritását és bizalmas jellegét befolyásoló fizikai vagy műszaki probléma esetén kellő időben vissza lehessen állítani az adatok rendelkezésre állását és az azokhoz való hozzáférést;

d)  az érzékeny személyes adatok 8. és 9. cikk szerinti feldolgozása esetén további biztonsági intézkedések legyenek érvényben annak érdekében, hogy biztosítható legyen a kockázati helyzetekkel kapcsolatos tudatosság, valamint hogy az adatokra esetlegesen veszélyt jelentő sebezhetőség vagy esemény észlelése esetén szinte azonnal megelőző, korrekciós vagy enyhítő intézkedéseket lehessen hozni;

e)  a folyamatos hatékonyság biztosítása érdekében rendszeresen elvégezzék az alkalmazott biztonsági politikák, eljárások és tervek vizsgálatát, értékelését és hatékonyságának felmérését.

(2)  Az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően végrehajtja az (1) bekezdés szerinti intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése elleni védelme, valamint a feldolgozás jogellenes formáinak, különösen a személyes adatok jogosulatlan nyilvánosságra hozatalának, terjesztésének vagy az azokhoz való hozzáférésnek vagy azok megváltoztatásának megelőzése érdekében. intézkedések legalább

a)  biztosítják, hogy a személyes adatokhoz kizárólag a felhatalmazott alkalmazottak és kizárólag törvényesen engedélyezett céllal férhessenek hozzá;

b)  védik a tárolt vagy továbbított személyes adatokat azok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése vagy megváltoztatása, engedély nélküli vagy jogellenes tárolása, feldolgozása, közzététele, valamint az azokhoz való engedély nélküli vagy jogellenes hozzáférés ellen; továbbá

c)  biztosítják a személyes adatok feldolgozására vonatkozó biztonsági politika végrehajtását.

(3)  A Bizottság felhatalmazást Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) és (2) bekezdés szerinti technikai és szervezeti intézkedésekre ‑ beleértve a technika állásának meghatározását ‑, a konkrét ágazatokra és a különleges adatfeldolgozás helyzeteire vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, vonatkozóan figyelembe véve különösen a technológiai fejlődést és a beépített és az alapértelmezett adatvédelmi megoldásokat, kivéve ha a (4) bekezdést kell alkalmazni.

(4)  A Bizottság a szükséges esetekben végrehajtási jogi aktusok útján pontosan meghatározhatja az (1) és (2) bekezdés szerinti követelményeket a különböző helyzetek, így különösen:

a)  a személyes adatokhoz való jogosulatlan hozzáférés megelőzése;

b)  a személyes adatok jogosulatlan közlésének, olvasásának, másolásának, módosításának, törlésének vagy eltávolításának megelőzése;

c)  a feldolgozási műveletek törvényességi felülvizsgálatának biztosítása

tekintetében.

E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 124]

31. cikk

A felügyelő hatóság értesítése a személyes adatok megsértéséről

(1)  Az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül, amennyiben lehetséges a személyes adatok megsértéséről való tudomásszerzéstől számított 24 órán belül értesíti arról a felügyelő hatóságot a személyes adatok megsértéséről. A felügyelő hatóság értesítését írásbeli indokolással kell ellátni, amennyiben arra nem 24 órán belül került sor.

(2)  Az adatfeldolgozó a 26. cikk (2) bekezdése f) pontjának megfelelően a személyes adatok megsértésének megállapítását követően azonnal indokolatlan késedelem nélkül figyelmezteti és tájékoztatja az adatkezelőt.

(3)  Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza:

a)  a személyes adatok megsértésének ismertetése, beleértve az érintettek kategóriáit és számát, valamint az érintett adatok kategóriáit és számát;

b)  az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése;

c)  a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat;

d)  a személyes adatok megsértéséből fakadó következmények ismertetése;

e)  az adatkezelő által a személyes adatok megsértésének orvoslására vagy hatásának enyhítésére javasolt vagy tett intézkedések ismertetése.

A tájékoztatást szükség esetén több szakaszban is meg lehet adni.

(4)  Az adatkezelő dokumentál minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével. E dokumentációnak elégségesnek kell lennie ahhoz, hogy lehetővé kell tennie tegye a felügyelő hatóság számára az e cikkel és a 30. cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza.

(4a)  A felügyelő hatóság nyilvánosan hozzáférhető nyilvántartást vezet a bejelentett jogsértések típusairól.

(5)  A Bizottság felhatalmazást Az Európai Adatvédelmi Testület megbízást Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az (1) és (2) bekezdésben említett adatsértés és indokolatlan késedelem megállapítására, valamint és az adatkezelő és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.vonatkozóan.

(6)  A Bizottság meghatározhatja a felügyelő hatóságok ilyen értesítésének egységes formanyomtatványait, az értesítési követelmény teljesítése során alkalmazandó eljárásokat, valamint a (4) bekezdés szerinti dokumentáció formáját és szabályait, beleértve az abban tárolt információk törlésére vonatkozó határidőket is. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 126]

32. cikk

Az érintett értesítése a személyes adatok megsértéséről

(1)  Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek magánéletének védelmét, az adatkezelő a 31. cikk szerinti értesítést követően indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértéséről.

(2)  Az érintett (1) bekezdés szerinti értesítésének átfogónak kell lennie, és egyértelmû és egyszerû nyelvezettel kell készülnie. Ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 31. cikk (3) bekezdésének b) ), c) és d) pontjában előírt tájékoztatást és javaslatokat,valamint tájékoztatást kell adnia az érintett – többek között a jogorvoslathoz fûzõdõ – jogairól.

(3)  A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták az adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára.

(4)  Amennyiben az adatkezelő az érintettet még nem értesítette a személyes adatok megsértéséről, a felügyelő hatóság – az adatkezelő azon kötelezettségének sérelme nélkül, hogy az érintettet a személyes adatok megsértéséről értesítse – az adatsértés esetleges hátrányos hatásait mérlegelve felszólíthatja ennek megtételére.

(5)  A Bizottság felhatalmazást Az Európai Adatvédelmi Testület megbízást kap arra, hogy a 66. cikk (1) bekezdésének b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki a az személyes adatokat , a magánéletet, az érintett jogait vagy jogos érdekeit várhatóan hátrányosan érintő, az (1) bekezdés szerinti jogsértés körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.vonatkozóan.

(6)  A Bizottság meghatározhatja az érintett számára nyújtandó, az (1) bekezdés szerinti értesítés formátumát, valamint az említett értesítés alkalmazására vonatkozó eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 126]

32a. cikk

Kockázaelemzés

(1)  Az adatkezelõ vagy adott esetben az adatfeldolgozó elkészíti a tervezett adatfeldolgozásnak az érintettek jogaira és szabadságaira gyakorolt lehetséges hatásainak kockázatelemzését, felmérve, hogy feldolgozási mûveletei valószínûsíthetõen jelent e sajátos kockázatokat.

(2)  Valószínûsíthetõen ilyen különleges kockázatot jelentenek a következõ adatfeldolgozási mûveletek:

a)  bármely egymást követõ 12 hónapból álló idõszak során több mint 5000 érintett személyes adatainak feldolgozása;

b)  a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriái, a tartózkodási helyre utaló adatok, illetve a gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozása;

c)  profilalkotás, amelyre az érintett személy tekintetében joghatással bíró vagy az egyént hasonlóan jelentõs mértékben érintõ intézkedések épülnek;

d)  egészségügyi ellátás nyújtására, járványügyi kutatásokra vagy mentális vagy fertõzõ betegségekre irányuló felmérésekre vonatkozó személyes adatok feldolgozása, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor;

e)  a nyilvánosság számára hozzáférhetõ területek nagyarányú, automatizált nyomon követése;

f)  egyéb olyan feldolgozási mûveletek, amelyek vonatkozásában a 34. cikk (2) bekezdésének b) pontja értelmében konzultálni kell az adatvédelmi tisztviselõvel vagy a felügyelõ hatósággal.

g)  amennyiben a személyes adatok megsértése várhatóan hátrányosan érintené az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét;

h)  az adatkezelõ vagy -feldolgozó fõ tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerû nyomon követését igénylik.

i)  amennyiben a személyes adatokat olyan jelentõs számú személy számára teszik hozzáférhetõvé, amely ésszerûen elvárható módon nem korlátozható.

(3)  Amennyiben a kockázatelemzés eredményei alapján:

a)  a (2) bekezdés a) vagy b) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az Unión kívüli székhellyel rendelkezõ adatkezelõknek a 25. cikkben foglalt követelményekkel és mentességekkel összhangban ki kell jelölniük egy Unióban letelepedett képviselõt;

b)  a (2) bekezdés a), b) vagy h) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az adatkezelõnek a 35. cikkben foglalt követelményekkel és mentességekkel összhangban ki kell jelölnie egy adatvédelmi tisztviselõt;

c)  a (2) bekezdés a), b), c), d), e), f), g) vagy h) pontjában említett adatfeldolgozási mûveletek bármelyike áll fenn, az adatkezelõnek vagy az adatkezelõ nevében eljáró adatfeldolgozónak el kell végeznie a 33. cikk szerinti adatvédelmi hatásvizsgálatot;

d)  a (2) bekezdés f) pontjában említett adatfeldolgozási mûvelet áll fenn, az adatkezelõnek a 34. cikk szerint konzultálnia kell az adatvédelmi tisztviselõvel vagy – amennyiben adatvédelmi tisztviselõ kinevezésére nem került sor – a felügyelõ hatósággal.

(4)  A kockázatelemzést elvégzése után legkésőbb egy évvel vagy azonnal felül kell vizsgálni, ha az adatfeldolgozási műveletek jellegében, alkalmazási körében vagy rendeltetésében jelentős változás történik. Amennyiben a (3) bekezdés c) pontja alapján az adatkezelõ nem köteles adatvédelmi hatásvizsgálatot készíteni, a kockázatelemzést dokumentálni kell. [Mód. 127]

3.SZAKASZ

AZ ADATKEZELÉS TELJES IDÕTARTAMÁRA KITERJEDÕ ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES ENGEDÉLYEZÉS IRÁNYÍTÁS

33. cikk

Adatvédelmi hatásvizsgálat

(1)  Amennyiben az adatfeldolgozási műveletek jellegük, alkalmazási területük vagy céljaik tekintetében különleges kockázatot jelentenek a 32a. cikk (3) bekezdésének c) pontja alapján szükségesaz érintettek jogaira és szabadságaira nézve, az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó elvégzi e a tervezett adatfeldolgozási műveletek mûveleteknek az érintettek jogai és szabadságai, különösen a személyes adatok védelme védelméhez való joguk tekintetében várható hatásának vizsgálatát.Hasonló kockázatokat jelentõ hasonló adatfeldolgozási mûveletek esetében elegendõ egyetlen hatásvizsgálatot elvégezni.

(2)  Az (1) bekezdés szerinti különleges kockázatokat különösen a következő feldolgozási műveletek jelentik:

a)  a természetes személyre vonatkozó egyes személyes szempontok olyan módszeres és átfogó értékelése vagy különösen a természetes személy gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének olyan elemzése vagy előrejelzése, amelyre automatizált feldolgozáson alapul, és amelyre az érintett személy tekintetében joghatással bíró vagy az egyént jelentős mértékben érintő intézkedések épülnek;

b)  a szexuális életre, egészségre, fajra vagy etnikai származásra vagy az egészségügyi ellátás nyújtására, járványügyi kutatásokra vagy mentális vagy fertőző betegségekre irányuló felmérésekre vonatkozó információk, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor;

c)  a nyilvánosság számára hozzáférhető területek nyomon követése, különösen optikai-elektronikus eszközök nagyarányú alkalmazásával (videomegfigyelés);

d)  a gyermekekre, genetikus vagy biometrikus adatokra vonatkozó széleskörű nyilvántartási rendszerekben tárolt személyes adatok;

e)  egyéb olyan feldolgozási műveletek, amelyek vonatkozásában a 34. cikk (2) bekezdésének b) pontja értelmében konzultálni kell a felügyelő hatósággal.

(3)  A vizsgálat legalább a tervezett adatfeldolgozási műveletek általános leírását, az érintettek jogaira és szabadságaira vonatkozó kockázatok vizsgálatát, a kockázatok kezelésére tervezett intézkedéseket, a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló biztosítékokat, biztonsági intézkedéseket és mechanizmusokat tartalmazza, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit. kezelésének teljes időtartamára ki kell, hogy terjedjen, az adatgyűjtéstől kezdve az adatfeldolgozáson át az adatok törléséig. A hatásvizsgálatnak legalább a következõket tartalmaznia kell:

a)  a tervezett adatfeldolgozási mûveletek rendszeres leírását, a feldolgozás céljait és adott esetben az adatkezelõ által érvényesíteni kívánt jogos érdeket;

b)  az adatfeldolgozási mûveletek célokhoz viszonyított szükségességének és arányosságának vizsgálatát;

c)  az érintettek jogaira és szabadságaira vonatkozó kockázatok – köztük a hátrányos megkülönböztetés mûveletbe való beágyazásának vagy a mûvelet általi felerõsítésének kockázata – vizsgálatát;

d)  a kockázatok kezelésére, valamint a feldolgozott személyes adatok mennyiségének minimalizálására tervezett intézkedések leírását;

e)  a személyes adatok védelmét – például álnevesítés útján – és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevõ biztosítékok, biztonsági intézkedések és mechanizmusok felsorolását;

f)  a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározását;

g)  magyarázatot arról, hogy mely 23. cikk szerinti beépített és alapértelmezett adatvédelemi gyakorlatokat hajtották végre;

h)  a személyes adatok címzettjeinek, illetve a címzettek kategóriáinak felsorolását;

i)  adott esetben a harmadik országba vagy nemzetközi szervezet részére továbbítani tervezett adatok felsorolását, beleértve az adott harmadik ország vagy nemzetközi szervezet megnevezését,

j)  az adatfeldolgozás kereteinek vizsgálatát.

(3a)  Amennyiben az adatkezelõ vagy adatfeldolgozó adatvédelmi tisztviselõt jelölt ki, annak részt kell vennie a hatásvizsgálati eljárásban.

(3b)  A vizsgálatot dokumentálják, és a 33a. cikk (1) bekezdése értelmében rendszeres időszakos adatvédelmi megfelelőségi felülvizsgálatokat tartalmazó ütemtervet írnak elő. A vizsgálatot indokolatlan késedelem nélkül frissíteni kell, amennyiben a 33a. cikk alapján végzett adatvédelmi megfelelőségi felülvizsgálat eredményei megfelelőségi ellentmondásokat mutatnak. Az adatkezelõ és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelõ képviselõje kérelemre a felügyelõ hatóság rendelkezésére bocsátja a vizsgálatot.

(4)  Az adatkezelő a kereskedelmi érdekek vagy a közérdek védelme vagy a feldolgozási műveletek biztonságának sérelme nélkül kikéri az érintettek vagy képviselőik véleményét a tervezett adatfeldolgozásról.

(5)  Amennyiben az adatkezelő hatóság vagy szerv, és a feldolgozás a feldolgozási műveletek szabályairól és eljárásairól rendelkező 6. cikk (1) bekezdésének c) pontja szerinti jogi kötelezettségből következik, és azt az uniós jog szabályozza, az (1)–(4) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok szükségesnek tartják ilyen hatásvizsgálat elvégzését a feldolgozási tevékenységet megelőzően.

(6)  A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti, valószínűleg különleges kockázatokat jelentő feldolgozási műveletekre és a (3) bekezdés szerinti vizsgálat követelményeire – köztük a méretezhetőség, a felülvizsgálat és az ellenőrizhetőség követelményére – vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében

(7)  A Bizottság meghatározhatja a (3) bekezdés szerinti vizsgálat elvégzésére, felülvizsgálatára és ellenőrzésére vonatkozó egységes előírásokat és eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 129]

33a. cikk

Adatvédelmi megfelelõségi felülvizsgálat

(1)  Legkésõbb két évvel a 33. cikk (1) bekezdése szerint elvégzett hatásvizsgálatot követõen az adatkezelõ vagy az adatkezelõ nevében eljáró adatfeldolgozó megfelelõségi felülvizsgálatot végez. A megfelelõségi felülvizsgálatnak igazolnia kell, hogy a személyes adatok feldolgozása az adatvédelmi hatásvizsgálatnak megfelelõen történt.

(2)  A megfelelõségi felülvizsgálatot idõszakosan, legalább kétévente el kell végezni, illetve azonnali hatállyal, amennyiben az adatfeldolgozási mûveletekhez kapcsolódó meghatározott kockázatokban változás áll be.

(3)  Amennyiben a megfelelőségi felülvizsgálat eredményei megfelelőségi ellentmondásokat mutatnak, a megfelelőségi felülvizsgálatnak ajánlásokat kell tennie a teljes mértékű megfelelés elérésének módjára.

(4)  A megfelelőségi felülvizsgálatot, illetve annak javaslatait dokumentálják. Az adatkezelõ és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelõ képviselõje kérelemre a felügyelõ hatóság rendelkezésére bocsátja a megfelelõségi felülvizsgálatot.

(5)  Amennyiben az adatkezelõ vagy adatfeldolgozó adatvédelmi tisztviselõt jelölt ki, annak részt kell vennie a megfelelõségi felülvizsgálati eljárásban. [Mód. 130]

34. cikk

Előzetes engedélyezés és előzetes konzultáció

(1)  A tervezett feldolgozás e rendelettel való összhangjának biztosítása érdekében a személyes adatok feldolgozását megelőzően az adatkezelő vagy az adatfeldolgozó kéri a felügyelő hatóság engedélyét, különösen az érintettekre vonatkozó kockázatok csökkentése érdekében, ha az adatkezelő vagy az adatfeldolgozó a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeket alkalmaz, vagy a 42. cikk (5) bekezdésnek megfelelően nem nyújt megfelelő biztosítékokat egy jogilag kötelező eszközben a személyes adatok harmadik országokba vagy valamely nemzetközi szervezet részére történő továbbítása esetén.

(2)  Az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó a tervezett adatfeldolgozás és az e rendelet közötti összhang biztosítása, valamint különösen az érintettekre vonatkozó kockázatok csökkentése érdekében a személyes adatok feldolgozását megelőzően konzultál az adatvédelmi tisztviselõvel, vagy – amennyiben nem került sor adatvédelmi tisztviselõ kinevezésére a felügyelő hatósággal, amennyiben:

a)  a 33. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a feldolgozási műveletek jellegüknél, alkalmazási területüknél vagy céljaiknál fogva várhatóan magas szintű különleges kockázatot jelentenek; vagy

b)  az adatvédelmi tisztviselő, vagy a felügyelő hatóság szükségesnek tartja az olyan – a (4) bekezdés szerint meghatározott – adatfeldolgozási műveletekről szóló előzetes konzultációt, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva valószínűleg különleges kockázatot jelentenek az érintettek jogai és szabadságai tekintetében.

(3)  Amennyiben az illetékes a felügyelő hatóság jogkörével összhangban úgy határoz, hogy véleménye szerint a tervezett adatfeldolgozás nem áll összhangban e rendelettel, különösen, ha a kockázatokat elégtelen módon azonosították vagy csökkentették, megtiltja a tervezett adatfeldolgozást, és megfelelő javaslatot tesz az összhang helyreállítására.

(4)  A felügyelő hatóság Az Európai Adatvédelmi Testület megállapítja és nyilvánosságra hozza a (2) bekezdés b) pontja szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét. A felügyelő hatóság az említett jegyzéket közli az Európai Adatvédelmi Testülettel is.

(5)  Amennyiben a (4) bekezdés szerinti jegyzék olyan feldolgozási tevékenységeket foglal magában, amelyek termékek és szolgáltatások több tagállam érintettjei számára történő nyújtásához vagy viselkedésük nyomon követéséhez kapcsolódik, vagy lényeges hatással járhat a személyes adatok Unión belüli szabad áramlására, a felügyelő hatóság a jegyzék elfogadását megelőzően alkalmazza az 57. cikk szerinti egységességi mechanizmust.

(6)  Az adatkezelő vagy -feldolgozó kérelemre a felügyelő hatóság rendelkezésére bocsátja a 33. cikk által előírt szerinti adatvédelmi hatásvizsgálatot, valamint – kérelemre – az összes olyan egyéb információt, amely lehetővé teszi a felügyelő hatóság számára az adatfeldolgozás, valamint elsősorban az érintett személyes adatainak védelméhez fűződő kockázatok és a kapcsolódó biztosítékok közötti összhang vizsgálatát.

(7)  A tervezett adatfeldolgozás e rendelettel való összhangjának biztosítása és különösen az érintettekhez kapcsolódó kockázatok csökkentése érdekében a tagállamok konzultálnak a felügyelő hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedés előkészítése vagy az adatfeldolgozás jellegét meghatározó ilyen jogalkotási intézkedésen alapuló intézkedés előkészítése során.

(8)  A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés a) pontja szerinti különleges kockázatok magas szintjének meghatározására vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9)  A Bizottság egységes formanyomtatványokat és eljárásokat állapíthat meg az (1) és (2) bekezdés szerinti előzetes engedélyek és konzultációk, valamint a felügyelő hatóságok (6) bekezdés szerinti tájékoztatása esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 131]

4.SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

35. cikk

Az adatvédelmi tisztviselő kijelölése

(1)  Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)  a feldolgozást hatóság vagy állami szerv végzi; vagy

b)  a feldolgozást legalább 250 alkalmazottat foglalkoztató vállalkozás jogi személy végzi, , és az bármely egymást követõ 12 hónapból álló idõszak során 5000-nél kevesebb érintettre vonatkozik; vagy

c)  az adatkezelő vagy -feldolgozó fő tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű nyomon követését igénylik; vagy

d)  az adatkezelõ vagy -feldolgozó alapvetõ feladatai az adatok 9. cikk (1) bekezdése szerinti különleges kategóriái, tartózkodási helyre utaló adatok, illetve gyermekekre vagy munkavállalókra vonatkozó, széleskörû nyilvántartási rendszerekben tárolt adatok feldolgozását foglalják magukban.

(2)  Az (1) bekezdés b) pontja szerinti esetben A vállalkozások társulásai kijelölhetnek egy fõ felelõsséget viselõ adatvédelmi tisztviselõt, amennyiben gondoskodnak arról, hogy minden telephely számára rendelkezésre álljon egy könnyen elérhetõ adatvédelmi tisztviselõ jelölhetnek ki.

(3)  Amennyiben az adatkezelő vagy az adatfeldolgozó hatóság vagy állami szerv, az adatvédelmi tisztviselő több ilyen jogalany számára is kijelölhető, figyelemmel a hatóság vagy állami szerv szervezeti felépítésére.

(4)  Az (1) bekezdés szerintiektől eltérő esetekben az adatkezelő vagy -feldolgozó vagy az adatkezelők vagy -feldolgozók kategóriáit képviselő egyesületek és más szervek adatvédelmi tisztviselőt jelölhetnek ki.

(5)  Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 37. cikkben említett feladatok ellátására való alkalmasság alapján jelöli ki. A szakértői ismeretek szükséges szintjét kifejezetten az adatkezelő vagy -feldolgozó által végzett adatfeldolgozás, valamint az általuk feldolgozott személyes adatok tekintetében megkövetelt védelem határozza meg.

(6)  Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő minden egyéb szakmai kötelezettsége összeegyeztethető legyen az adott személy adatvédelmi tisztviselőként ellátandó feladataival és kötelezettségeivel, és nem eredményez összeférhetetlenséget.

(7)  Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt alkalmazott esetében legalább négy, külsõ szolgáltató esetében legalább két 2 éves időtartamra jelöli ki. Az adatvédelmi tisztviselő további időtartamra ismételten kijelölhető. Az adatvédelmi tisztviselőt hivatali ideje alatt csak akkor lehet felmenteni, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek.

(8)  Az adatvédelmi tisztviselő az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait.

(9)  Az adatkezelő vagy -feldolgozó közli az adatvédelmi tisztviselő nevét és elérhetőségét a felügyelő hatósággal és a nyilvánossággal.

(10)  Az érintettek az adataik feldolgozásához kapcsolódó valamennyi ügyben jogosultak kapcsolatba lépni az adatvédelmi tisztviselővel, és az e rendelet szerinti jogok gyakorlását kérni.

(11)  A Bizottság felhatalmazást kap arra, hogy az adatkezelő vagy -feldolgozó (1) bekezdés c) pontja szerinti fő tevékenységeire vonatkozó szempontok és követelmények, valamint az (5) bekezdés szerinti adatvédelmi tisztviselő szakképzettségével kapcsolatos feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 132]

36. cikk

Az adatvédelmi tisztviselő jogállása

(1)  Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelően és időben bekapcsolódjon.

(2)  Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatokat és kötelezettségeket függetlenül látja el, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy –feldolgozó felső vezetésének tesz jelentést. Az adatkezelõ vagy adatfeldolgozó e célra kijelöli a felsõ vezetés egy tagját, aki felelõsséget visel az e rendeletben foglalt rendelkezéseknek való megfelelésért.

(3)  Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt támogatja feladatai ellátásában, és biztosítja számára a 37. cikk szerinti feladatok és kötelezettségek végrehajtásához, valamint szakmai ismereteinek fenntartásához szükséges valamennyi eszközt, többek között szükséges személyzetet, helyiségeket, felszerelést és egyéb forrásokat.

(4)  Az adatvédelmi tisztviselőket titoktartás köti az érintettek személyazonosságával és az érintettek személyazonosságának meghatározásával kapcsolatos körülmények tekintetében, kivéve ha e kötelezettség alól őket az érintett mentesíti. [Mód. 133]

37. cikk

Az adatvédelmi tisztviselő feladatai

Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg:

a)  az adatkezelő vagy –feldolgozó részére különösen a technikai és szervezeti intézkedések és eljárások tekintetében az e rendeletnek megfelelő kötelezettségekkel kapcsolatos figyelemfelhívás, tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása;

b)  a személyes adatok védelmével kapcsolatos adatkezelői vagy -feldolgozói politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben résztvevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is;

c)  e rendelet végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az e rendelet szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében;

d)  a 28. cikk szerinti dokumentálás biztosítása;

e)  a személyes adatok megsértéséről szóló, a 31. és 32. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése;

f)  az adatkezelő vagy -feldolgozó által végzett adatvédelmi hatásvizsgálat és – szükség esetén – a 32a., 33. és 34. cikk szerinti előzetes engedélyezés vagy előzetes konzultáció alkalmazásának ellenőrzése;

g)  a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy az adatvédelmi tisztviselő saját kezdeményezésre – történő együttműködés;

h)  az adatfeldolgozással kapcsolatos ügyekben kapcsolattartás a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció.

i)  a rendeletnek a 34. cikkben megállapított előzetes konzultációs mechanizmus tekintetében való betartásának ellenőrzése;

j)  a munkavállalók képviselőinek tájékoztatása a munkavállalók adatainak feldolgozásáról.

(2)  A Bizottság felhatalmazást kap arra, hogy az adatvédelmi tisztviselő (1) bekezdés szerinti feladataira, képesítésére, jogállására, hatáskörére és forrásaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 134]

5.SZAKASZ

ELJÁRÁSI SZABÁLYZATOK ÉS TANÚSÍTÁS

38. cikk

Eljárási szabályzatok

(1)  A tagállamok, a felügyelő hatóságok és a Bizottság ösztönzik az e rendelet helyes végrehajtásának elősegítésére szánt eljárási szabályzatok kidolgozását vagy a felügyelő hatóság által kidolgozott eljárási szabályzatok elfogadását, figyelembe véve a különböző adatfeldolgozási ágazatok egyedi jellemzőit, különösen az alábbiak tekintetében:

a)  tisztességes és átlátható adatfeldolgozás;

aa)  a fogyasztók jogainak tiszteletben tartása;

b)  az adatgyűjtés;

c)  a nyilvánosság és az érintettek tájékoztatása;

d)  az érintettek jogainak gyakorlása során előterjesztett kérelmek;

e)  a gyermekek tájékoztatása és védelme;

f)  harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítás;

g)  az adatkezelőre vonatkozó szabályzatokkal való összhang nyomon követésére és biztosítására irányuló mechanizmusok;

h)  a személyes adatok vonatkozásában az adatkezelő és az érintettek közötti érdekellentétek megoldására irányuló peren kívüli eljárások és egyéb jogvita-rendezési eljárások, az érintettek 73. és 75. cikk szerinti jogainak sérelme nélkül.

(2)  Az eljárási szabályzatokat létrehozni vagy meglévő eljárási szabályzatokat módosítani szándékozó, az adatkezelők vagy -feldolgozók kategóriáit a tagállamok egyikében képviselő szövetségek vagy egyéb szervek véleményezésre előterjeszthetik azokat e tagállam felügyelő hatóságához. A felügyelő hatóság haladéktalanul véleményt adhat ad az eljárási szabályzat tervezetének tervezete vagy módosításának a módosítás szerinti feldolgozás e rendelettel való összhangjáról. A felügyelő hatóság kikéri az érintettek vagy képviselőik e tervezetekkel kapcsolatos véleményét.

(3)  Az adatkezelők vagy -feldolgozók kategóriáit több tagállamban képviselő szövetségek vagy egyéb szervek a Bizottság elé terjeszthetik eljárási szabályzatok tervezeteit és a létező eljárási szabályzatok módosításait vagy bővítéseit.

(4)  A Bizottság végrehajtási felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követően – felhatalmazáson alapuló jogi aktusokat fogadjon el a 86. cikkel összhangban annak eldöntésére vonatkozóan, aktusok útján határozhat arról, hogy a hozzá a (3) bekezdés szerint előterjesztett eljárási szabályzatok és a létező eljárási szabályzatok módosításai vagy bővítése összhangban vannak-e ezzel a rendelettel, valamint hogy általános érvénnyel bírnak bírnak-e az Unió területén. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.felhatalmazáson alapuló jogi aktusok érvényesíthető jogokkal ruházzák fel az érintetteket. [Mód. 135]

(5)  A Bizottság gondoskodik a (4) bekezdés szerint általánosan érvényesként elismert szabályzatok megfelelő nyilvánosságáról.

39. cikk

Tanúsítás

(1)  A tagállamok, valamint a Bizottság – különösen európai szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok és adatvédelmi címkék és jelzők létrehozását, amelyek segítségével az érintettek gyorsan fel tudják mérni az adatkezelő és az adatfeldolgozó által biztosított adatvédelem szintjét. Az adatvédelmi tanúsítási mechanizmusok hozzájárulnak e rendelet helyes alkalmazásához, figyelembe véve a különböző ágazatok és a különböző feldolgozási műveletek sajátos jellemzőit.

1a)  Bármely adatkezelő vagy adatfeldolgozó ésszerű, az adminisztratív költségeket figyelembe vevő díj ellenében bármely uniós felügyelő hatóságot felkérheti annak tanúsítására, hogy a személyes adatok feldolgozása e rendeletnek, különösen az 5., 23. és 30. cikkben foglalt elveknek, az adatkezelő és az adatfeldolgozó kötelezettségeinek és az érintettek jogainak megfelelően történik.

(1b)  A tanúsításnak önkéntesnek, megfizethetőnek, valamint – egy átlátható és indokolatlanul nagy terhekkel nem járó eljáráson keresztül – hozzáférhetőnek kell lennie.

(1c)  A felügyelő hatóságok és az Európai Adatvédelmi Testület az 57. cikk szerinti egységességi mechanizmus keretében együttműködnek egy összehangolt – többek között az Unión belül harmonizált díjakkal működő – adatvédelmi tanúsítási mechanizmus biztosítása érdekében.

(1d)  A tanúsítási eljárás során a felügyelő hatóság erre szakosodott, harmadik félként eljáró ellenőröket akkreditálhat arra, hogy nevében elvégezze az adatkezelő vagy adatfeldolgozó auditálását. A harmadik félként eljáró ellenőröknek megfelelően képzett személyzettel kell rendelkezniük, pártatlannak és feladataik tekintetében minden összeférhetetlenségtől mentesnek kell lenniük. Amennyiben okkal feltételezhető, hogy az ellenőr feladatát nem végzi el megfelelően, a felügyelő hatóság visszavonja az akkreditációt. A végleges tanúsítást a felügyelő hatóság végzi el.

(1e)  Az audit által tanúsított módon e rendeletnek megfelelő adatkezelőknek és adatfeldolgozóknak a felügyelő hatóságok megadják az „európai adatvédelmi címke” elnevezésű szabványos adatvédelmi jelzést.

(1f)  Az „európai adatvédelmi címke” mindaddig érvényes, amíg a tanúsított adatkezelő vagy adatfeldolgozó adatfeldolgozási műveletei maradéktalanul megfelelnek e rendeletnek.

(1g)  Az (1f) bekezdés ellenére a tanúsítvány legfeljebb öt évig érvényes.

(1h)  Az Európai Adatvédelmi Testület létrehoz egy nyilvános elektronikus nyilvántartást, amelyben a tagállamokban kibocsátott valamennyi érvényes és érvénytelen tanúsítvány nyilvánosan megtekinthető.

(1i)  Az Európai Adatvédelmi Testület saját kezdeményezésére tanúsíthatja, hogy valamely adatvédelmet fokozó műszaki szabvány megfelel e rendeletnek.

(2)  A Bizottság felhatalmazást kap arra, hogy az (1) Európai Adatvédelmi Testület véleményének kikérését és az érdekelt felekkel, különösen az iparággal és a nem kormányzati szervezetekkel folytatott konzultációt követően – az (1a)–(1h) bekezdés szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó szempontok és követelmények – beleértve az odaítélés és a megvonás feltételeire, valamint az Unión belül és harmadik országokban való elismerés és előmozdítás követelményeire vonatkozó feltételeket is ‑ további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. . E felhatalmazáson alapuló jogi aktusok érvényesíthető jogokkal ruházzák fel az érintetteket.

(3)  A Bizottság meghatározhatja a tanúsítási mechanizmusok és az adatvédelmi címkék és jelzők technikai szabványait, valamint a tanúsítási mechanizmusokat és az adatvédelmi címkéket és jelzőket ösztönző és elismerő mechanizmusokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 136]

V. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

40. cikk

Az adattovábbításra vonatkozó általános elv

A feldolgozásra kerülő vagy a harmadik országokba vagy nemzetközi szervezet részére történő továbbítás után feldolgozásra szánt személyes adatok továbbítása csak abban az esetben megengedett, ha – e rendelet egyéb rendelkezéseire is figyelemmel – az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket, köztük a személyes adatoknak a harmadik országból vagy nemzetközi szervezettől egy további harmadik ország vagy további nemzetközi szervezet részére történő továbbítására vonatkozó feltételeket is.

41. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)  Akkor kerülhet sor adattovábbításra, ha a Bizottság megállapítja, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges további különleges engedély.

(2)  A védelmi szint megfelelőségét a Bizottság a következő tényezők figyelembevételével mérlegeli:

a)  a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, valamint e jogszabály végrehajtása, a foglalkozási szabályok, valamint az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések, precedensértékű jogesetek, továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai;

b)  a szóban forgó harmadik országban vagy nemzetközi szervezetben többek között elegendő szankcionálási jogkörrel rendelkező és az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá

c)  a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai, , különösen a személyes adatok védelmével kapcsolatos, jogilag kötelező erejű egyezmények vagy okmányok.

(3)  A Bizottság határozhat felhatalmazást kap arra, hogy a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít biztosít-e. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. felhatalmazáson alapuló jogi aktusok, amennyiben az adatfeldolgozó ágazatot érintik, hatályvesztésre vonatkozó rendelkezést tartalmaznak, és az (5) bekezdéssel összhangban visszavonandók, amennyiben az e rendelet szerinti megfelelő szintű adatvédelem többé nem biztosított.

(4)  A végrehajtási felhatalmazáson alapuló jogi aktus pontosan rögzíti saját földrajzi területi és ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot.

(4a)  A Bizottság folyamatosan nyomon követi a (2) bekezdésben felsorolt elemeket esetlegesen érintő fejleményeket azon harmadik országokban és nemzetközi szervezetekben, amelyek vonatkozásában a (3) bekezdés szerint felhatalmazáson alapuló jogi aktust fogadott el.

(5)  A Bizottság határozhat felhatalmazást kap arra, hogy a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít vagy többé már nem biztosít az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon, az Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással vagy – az egyének vonatkozásában személyes adatok védelméhez való jogukra tekintettel rendkívüli sürgősséget igénylő esetekben – a 87. cikk (3) bekezdése szerinti eljárással összhangban kell elfogadni.

(6)  Amennyiben a Bizottság az (5) bekezdés szerint határoz, úgy a 42–44. cikk sérelme nélkül tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére. A Bizottság megfelelő időben konzultációt konzultációkat kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására.

(6a)  A Bizottság – a (3) vagy (5) bekezdés szerinti felhatalmazáson alapuló jogi aktus elfogadását megelőzően – felkéri az Európai Adatvédelmi Testületet, hogy adjon véleményt a védelmi szint megfelelőségéről. A Bizottság e célból biztosítja az Európai Adatvédelmi Testület számára az összes szükséges dokumentációt, köztük a harmadik országgal, harmadik ország régiójával vagy adatfeldolgozó ágazatával, illetve nemzetközi szervezettel folytatott levélváltást.

(7)  A Bizottság az Európai Unió Hivatalos Lapjában és annak weboldalán közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított.

(8)  A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése vagy 26. cikkének (4) bekezdése alapján elfogadott határozatok továbbra ise rendelet hatálybalépését követően öt évig maradnak hatályban maradnak azoknak kivéve, ha ezen időszak lejárta előtt a Bizottság általi módosításáig, felváltásáig módosítja, felváltja vagy hatályon kívül helyezéséig helyezi azokat. [Mód. 137]

42. cikk

Adattovábbítás megfelelő biztosítékok alapján

(1)  Amennyiben a Bizottság nem hoz a 41. cikk értelmében határozatot, vagy úgy határoz, hogy valamely harmadik ország, illetve e harmadik ország valamely régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosítja a megfelelő szintű védelmet a 41. cikk (5) bekezdésének megfelelően, az adatkezelő vagy -feldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a személyes adatok védelme tekintetében az adatkezelő vagy -feldolgozó megfelelő biztosítékokat nyújt jogilag kötelező eszköz útján.

(2)  Az (1) bekezdés szerinti megfelelő biztosítékokat különösen az alábbiak jelentik:

a)  a 43. cikk szerinti kötelező erejű vállalati szabályok; vagy

aa)  az adatkezelő és a címzett számára a 39. cikk (1e) bekezdésével összhangban kiadott érvényes „európai adatvédelmi címke” vagy

b)  a Bizottság által elfogadott általános adatvédelmi előírások. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni; vagy

c)  az 57. cikk szerinti egységességi mechanizmusnak megfelelően a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek, amennyiben azokat a Bizottság a 62. cikk (1) bekezdésének b) pontja szerint általánosan érvényesnek nyilvánítja; vagy

d)  az adatkezelő vagy -feldolgozó és az adat címzettje között létrejött, a felügyelő hatóság által a (4) bekezdéssel összhangban engedélyezett szerződéses feltételek.

(3)  A (2) bekezdés a), aa) vagy b) c) pontja szerinti egységes adatvédelmi feltételeken, „európai adatvédelmi címkén” vagy kötelező erejű vállalati szabályokon alapuló továbbítás esetében nincs szükség további különleges engedélyre.

(4)  Amennyiben a továbbítás az e cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeken alapul, az adatkezelő vagy -feldolgozó a 34. cikk (1) bekezdésének a) pontja értelmében előzetesen engedélyezteti a szerződéses feltételeket a felügyelő hatósággal. Amennyiben a továbbítás más tagállam vagy tagállamok érintettjeire vonatkozó feldolgozási tevékenyéghez kapcsolódik, vagy lényegesen érinti a személyes adatok Unión belüli szabad áramlását, a felügyelő hatóság alkalmazza az 57. cikk szerinti egységességi mechanizmust.

(5)  Amennyiben a személyes adatok védelmére jogilag kötelező eszközben nem nyújtanak megfelelő biztosítékokat, az adatkezelőnek vagy -feldolgozónak előzetes engedélyt kell szerezni az adattovábbításra, adattovábbításokra vagy azon rendelkezésekre vonatkozóan, amelyeket az ilyen adattovábbítás alapját képező közigazgatási megállapodásba kell iktatni. A felügyelő hatóság ilyen engedélyének meg kell felelnie a 34. cikk (1) bekezdése a) pontjának. Amennyiben az adattovábbítás olyan feldolgozási tevékenységekkel kapcsolatos, amelyek másik tagállamban vagy tagállamokban található érintettekre vonatkoznak, vagy lényegesen érintik a személyes adatok szabad mozgását az Unióban, a felügyelő hatóság az 57. cikk szerinti egységességi mechanizmust alkalmazza. A felügyelő hatóságnak a 95/46/EK irányelv 26. cikkének (2) bekezdésén alapuló engedélyei e rendelet hatálybalépését követően két évig maradnak hatályban , kivéve, ha ezen időszak lejárta előtt maradnak mindaddig, amíg azokat a felügyelő hatóság nem módosítja, felváltja nem váltja fel vagy nem helyezi hatályon kívül helyezi azokat. [Mód. 138]

43. cikk

Adattovábbítás kötelező erejű vállalati szabályok alapján

(1)  A felügyelő hatóság az 58. cikkben meghatározott egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, feltéve hogy azok

a)  jogilag kötelező érvényűek, és az adatkezelő vagy -feldolgozó vállalkozáscsoportjának minden tagjára és azoknak – a kötelező erejű vállalati szabályok hatálya alá tartozó – alvállalkozóira tekintettel alkalmazandók és végrehajthatók, beleértve az alkalmazottakat is;

b)  kifejezetten elismerik az érintettek érvényesíthető jogait;

c)  megfelelnek a (2) bekezdés szerinti követelményeknek.

(1a)  A munkaviszonnyal összefüggő adatok tekintetében a munkavállalók képviselőit tájékoztatni kell, és az uniós vagy tagállami jogszabályokkal és gyakorlatokkal összhangban be kell vonni a 43. cikk szerinti kötelező erejű vállalati szabályok összeállításába

(2)  A kötelező erejű vállalati szabályok meghatározzák legalább az alábbiakat:

a)  a vállalkozáscsoport és tagjai, valamint a kötelező erejű vállalati szabályok hatálya alá tartozó alvállalkozói struktúrája és elérhetősége;

b)  az adatok továbbítása vagy továbbítássorozata, beleértve a személyes adatok kategóriáit, a feldolgozás fajtáját és céljait, az érintettek fajtáit és a kérdéses harmadik ország vagy országok azonosítását;

c)  belső és külső tekintetben jogilag kötelező jellegük;

d)  az általános adatvédelmi elvek, különösen a célhoz kötöttség, az adatminimalizálás, a korlátozott adattárolási időszakok, az adatminőség, a beépített és az alapértelmezett adatvédelem, a feldolgozás jogalapja, az érzékeny személyes adatok feldolgozása, az adatbiztonságot biztosító intézkedések; az adatbiztonságot biztosító intézkedések;valamint az olyan szervezetekhez irányuló továbbítás feltételei, amelyeket nem kötnek a politikák;

e)  az érintettek jogai és e jogok gyakorlásának módjai, beleértve a 20. cikk szerinti profilalkotáson alapuló intézkedések alóli mentesülés jogát, a 75. cikk értelmében vett panasz benyújtásának jogát a hatáskörrel rendelkező felügyelő hatósághoz és a tagállamok illetékes bíróságaihoz, és a jogorvoslathoz való jogot, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogot;

f)  a valamely tagállamban létrehozott adatkezelő vagy -feldolgozó felelősségének elismerése a kötelező erejű vállalati szabályoknak a vállalkozáscsoport nem az Unióban létrehozott bármely tagja által történő megsértéséért; az adatkezelő vagy az adatfeldolgozó részben vagy egészben kizárólag abban az esetben mentesül e felelősség alól, ha bizonyítja, hogy az érintett tag a kárt okozó eseményért nem felelős;

g)  a 11. cikk értelmében miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokról, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekről szóló információt;

h)  a 35. cikk érelmében kijelölt adatvédelmi tisztviselő feladatai, beleértve a vállalkozáscsoporton belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követését;

i)  a vállalkozáscsoporton belül a kötelező erejű vállalati szabályokkal való összhang ellenőrzésének biztosítására irányuló mechanizmusok;

j)  a politikák változásainak jelentésére és rögzítésére és e változások felügyelő hatóság felé történő bejelentésére irányuló mechanizmusok;

k)  a felügyelő hatósággal való együttműködés mechanizmusai a vállalkozáscsoport bármely tagjával való összhang biztosítása érdekében, különösen azáltal, hogy a felügyelő hatóság számára elérhetővé teszik az e bekezdés i) pontja szerinti intézkedések ellenőrzésének eredményeit.

(3)  A Bizottság felhatalmazást kap arra, hogy az e cikk szerinti kötelező erejű vállalati szabályokra szabályok és különösen azok elfogadására, e szabályok elfogadása, ezen belül az érintettek számára biztosított átláthatóság, a (2) bekezdés b), d), e) és f) pontjának az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokra történő alkalmazására alkalmazása és az érintettek személyes adatai védelmének biztosításáravonatkozó szempontok és követelmények biztosítása – formátumának, eljárásainak, szempontjainak és követelményeinek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)  A Bizottság meghatározhatja az adatkezelők, feldolgozók és felügyelő hatóságok között az e cikk szerinti kötelező erejű vállalati szabályokra vonatkozó, elektronikus formában történő információcsere formátumát és eljárásait. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 139]

43a. cikk

Az uniós jog által nem továbbítás és közlés

(1)  A kérelmező harmadik ország és az Unió vagy egy tagállama között létrejött, hatályban lévő kölcsönös jogsegélyszerződések és nemzetközi megállapodások sérelme nélkül, semmilyen módon nem ismerhető el és nem hajtható végre harmadik ország bíróságának vagy törvényszékének olyan ítélete, valamint közigazgatási hatóságának olyan határozata, amely valamely adatkezelő vagy -feldolgozó számára személyes adatok közlését írja elő.

(2)  Amennyiben valamely harmadik ország bíróságának vagy törvényszékének ítélete, illetve közigazgatási hatóságának határozata személyes adatok közlésére kéri az adatkezelőt vagy -feldolgozót, az adatkezelő vagy -feldolgozó, valamint – ha van ilyen – az adatkezelő képviselője haladéktalanul értesíti a kérésről a felügyelő hatóságot, és a 34. cikkel összhangban megszerzi a felügyelő hatóságnak a továbbításra vagy közlésre vonatkozó előzetes engedélyét.

(3)  A felügyelő hatóság értékeli a kért közlés e rendeletnek való megfelelését, és különösen azt, hogy a közlés szükséges-e és jogilag megfelel-e a 44. cikk (1) bekezdésének d) és e) pontjában, valamint (5) bekezdésében meghatározott előírásoknak. Amennyiben ez más tagállamok érintettjeire is hatással van, a felügyelő hatóság az 57. cikkben említett egységességi mechanizmust alkalmazza.

(4)  A felügyelő hatóság tájékoztatja a kérelemről az illetékes nemzeti hatóságot. A 21. cikk sérelme nélkül az adatkezelő vagy adatfeldolgozó az érintettet is tájékoztatja a kérésről és a felügyelő hatóság engedélyéről, és adott esetben a 14. cikk ha) pontjának megfelelően tájékoztatja az érintettet arról, hogy az elmúlt egymást követő 12 hónapos időszakban sor került-e személyes adat hatóság számára történő átadására. [Mód. 140]

44. cikk

Eltérések

(1)  A 41. cikk értelmében vett megfelelőségi határozat, illetve a 42. cikk szerinti megfelelő biztosítékok hiányában a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy továbbítássorozatára csak azzal a feltétellel kerülhet sor, hogy:

a)  az érintett hozzájárulását adta a tervezett továbbításhoz, miután tájékoztatták az ilyen továbbításnak a megfelelőségről szóló határozat és a megfelelő biztosítékok hiányából fakadó kockázatairól; vagy

b)  a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy

c)  a továbbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy

d)  a továbbítás fontos közérdekből szükséges; vagy

e)  a továbbítás jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges; vagy

f)  a továbbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy

g)  a továbbítást olyan nyilvántartásból végzik, amely az uniós vagy nemzeti jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben az uniós vagy nemzeti jog által a betekintésre megállapított feltételek az adott esetben teljesülnek; vagy

h)  a továbbítás az adatkezelő vagy -feldolgozó jogos érdekében szükséges, amely nem minősíthető gyakorinak vagy tömegesnek, amennyiben az adatkezelő vagy -feldolgozó az adattovábbítás vagy az adattovábbítás-sorozat minden körülményét megvizsgálta, és e vizsgálat alapján szükség szerint megfelelő biztosítékokat hozott létre a személyes adatokra tekintettel.

(2)  Az (1) bekezdés g) pontja szerinti továbbítás nem érinti a nyilvántartásban szereplő személyes adatok összességét vagy a személyes adatok kategóriáinak összességét. Amennyiben a nyilvántartás a jogos érdekkel rendelkező személyekkel való egyeztetésre szolgál, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek.

(3)  Amennyiben a feldolgozás az (1) bekezdés h) pontján alapul, az adatkezelő vagy -feldolgozó különös figyelmet fordít az adatok jellegére, a tervezett feldolgozási művelet vagy műveletek céljára és időtartamára, valamint a kiindulási ország, a harmadik ország és a célország szerinti helyzetre, valamint szükség szerint a személyes adatok védelme tekintetében biztosított megfelelő biztosítékokra.

(4)  Az (1) bekezdés b), c) és h) pontja nem alkalmazható a hatóságok által közhatalmi jogosultságaik gyakorlása során végzett tevékenységekre.

(5)  Az (1) bekezdés d) pontjában hivatkozott közérdeket el kell ismernie az uniós jognak vagy azon tagállam jogának, amely az adatkezelőre vonatkozik.

(6)  Az adatkezelő vagy -feldolgozó a 28. cikk szerinti dokumentációban dokumentálja a vizsgálatot és az e cikk (1) bekezdésének h) pontja szerinti, létrehozott megfelelő biztosítékokat, és a továbbításról értesíti a felügyelő hatóságot.

(7)  A Bizottság felhatalmazást Az Európai Adatvédelmi Testület megbízást kap arra, hogy a „fontos közérdek” 66. cikk (1) bekezdésének b) pontjával összhangban (1) bekezdés d) pontja szerinti fogalma, valamint az (1) bekezdés h) pontja szerinti megfelelő biztosítékokra vonatkozó alapján iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az adattovábbításokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 141]

45. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

(1)  A Bizottság és a felügyelő hatóságok megfelelő lépéseket tesznek a harmadik országok és nemzetközi szervezetek tekintetében, annak érdekében, hogy:

a)  a személyes adatok védelméről szóló jogszabályok érvényesítésének egyszerűsítését biztosítását célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki; [Mód. 142]

b)  a személyes adatok védelméről szóló jogszabályok érvényesítésében – a személyes adatok védelme és a többi alapvető jog és szabadság megfelelő biztosítása mellett –, többek között értesítés, panaszok kivizsgálása, vizsgálati segítségnyújtás és információátadás útján biztosítsák a kölcsönös nemzetközi segítségnyújtást;

c)  az érintett érdekelteket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítésében további együttműködést célzó párbeszédbe és tevékenységekbe;

d)  előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását.

da)  harmadik országokkal elõforduló joghatósági összeütközések tisztázása és azokkal kapcsolatos konzultáció. [Mód. 143]

(2)  Az (1) bekezdés céljai érdekében a Bizottság megfelelő lépéseket tesz a harmadik országokkal és nemzetközi szervezetekkel – különösen azok felügyelő hatóságaival – való kapcsolat fejlesztésére, amennyiben úgy határozott, hogy azok a 41. cikk (3) bekezdése értelmében megfelelő védelmi szintet biztosítanak.

45a. cikk

A Bizottság jelentése

A Bizottság legkésõbb a 91. cikk (1) bekezdésében említett idõponttól számított négy évtõl kezdve rendszeres idõközönként jelentést nyújt be az Európai Parlamentnek és a Tanácsnak a 40. és 45. cikk alkalmazásáról. E célból a Bizottság tájékoztatást kérhet a tagállamoktól és a felügyelõ hatóságoktól, amely információkat késedelem nélkül meg kell adni. A jelentést közzéteszik. [Mód. 144]

VI. FEJEZET

FÜGGETLEN FELÜGYELŐ HATÓSÁGOK

1.SZAKASZ

FÜGGETLEN JOGÁLLÁS

46. cikk

A felügyelő hatóság

(1)  Minden tagállam rendelkezik arról, hogy a természetes személyeket személyes adataik feldolgozásával kapcsolatban megillető alapvető jogok és szabadságok védelme, valamint a személyes adatok Unión belüli szabad áramlásának egyszerűsítése érdekében egy vagy több hatóság feladata, hogy e rendelet alkalmazását ellenőrizze és azok következetes alkalmazásához az Unió egész területén hozzájáruljon. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(2)  Amennyiben valamely tagállamban egynél több felügyelő hatóságot hoznak létre, ez a tagállam kijelöli azt a felügyelő hatóságot, amelyik az e hatóságok Európai Adatvédelmi Testületben való hatékony részvétele érdekében egyedüli kapcsolattartóként működik, és létrehozza azokat a mechanizmusokat, amelyek az 57. cikk szerinti egységességi mechanizmusra vonatkozó szabályokkal együtt biztosítják az összhangot a többi hatósággal.

(3)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az e fejezet szerint elfogadott nemzeti jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

47. cikk

Függetlenség

(1)  A felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlása során teljesen függetlenül és pártatlanul jár el, az e rendelet VII. fejezete szerinti együttmûködési és egységességi megállapodások sérelme nélkül. [Mód. 145]

(2)  A felügyelő hatóság tagjai feladatkörük ellátása során senkitől nem kérhetnek, és nem fogadhatnak el utasítást.

(3)  A felügyelő hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt nem vállalhatnak egyéb – akár kereső, akár ingyenesen végzett – összeférhetetlen szakmai tevékenységet.

(4)  A felügyelő hatóság tagjai hivatali idejük leteltét követően a kinevezések és előnyök elfogadása tekintetében feddhetetlenül és tartózkodóan járnak el.

(5)  Minden tagállam biztosítja, hogy a felügyelő hatóság számára rendelkezésre bocsátja a feladat- és hatáskörei, köztük a kölcsönös segítségnyújtás, együttműködés és az Európai Adatvédelmi Testületben való részvétel ellátásához szükséges megfelelő emberi, műszaki és pénzügyi forrásokat, helyiségeket és infrastruktúrát.

(6)  Minden tagállam biztosítja, hogy a felügyelő hatóság saját személyzettel rendelkezzen, amelyet a felügyelő hatóság vezetése nevez ki és irányít.

(7)  A tagállamok biztosítják, hogy a felügyelő hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy a felügyelő hatóság elkülönített éves költségvetéssel rendelkezik. A költségvetést közzé kell tenni.

(7a)  Az egyes tagállamok biztosítják, hogy a felügyelõ hatóság csak költségvetési ellenõrzési okokból legyen elszámoltatható a nemzeti parlament felé. [Mód. 146]

48. cikk

A felügyelő hatóság tagjaira vonatkozó általános feltételek

(1)  A tagállamok előírják, hogy a felügyelő hatóság tagjait az érintett tagállam parlamentje vagy kormánya nevezi ki.

(2)  A tagokat olyan személyek közül kell kiválasztani, akiknek függetlenségéhez nem fér kétség, és akik már bizonyították a személyesadat-védelem területén ellátandó feladatkörhöz szükséges tapasztalataikat és képességeiket.

(3)  A tag feladatköre a hivatali idő lejártával, lemondással vagy felmentéssel szűnik meg, az (5) bekezdésnek megfelelően.

(4)  A tagot az illetékes nemzeti bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(5)  Amennyiben a hivatali idő lejár, vagy a tag lemond, a tag mindaddig ellátja feladatköreit, amíg új tagot nem neveznek ki.

49. cikk

A felügyelő hatóság létrehozására vonatkozó szabályok

E rendelet keretein belül valamennyi tagállam jogszabályban rendelkezik a következőkről:

a)  a felügyelő hatóság létrehozása és jogállása;

b)  a felügyelő hatóság tagjai feladatköreinek ellátásához szükséges végzettség, tapasztalat és készségek;

c)  a felügyelő hatóság tagjainak kinevezésére vonatkozó szabályok és eljárások, valamint a hivatali feladatkörökkel összeférhetetlen tevékenységekre és foglalkozásokra vonatkozó szabályok;

d)  a felügyelő hatóság tagjai megbízatásának időtartama, amely legalább négy év, kivéve az e rendelet hatálybalépését követő első kinevezést, amely rövidebb ideig tarthat, amennyiben ez a felügyelő hatóság függetlenségének lépcsőzetes kinevezési eljárás révén aló megőrzéséhez szükséges;

e)  a felügyelő hatóság tagjainak esetleges ismételt kinevezhetősége;

f)  a felügyelő hatóság tagjainak és alkalmazottainak feladatköreire vonatkozó szabályok és általános feltételek;

g)  a felügyelő hatóság tagjai megbízatásának megszűnésére vonatkozó szabályok és eljárások, beleértve azt az esetet, ha már nem tesznek eleget a kötelezettségek végrehajtásához szükséges feltételeknek, vagy ha súlyos kötelezettségszegést követtek el.

50. cikk

Szakmai titoktartás

A felügyelő hatóság tagjait és személyzetét a hivatalos feladataik – e rendelet értelmében független és átlátható módon történõ – ellátása során tudomásukra jutott bármely bizalmas információk tekintetében – a nemzeti jogszabályokkal és gyakorlattal összhangban – hivatali idejük alatt és annak leteltét követően is szakmai titoktartási kötelezettség terheli. [Mód. 147]

2.SZAKASZ

FELADATOK ÉS HATÁSKÖRÖK

51. cikk

Illetékesség

(1)  Minden egyes felügyeleti hatóság a saját államának területén illetékes az e rendelet alapján ráruházott hatáskörök és feladatok gyakorlására a 73. és 74. cikk sérelme nélkül. A hatóságok általi adatfeldolgozást kizárólag az adott tagállam felügyelő hatóságok a rájuk ruházott hatásköröket a tagállamuk területén e rendeletnek megfelelően gyakorolják.hatósága felügyeli. [Mód. 148]

(2)  Amennyiben a személyes adatok feldolgozására az Unióban létrehozott adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben kerül sor, és az adatkezelő vagy -feldolgozó egynél több tagállamban telepedett le, az adatkezelő vagy -feldolgozó minden tagállamban végzett feldolgozási tevékenységének felügyeletére az adatkezelő vagy -feldolgozó fő szervezete szerinti felügyelő hatóság illetékes, az e rendelet VII. fejezetében foglalt rendelkezések sérelme nélkül. [Mód. 149]

(3)  A felügyelő hatóság hatásköre nem terjed ki a bíróságok által igazságszolgáltatási feladataik körében végzett adatfeldolgozási műveletek felügyeletére.

52. cikk

Feladatkörök

(1)  A felügyelő hatóság:

a)  ellenőrzi és biztosítja e rendelet alkalmazását;

b)  foglalkozik az érintett vagy az érintetteket képviselő valamely szervezet által a 74. 73cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve a szervezetet ésszerű időn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekről és eredményekről, különösen ha további vizsgálat vagy egy másik felügyelő hatósággal való együttműködés válik szükségessé; [Mód. 150]

c)  megosztja az információkat más felügyelő hatóságokkal, kölcsönös segítséget nyújt más felügyelő hatóságok számára, és biztosítja e rendelet következetes alkalmazását és érvényesítését;

d)  saját kezdeményezés, panasz, állítólagos jogellenes adatfeldolgozásról kapott, dokumentumokkal alátámasztott konkrét bejelentés vagy egy másik felügyelő hatóság megkeresése alapján vizsgálatot folytat le, és ésszerű határidőn belül tájékoztatja a vizsgálat eredményéről, amennyiben az emelt panaszt a felügyelő hatóság előtt; [Mód. 151]

e)  figyelemmel kíséri a személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információtechnológia és a hírközlési technológia, valamint a kereskedelmi gyakorlatok fejlődését;

f)  egyeztet a tagállami intézményekkel és szervekkel a személyes adatok feldolgozásához fűződő egyéni jogok és szabadságok védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

g)  engedélyezi konzultál a 34. cikk szerinti feldolgozási műveletekről;

h)  véleményezi a 38. cikk (2) bekezdése szerinti eljárási szabályzatok tervezeteit;

i)  jóváhagyja a 43. cikk szerinti kötelező erejű vállalati szabályokat;

j)  részt vesz az Európai Adatvédelmi Testület tevékenységeiben.

ja)  a 39. cikk szerint tanúsítja az adatkezelõket és -feldolgozókat; [Mód. 152]

(2)  Valamennyi felügyelő hatóság előmozdítja a polgárok tudatosságát a személyes adatok feldolgozásával kapcsolatos védelmére vonatkozó kockázatok, szabályok, biztosítékok és jogok, valamint a személyes adatok védelmére irányuló megfelelõ intézkedések tekintetében. Különös figyelmet kell fordítani a különösen a gyermekekre irányuló tevékenységekre. [Mód. 153]

(2a)  Valamennyi felügyelő hatóság az Európai Adatvédelmi Testülettel együtt az adatkezelők és -feldolgozók esetében fokozza a tudatosságot a személyes adatok védelmével kapcsolatos kockázatokat, szabályokat, biztosítékokat és jogokat illetően. Ez kiterjed a szankciók és jogsértések nyilvántartására is. A nyilvántartásba minél részletesebben be kell jegyezni valamennyi figyelmeztetést és szankciót, illetve a jogsértések rendezését. Valamennyi felügyelő hatóság – kérésre – a mikro-, kis- és középvállalkozások formájában működő adatkezelők és -feldolgozók rendelkezésére bocsátja az e rendelet szerinti feladataikra és kötelezettségeikre vonatkozó általános információkat.

(3)  A felügyelő hatóság kérelemre valamennyi érintettnek tanácsokat ad az e rendelet szerinti jogaik gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyelő hatóságaival.

(4)  Az (1) bekezdés b) pontja szerinti panaszok vonatkozásában a felügyelő hatóság – a kommunikáció más módjainak kizárása nélkül – a panasz benyújtásához szükséges, elektronikus úton kitölthető formanyomtatványt bocsát rendelkezésre.

(5)  A felügyelő hatóság az érintett vonatkozásában térítésmentesen látja el feladatait.

(6)  Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, a felügyelő hatóság ésszerű díjat számíthat fel, vagy visszautasíthatja az érintett által kért intézkedés megtételét. A díj nem haladhatja meg a kért intézkedés meghozatalával kapcsolatban felmerült költségeket. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem egyértelműen túlzó. [Mód. 155]

53. cikk

Hatáskörök

(1)  Valamennyi felügyelő hatóság – e rendelettel összhangban – hatáskörrel rendelkezik arra, hogy:

a)  a személyesadat-feldolgozást szabályozó rendelkezések állítólagos megsértése esetén értesítse az adatkezelőt vagy az adatfeldolgozót, és szükség esetén felhívja az adatkezelőt vagy -feldolgozót a rendelkezés megsértésének orvoslására, különös esetben pedig az érintettek védelmének javítására, vagy arra utasítsa az adatkezelõt, hogy közölje a személyes adatok megsértését az érintettel;

b)  elrendelje az érintett e rendelet szerinti jogainak gyakorlására vonatkozó kérelmének adatkezelő vagy adatfeldolgozó általi teljesítését;

c)  felhívja az adatkezelőt és az adatfeldolgozót, és – szükség esetén – a képviselőt a feladatai gyakorlásához szükséges tájékoztatás nyújtására;

d)  biztosítsa a 34. cikk szerinti előzetes engedélyezéssel és előzetes konzultációval való összhangot;

e)  figyelmeztesse vagy elmarasztalja az adatkezelőt vagy -feldolgozót;

f)  elrendelje bármely adat helyesbítését, törlését vagy megsemmisítését, amennyiben annak feldolgozása e rendelet rendelkezéseinek megsértésével történt, és elrendelje azon harmadik személyek ilyen intézkedésről történő értesítését, akikkel az adatot közölték;

g)  elrendelje az adatfeldolgozás átmeneti vagy végleges tilalmát;

h)  felfüggessze a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlást;

i)  véleményt adjon bármilyen, a személyes adatok védelmével kapcsolatos kérdésről;

ia)  a 39. cikk szerint tanúsítsa az adatkezelőket és -feldolgozókat;

j)  tájékoztassa bármilyen, a személyes adatok védelmével kapcsolatos kérdésről a nemzeti parlamenteket, a kormányt vagy más politikai intézményt, valamint a nyilvánosságot,

ja)  vezessen be hatékony mechanizmusokat az e rendelet megsértésére vonatkozó bizalmas jelentések ösztönzésére, figyelembe véve az Európai Adatvédelmi Testület által a 66. cikk (4b) bekezdése értelmében kibocsátott útmutatót.

(2)  Valamennyi felügyelő hatóság vizsgálati hatáskörrel rendelkezik arra, hogy előzetes értesítés nélkül:

a)  az adatkezelőtől vagy -feldolgozótól a feladatainak teljesítéséhez szükséges valamennyi személyes adatba, dokumentumba és információba betekintést nyerjen;

b)  az adatkezelő vagy -feldolgozó bármely helyiségébe belépjen, beleértve minden adatfeldolgozó eszközhöz és módhoz való hozzáférést, amennyiben alapos indokok alapján feltételezhető, hogy ott e rendelet megsértésével járó tevékenység zajlik.

A b) pontban meghatározott hatásköröket az uniós joggal és a tagállami joggal összhangban kell gyakorolni.

(3)  Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy felhívja az igazságszolgáltatási hatóságok figyelmét e rendelet megsértésére, és részt vegyen a bírósági eljárásokban, különösen a 74. cikk (4) bekezdésének és a 75. cikk (2) bekezdésének megfelelően.

(4)  Valamennyi felügyelő hatóság jogkörrel rendelkezik arra, hogy szankciókat alkalmazzon a közigazgatási szabálysértésekkel szemben, különösen a 79. cikk (4), (5) és (6) bekezdése szerinti esetekben.cikkel összhangban. E jogkört hatékony, arányos és visszatartó erejû módon gyakorolják. [Mód. 156]

54. cikk

A tevékenységről szóló jelentés

Valamennyi felügyelő hatóságnak éves legalább kétévente jelentést kell készítenie a tevékenységéről. A jelentést a nemzeti az illetékes parlamentnek kell benyújtani és elérhetővé kell tenni a nyilvánosság, a Bizottság és az Európai Adatvédelmi Testület számára. [Mód. 157]

54a. cikk

Fő hatóság

(1)  Amennyiben a személyes adatok feldolgozására az Unióban létrehozott adatkezelõ vagy -feldolgozó tevékenységeivel összefüggésben kerül sor, és az adatkezelõ vagy -feldolgozó egynél több tagállamban telepedett le, illetve amennyiben több tagállam lakosainak személyes adatait dolgozzák fel, az adatkezelõ vagy -feldolgozó fõ szervezete szerinti felügyelõ hatóság (fő hatóság) látja el valamennyi tagállamban az adatkezelõ vagy -feldolgozó feldolgozási tevékenységének felügyeletét, e rendelet VII. fejezetével összhangban.

(2)  A fő hatóság csak az összes, az 51. cikk (1) bekezdése szerinti illetékes felügyelõ hatósággal konszenzus elérése érdekében folytatott egyeztetés után teszi meg a szükséges intézkedéseket a felelõsségi körébe tartozó adatkezelõ vagy -feldolgozó feldolgozási tevékenységének felügyeletére vonatkozóan. E célból különösen minden lényeges információt megad és konzultál más hatóságokkal azelõtt, hogy az 51. cikk (1) bekezdése szerinti adatkezelõvel vagy -feldolgozóval szemben joghatás kiváltására szolgáló intézkedést fogadna el. A fõ hatóság a lehetõ legmesszebbmenõkig figyelembe veszi az érintett hatóságok véleményeit. A fõ hatóság kap egyedül felhatalmazást arra, hogy határozzon a felelõsségi körébe tartozó adatkezelõk vagy -feldolgozók feldolgozási tevékenységére vonatkozó, joghatás kiváltására szolgáló intézkedésekrõl.

(3)  Az Európai Adatvédelmi Testület – valamely illetékes hatóság kérelmére – véleményt bocsát ki az adatkezelõért vagy -feldolgozóért felelõs fõ hatóság megállapítására vonatkozóan, amennyiben:

a)  az ügy körülményeibõl nem egyértelmû, hol található az az adatkezelõ vagy -feldolgozó fõ szervezete; vagy

b)  az illetékes hatóságok nem értenek egyet abban, hogy mely felügyelõ hatóság járjon el fõ hatóságként; vagy

c)  az adatkezelõ az Unióban nem letelepedett, és az e rendelet hatálya alá tartozó adatfeldolgozási mûveletek különbözõ tagállamok lakosait érintik.

(3a)  Amennyiben az adatkezelõ egyben adatfeldolgozó tevékenységeket is végez, az adatkezelõ fõ szervezetének felügyelõ hatósága jár el a feldolgozó tevékenységek felügyeletét ellátó fõ hatóságként.

(4)  Az Európai Adatvédelmi Testület dönthet a fõ hatóság megállapításáról. [Mód. 158]

VII. FEJEZET

EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG

1.SZAKASZ

EGYÜTTMŰKÖDÉS

55. cikk

Kölcsönös segítségnyújtás

(1)  A felügyelő hatóságok kölcsönösen releváns információkat és segítséget nyújtanak egymásnak e rendelet következetes végrehajtása és alkalmazása érdekében, valamint az egymással való hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsősorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az előzetes engedélyezés, konzultáció, ellenõrzés és vizsgálat folytatására vonatkozó kérelmek, valamint az ügyek megindításáról és a későbbi fejleményekről való haladéktalan tájékoztatás, amennyiben az adatkezelõ vagy -feldolgozó több tagállamban letelepedett vagy amennyibena feldolgozási műveletek várhatóan több tagállamban letelepedett érintettre is kiterjednek. Az 54a. cikkben meghatározott fő hatóság biztosítja a koordinációt az érintett felügyelő hatóságok között, és az adatkezelő vagy -feldolgozó tekintetében egyetlen kapcsolattartóként jár el. [Mód. 159]

(2)  Minden felügyelő hatóság megteszi az összes szükséges intézkedést a valamely másik felügyelő hatóságtól érkezett megkeresés haladéktalan és legkésőbb a megkeresés beérkezésétől számított egy hónapon belüli megválaszolása érdekében. Az ilyen intézkedések kiterjedhetnek különösen a releváns információk továbbítására a vizsgálat során, illetve az e rendelettel ellentétes adatfeldolgozási műveletek megszüntetését vagy tilalmát foganatosító végrehajtási intézkedésekre

(3)  A segítségnyújtás iránti kérelem minden szükséges információt tartalmaz, beleértve a megkeresés célját és indokait. A kicserélt információk kizárólag a kérelemben meghatározott ügy vonatkozásában használhatók fel.

(4)  A segítségnyújtás iránti kérelemmel megkeresett felügyelő hatóság nem tagadhatja meg annak teljesítését, kivéve ha:

a)  nem rendelkezik hatáskörrel a kérelem tekintetében; vagy

b)  a kérelem teljesítése összeegyeztethetetlen e rendelet rendelkezéseivel.

(5)  A megkeresett felügyelő hatóság tájékoztatja a megkereső felügyelő hatóságot az eredményekről, vagy adott esetben az elért előrelépésről vagy a megkereső felügyelő hatóság kérelmének teljesítése érdekében hozott intézkedésekről.

(6)  A felügyelő hatóságok elektronikus úton, a lehető legrövidebb időn belül, egységes formanyomtatvány használatával bocsátják rendelkezésre a más felügyelő hatóságok által kért információt.

(7)  A kölcsönös segítségnyújtás iránti kérelem nyomán megtett intézkedések térítésmentesek.

(8)  Amennyiben valamely felügyelő hatóság a másik felügyelő hatóság megkeresésétől számított egy hónapon belül nem intézkedik, a megkereső felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a saját tagállama területén, és az ügyet az 57. cikkben meghatározott eljárásnak megfelelően az Európai Adatvédelmi Testület elé terjeszti. Amennyiben nincs lehetőség végleges intézkedésre, mivel a segítségnyújtás még nem fejeződött be, a megkereső felügyelő hatóság az 53. cikk alapján a saját tagállamának területén ideiglenes intézkedéseket tehet. [Mód. 161]

(9)  A felügyelő hatóság meghatározza az ilyen ideiglenes intézkedés érvényességi idejét. Ez az időszak nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról az 57. cikkben meghatározott eljárás szerint. [Mód. 162]

(10)  A Bizottság Az Európai Adatvédelmi Testület meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formátumát és eljárásait és a felügyelő hatóságok közötti, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus úton történő információcserére vonatkozó szabályokat, továbbá különösen a (6) bekezdésben említett egységes formanyomtatványokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 163]

56. cikk

A felügyelő hatóságok közös műveletei

(1)  Az együttműködés és a kölcsönös segítségnyújtás fokozása érdekében a felügyelő hatóságok közös vizsgálati feladatokat, közös végrehajtási intézkedéseket és egyéb olyan közös műveleteket hajtanak végre, amelyekben egy másik tagállam felügyelő hatóságának kijelölt tagjai vagy munkatársai vesznek részt.

(2)  Amennyiben az adatkezelő vagy -feldolgozó több tagállamban letelepedett, vagy amennyiben az adatfeldolgozási műveletek valószínűleg több tagállambeli érintettre hatnak ki, mindegyik szóban forgó tagállam felügyelő hatósága részt vehet – az esettől függően – a közös vizsgálati feladatokban, vagy a közös műveletekben. Az illetékes felügyelő 54a. cikkben meghatározott fõ hatóság felkérheti bevonja az összes említett tagállam felügyelő hatóságát, hogy vegyenek részt az adott közös vizsgálati feladatokban,feladatokba ,vagy a közös műveletekben mûveletekbe, valamint haladéktalanul válaszoljanak a válaszol egy adott felügyelő hatóság műveletekben való részvételre irányuló megkeresésére. A fő hatóság az adatkezelő vagy -feldolgozó tekintetében egyetlen kapcsolattartóként jár el. [Mód. 164]

(3)  Fogadó felügyelő hatóságként és saját nemzeti jogával összhangban, valamint a kirendelő felügyelő hatóság engedélyével, minden egyes felügyelő hatóság végrehajtó hatáskörrel – beleértve a vizsgálati feladatokat – ruházhatja fel a kirendelő felügyelő hatóság közös műveletben részt vevő tagját vagy munkatársát, vagy – amennyiben a fogadó felügyelő hatóság joga azt lehetővé teszi – engedélyezheti a kirendelő felügyelő hatóságok tagjai vagy munkatársai számára, hogy gyakorolják végrehajtó hatáskörüket a kirendelő felügyelő hatóság jogának megfelelően. Az ilyen végrehajtó hatáskört kizárólag a fogadó felügyelő hatóság felügyelete mellett és főszabály szerint annak tagjai vagy munkatársai jelenlétében lehet gyakorolni. A kirendelő felügyelő hatóság tagjai vagy munkatársai a fogadó felügyelő hatóság nemzeti jogának hatálya alá tartoznak. A fogadó felügyelő hatóság felelősséggel tartozik tevékenységükért.

(4)  A felügyelő hatóságok meghatározzák a konkrét együttműködési cselekmények gyakorlati szempontjait.

(5)  Amennyiben a felügyelő hatóság egy hónapon belül nem tesz eleget a (2) cikkben meghatározott kötelezettségének, a többi felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a tagállamának területén.

(6)  A felügyelő hatóság meghatározza az (5) bekezdés szerinti ideiglenes intézkedés érvényességének időtartamát. Ez az időtartam nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti ezen intézkedésekről és azok teljes indokolásáról az Európai Adatvédelmi Testületet és a Bizottságot, és előterjeszti az ügyet az 57. cikk szerinti mechanizmus keretében.

2.SZAKASZ

EGYSÉGESSÉG

57. cikk

Egységességi mechanizmus

A 46. cikk (1) bekezdése céljából a felügyelő hatóságok az e szakaszban meghatározott – általános érvényű ügyekben és egyedi esetekben egyaránt – e szakasz rendelkezéseivel összhangban egységességi eljárás révén együttműködnek egymással és a Bizottsággal. [Mód. 165]

58. cikkAz Európai Adatvédelmi Testület véleménye

Egységesség az általános érvényû ügyekben

(1)  A (2) bekezdés szerinti intézkedés elfogadását megelőzően a felügyelő hatóság értesíti az Európai Adatvédelmi Testületet és a Bizottságot az intézkedés tervezetéről.

(2)  Az (1) bekezdésben meghatározott kötelezettség olyan, joghatást kiváltó intézkedésekre alkalmazandó, amely:

a)  olyan feldolgozási tevékenységekre vonatkozik, amelyek termékek és szolgáltatások más tagállamok érintettjei részére történő nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódnak; vagy

b)  lényeges hatással jár a személyes adatok Unión belüli szabad áramlására; vagy

c)  a 34. cikk (5) bekezdése szerinti előzetes konzultáció hatálya alatt álló feldolgozási műveletek jegyzékének elfogadására irányul; vagy

d)  a 42. cikk (2) bekezdésének c) pontja szerinti egységes adatvédelmi feltételek meghatározására irányul; vagy

e)  a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételek engedélyezésére irányul; vagy

f)  a 43. cikk értelmében vett kötelező erejű vállalati szabályok jóváhagyására irányul.

(3)  Bármely felügyelő hatóság vagy az Európai Adatvédelmi Testület kérheti bármely általános érvényû ügy egységességi mechanizmus keretében való kezelését, különösen akkor, ha a felügyelő hatóság nem nyújtja be a (2) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk értelmében a kölcsönös segítségnyújtásra vonatkozó kötelezettségét, vagy az 56. cikk értelmében a közös műveletekre vonatkozó kötelezettségét.

(4)  E rendelet helyes és következetes alkalmazásának biztosítása érdekében a Bizottság kérheti bármely általános érvényû ügy egységességi mechanizmus keretében való kezelését.

(5)  A felügyelő hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formanyomtatvány segítségével közli a vonatkozó információkat, beleértve a tények összefoglalását, az intézkedéstervezetet, valamint az ilyen intézkedés elrendelésének szükségességét igazoló indokokat.

(6)  Az Európai Adatvédelmi Testület elnöke elektronikus úton, egységes formanyomtatvány segítségével azonnal indokolatlan késedelem nélkül értesíti az Európai Adatvédelmi Testület tagjait és a Bizottságot a beérkezett vonatkozó információkról. Az Európai Adatvédelmi Testület elnöke titkársága szükség esetén gondoskodik a vonatkozó információk fordításáról.

(6a)  Az Európai Adatvédelmi Testület véleményt fogad el a (2) bekezdésben említett ügyekrõl.

(7)  Az Európai Adatvédelmi Testület a vonatkozó információk (5) bekezdés szerinti megküldését követő egy héten belül tagjai egyszerű többségével meghozott saját kezdeményezésre vagy valamely felügyelő hatóság vagy a Bizottság kérésére véleményezi az ügyet. A véleményt az Európai Adatvédelmi Testület tagjainak egyszerű többségével kell elfogadni egy hónapon belül. Az Európai Adatvédelmi Testület elnöke haladéktalanul értesíti a véleményről – az esettől függően – az (1) és (3) bekezdésben említett felügyelő hatóságot, a Bizottságot és az 51. cikk szerint illetékes felügyelő hatóságot , és nyilvánosságra hozza azt Hatóság egyszerû többség alapján dönthet arról, hogy a (3) és (4) bekezdés szerint benyújtott bármely ügyet véleményezi-e, a következõket figyelembe véve:

a)  tartalmaz-e új elemeket az ügy, tekintettel jogi vagy ténybeli fejleményekre, különösen az információtechnológia területén, és az információs társadalom fejlõdésének fényében; továbbá

b)  ugyanebben az ügyben bocsátott-e már ki véleményt az Európai Adatvédelmi Testület.

(8)  Az (1) bekezdés szerinti, és az 51. cikk szerint illetékes felügyelő hatóság figyelembe veszi az Európai Adatvédelmi Testület véleményét, és az Európai Adatvédelmi Testület elnökének tájékoztatása vagy a vélemény beérkezését követő két héten belül, elektronikus úton, egységes formanyomtatvány segítségével értesíti az Európai Adatvédelmi Testület elnökét és a Bizottságot az intézkedéstervezet fenntartásáról vagy módosításáról, valamint adott esetben megküldi a módosított intézkedéstervezetet. Az Európai Adatvédelmi Testület a (6a) és a (7) bekezdések szerint a tagok egyszerû többségével fogadja el a véleményeket. A véleményeket nyilvánosságra kell hozni. [Mód. 166]

58a. cikk

Egységesség az egyedi ügyekben

(1)  Az (54a) bekezdés értelmében joghatás kiváltására szolgáló intézkedés elfogadása elõtt a fõ hatóság megosztja az összes releváns információt és az intézkedés tervezetét benyújtja az összes többi illetékes hatóságnak. A fõ hatóság nem fogadja el a véleményt, ha az illetékes hatóság – három héten belül – jelzi, hogy komoly fenntartásai vannak az intézkedéssel szemben.

(2)  Amennyiben az illetékes hatóság jelezte, hogy komoly fenntartásai vannak a fõ hatóság intézkedéstervezetével szemben, vagy a fõ hatóság nem nyújt be az (1) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk szerinti kölcsönös segítségnyújtásra vagy az 56. cikk szerinti közös mûveletekre vonatkozó kötelezettségét, az ügyet az Európai Adatvédelmi Testület vitatja meg.

(3)  A fõ hatóság és/vagy más érintett illetékes hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formanyomtatvány segítségével közli az Európai Adatvédelmi Testülettel az összes releváns információt, beleértve a tények összefoglalását, az intézkedéstervezetet, az ilyen intézkedés elrendelésének szükségességét igazoló indokokat, az intézkedéssel szemben emelt kifogásokat és más illetékes felügyelõ hatóságok álláspontját.

(4)  Az Európai Adatvédelmi Testület – figyelembe véve a fõ hatóság intézkedéstervezetének hatását és az érintettek alapvetõ jogait és szabadságait – megfontolja az ügyet, és a tagok egyszerû többségével dönt arról, hogy véleményezze-e az ügyet a vonatkozó információk rendelkezésre bocsátásától számított két héten belül, a (3) bekezdésnek megfelelõen.

(5)  Amennyiben az Európai Adatvédelmi Testület úgy dönt, hogy véleményt fogad el, ezt hat héten belül kell megtennie, és a véleményt nyilvánosságra kell hoznia.

(6)  A fõ hatóság a messzemenõen figyelembe veszi az Európai Adatvédelmi Testület véleményét, és az Európai Adatvédelmi Testület elnökének tájékoztatása vagy a vélemény beérkezését követõ két héten belül, elektronikus úton, egységes formanyomtatvány segítségével értesíti az Európai Adatvédelmi Testület elnökét és a Bizottságot az intézkedéstervezet fenntartásáról vagy módosításáról, valamint adott esetben megküldi a módosított intézkedéstervezetet. Amennyiben a fõ hatóság nem szándékozik követni az Európai Adatvédelmi Testület véleményét, erre vonatkozóan megalapozott indokolással szolgál.

(7)  Amennyiben az Európai Adatvédelmi Testület még mindig kifogásolja a felügyelõ hatóság (5) bekezdésben említett intézkedését, egy hónapon belül kétharmados többséggel a felügyelõ hatóságra nézve kötelezõ erejû intézkedést fogadhat el. [Mód. 167]

59. cikk

A Bizottság véleménye

(1)  A kérdés 58. cikk szerinti felmerülésétől számított tíz héten belül, vagy a 61. cikk esetében legkésőbb hat héten belül a Bizottság e rendelet helyes és következetes alkalmazása érdekében véleményt fogadhat el az 58. vagy a 61. cikk értelmében felmerült kérdésekkel kapcsolatban.

(2)  Amennyiben a Bizottság az (1) bekezdés értelmében véleményt fogad el, az érintett felügyelő hatóság a lehető legkiemeltebb figyelmet fordítja a Bizottság véleményére, és értesíti a Bizottságot és az Európai Adatvédelmi Testületet arról, hogy fenntartja vagy módosítja-e az intézkedéstervezetet.

(3)  Az (1) bekezdésben megjelölt időszakban a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet.

(4)  Amennyiben az érintett felügyelő hatóság nem kívánja követni a Bizottság véleményét, az (1) bekezdésben megjelölt időn belül indokolás mellett értesíti erről a Bizottságot és az Európai Adatvédelmi Testületet. Ebben az esetben az intézkedéstervezetet további egy hónapig nem lehet elfogadni. [Mód. 168]

60. cikk

Az intézkedéstervezet felfüggesztése

(1)  Az 59. cikk (4) bekezdése szerinti értesítést követő egy hónapon belül, valamint ha a Bizottság komolyan kételkedik abban, hogy az intézkedés e rendelet helyes alkalmazását szolgálja, vagy más módon vezet következetlen alkalmazáshoz, a Bizottság indokolással ellátott határozatban kötelezheti a felügyelő hatóságot az intézkedéstervezet elfogadásának felfüggesztésére, figyelembe véve az Európai Adatvédelmi Testületnek az 58. cikk (7) bekezdése vagy a 61. cikk (2) bekezdése szerinti véleményét, amennyiben az szükségesnek tűnik az alábbiak szempontjából:

a)  a felügyelő hatóság és az Európai Adatvédelmi Testület ellentmondó álláspontjainak összehangolása, amennyiben ez még lehetséges; vagy

b)  a 62. cikk (1) bekezdésének a) pontja szerinti intézkedés elfogadása.

(2)  A Bizottság meghatározza a felfüggesztés időtartamát, amely nem haladhatja meg a 12 hónapot.

(3)  A (2) bekezdésben megjelölt időszakon belül a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet. [Mód. 169]

60a. cikk

Az Európai Parlament és a Tanács értesítése

A Bizottság az Európai Adatvédelmi Testület elnökének jelentése alapján rendszeres idõközönként, legalább félévente tájékoztatja az Európai Parlamentet és a Tanácsot az egységességi mechanizmus keretében kezelt ügyekrõl, és közzéteszi a Bizottság és az Európai Adatvédelmi Testület által az e rendelet egységes végrehajtásának és alkalmazásának biztosítására vonatkozóan levont következtetéseket. [Mód. 170]

61. cikk

Sürgősségi eljárás

(1)  Kivételes körülmények között, amennyiben a felügyelő hatóság megállapítja, hogy sürgős intézkedésre van szükség az érintettek védelme érdekében, különösen amennyiben fennáll a veszélye annak, hogy valamely érintett jogának érvényesítését lényeges mértékben korlátozza a fennálló állapot megváltoztatása, vagy amennyiben lényeges hátrányok merülnek fel, vagy más okok miatt, az 58. 58a.cikk szerinti eljárásoktól eltérően azonnal ideiglenes, meghatározott érvényességi idejű intézkedéseket fogad el. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról. [Mód. 171]

(2)  Amennyiben a felügyelő hatóság az (1) bekezdés szerint intézkedést hozott és megállapítja, hogy sürgősen szükség van végleges intézkedések elfogadására, sürgős véleményt kérhet az Európai Adatvédelmi Testülettől, a vélemény indokainak és a végleges intézkedések sürgősségére vonatkozó indokok bemutatása mellett.

(3)  Az érintettek érdekeinek védelme érdekében – a sürgős véleménykérés indokainak és az intézkedés sürgős szükségességének bemutatása mellett – bármely felügyelő hatóság kérheti vélemény meghozatalát, ha az illetékes felügyelő hatóság nem hozta meg a megfelelő intézkedéseket a sürgős intézkedést igénylő helyzetekben.

(4)  Az 58. cikk (7) bekezdésétől eltérően az e cikk (2) és (3) bekezdésében hivatkozott sürgős véleményt az Európai Adatvédelmi Testület tagjai egyszerű többséggel, két héten belül fogadják el. [Mód. 172]

62. cikk

Végrehajtási jogi aktusok

(1)  A Bizottság – az Európai Adatvédelmi Testület véleményének kikérését követõen – általános érvényû végrehajtási aktusokat fogad el:

a)  e rendelet helyes alkalmazásáról való döntés érdekében, összhangban annak céljaival és előírásaival, a felügyelő hatóságok által az 58. vagy a 61. cikk értelmében közölt olyan kérdésekkel kapcsolatban, amelyek vonatkozásában a 60. cikk (1) bekezdése szerinti indokolással ellátott véleményt fogadtak el, vagy olyan kérdésekkel kapcsolatban, amelyek vonatkozásában egy felügyelő hatóság nem terjesztett elő intézkedéstervezetet és e felügyelő hatóság jelezte, hogy nem szándékozik követni a Bizottság 59. cikk alapján elfogadott véleményét;

b)  az 59. cikk (1) bekezdésben megjelölt határidőn belül annak eldöntésére, hogy az 58. a 42. cikk (2) bekezdésének d) pontja szerinti egységes adatvédelmi feltételeket általánosan érvényesnek tekinti‑e;

c)  az e szakaszban hivatkozott egységességi mechanizmus alkalmazása formátumának és eljárásainak meghatározása érdekében;

d)  a felügyelő hatóságok, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus információcserére, különösen az 58. cikk (5), (6) és (8) bekezdése szerinti egységes formanyomtatványra vonatkozó szabályozás meghatározása érdekében.

E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére.

(2)  Az (1) bekezdés a) pontja szerinti, az érintettek érdekeire vonatkozó kellően indokolt rendkívül sürgős esetekben a Bizottság a 87. cikk (3) bekezdése szerinti eljárással összhangban azonnali hatállyal alkalmazandó végrehajtási jogi aktusokat fogad el. E végrehajtási jogi aktusok hatálya nem haladhatja meg a 12 hónapot.

(3)  Az e szakasz szerinti intézkedés hiánya vagy elfogadása nem érinti a Bizottság Szerződések szerinti egyéb intézkedéseit. [Mód. 173]

63. cikk

Végrehajtás

(1)  E rendelet alkalmazásában valamely tagállam felügyelő hatóságának végrehajtható intézkedését minden érintett tagállamban végre kell hajtani.

(2)  Amennyiben valamely felügyelő hatóság az 58. cikk (1)–(5) (1)–(2) bekezdésének megsértésével nem nyújt be intézkedéstervezetet az egységességi mechanizmus számára, , vagy az 58a. cikk (1) bekezdése szerinti komoly ellenvetés jelzése ellenére fogad el intézkedést, a felügyelő hatóság intézkedése nem tekinthető jogerősnek és végrehajthatónak. [Mód. 174]

3.SZAKASZ

az Európai Adatvédelmi testület

64. cikk

Az Európai Adatvédelmi Testület

(1)  Létrejön az Európai Adatvédelmi Testület.

(2)  Az Európai Adatvédelmi Testület minden tagállam egy felügyelő hatóságának vezetőjéből és az európai adatvédelmi biztosból áll.

(3)  Amennyiben valamely tagállamban egynél több felügyelő hatóság felelős az e rendelet értelmében elfogadott rendelkezések alkalmazásának ellenőrzéséért, közös képviselőként kinevezik e felügyelő hatóságok egyikének vezetőjét.

(4)  A Bizottság részt vehet az Európai Adatvédelmi Testület tevékenységében és ülésein, és képviselőt jelöl ki. Az Európai Adatvédelmi Testület elnöke haladéktalanul értesíti a Bizottságot az Európai Adatvédelmi Testület valamennyi tevékenységéről.

65. cikk

Függetlenség

(1)  Az Európai Adatvédelmi Testület a 66. és 67. cikk szerinti feladatainak ellátása során teljes függetlenségben jár el.

(2)  A Bizottság 66. cikk (1) bekezdésének b) pontja és (2) bekezdése szerinti felkéréseinek sérelme nélkül az Európai Adatvédelmi Testület feladatköre ellátása során senkitől nem kérhet, és nem fogadhat el utasítást.

66. cikk

Az Európai Adatvédelmi Testület feladatai

(1)  Az Európai Adatvédelmi Testület biztosítja e rendelet következetes alkalmazását. Ennek érdekében az Európai Adatvédelmi Testület saját kezdeményezésére az Európai Parlament, a Tanács, illetve a vagy a Bizottság kérésére különösen:

a)  tanáccsal látja el a Bizottságot a az európai intézményeket személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük e rendelet bármely javasolt módosítása tekintetében;

b)  saját kezdeményezésére, valamely tagja vagy az Európai Parlament, a Tanács, illetve a vagy a Bizottság kérésére megvizsgál bármely, e rendelet alkalmazását érintő kérdést, valamint e rendelet következetes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelő hatóságok számára;

c)  felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak;

d)  véleményezi az 57. cikk szerinti egységességi mechanizmus értelmében a felügyelő hatóságok határozattervezeteit;

da)  véleményt alkot arról, hogy az 54a. cikk (3) bekezdése szerint mely hatóságnak kell betöltenie a fő hatóság szerepét;

e)  előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét, beleértve a közös műveletek és más közös tevékenységek koordinálását, amennyiben egy vagy több felügyelő hatóság kérésére így dönt;

f)  támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat;

g)  előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is;

ga)  véleményt ad a Bizottságnak az e rendeleten alapuló, felhatalmazáson alapuló jogi aktusok és végrehajtási aktusok elkészítése során;

gb)  véleményt ad a 38. cikk (4) bekezdése szerinti, uniós szinten kidolgozott eljárási szabályzatokról;

gc)  véleményt ad a 39. cikk (3) bekezdése szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó követelményekrõl és feltételekrõl;

gd)  a 39. cikk (1h) bekezdésének megfelelõen nyilvános elektronikus nyilvántartást vezet az érvényes és érvénytelen tanúsítványokról;

ge)  kérésre segítséget nyújt a nemzeti felügyelõ hatóságoknak;

gf)  létrehozza és nyilvánossá teszi a 34. cikk szerinti elõzetes konzultáció hatálya alatt álló feldolgozási mûveletek jegyzékét;

gg)  nyilvántartást vezet az illetékes felügyelõ hatóság által az adatkezelõkre és -feldolgozókra kiszabott szankciókról;

(2)  Amennyiben az Európai Parlament, a Tanács vagy a Bizottság tanácsot kér az Európai Adatvédelmi Testülettől, az ügy sürgősségét figyelembe véve meghatározhatja azt a határidőt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia.

(3)  Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és legjobb gyakorlatait továbbítja az Európai Parlamentnek, a Tanácsnak és a Bizottságnak és a 87. cikk szerinti bizottságnak, és nyilvánosságra hozza azokat.

(4)  A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről.

(4a)  Az Európai Adatvédelmi Testület – adott esetben – konzultál az érintett felekkel, és lehetõséget biztosít számukra, hogy méltányos idõn belül véleményezzék az intézkedéseket. Az Európai Adatvédelmi Testület a 72. cikk sérelme nélkül nyilvánosságra hozza a konzultációs eljárás eredményeit.

(4b)  Az Európai Adatvédelmi Testület megbízást kap arra, hogy az (1) bekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és bevált módszereket dolgozzon ki az állítólagos jogellenes adatfeldolgozással kapcsolatos információk átvételére és vizsgálatára, valamint a kapott információk titkossága és az információforrások megóvására vonatkozóan. [Mód. 175]

67. cikk

Jelentések

(1)  Az Európai Adatvédelmi Testület rendszeresen és megfelelő időben értesíti az Európai Parlamentet, a Tanácsot és a Bizottságot tevékenységének eredményeiről. Éves Legalább kétévente jelentést készít a személyes adatok Unióban és harmadik országokban történő feldolgozása vonatkozásában a természetes személyek védelmének helyzetéről. [Mód. 176]

A jelentés tartalmazza a 66. cikk (1) bekezdésének c) pontja szerinti iránymutatások, javaslatok és bevált módszerek gyakorlati alkalmazásának felülvizsgálatát.

(2)  A jelentést közzé kell tenni, és továbbítani kell az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.

68. cikk

Eljárás

(1)  Az Európai Adatvédelmi Testület határozatait tagjainak egyszerű többségével hozza, kivéve, ha eljárási szabályzata eltérően rendelkezik. [Mód. 177]

(2)  Az Európai Adatvédelmi Testület elfogadja saját eljárási szabályzatát, és megszervezi saját működési szabályait. Rendelkezik különösen a végrehajtási feladatkörök ellátásának folyamatosságáról valamely tag megbízatásának lejárta vagy lemondása esetén, alcsoportok létrehozataláról a különös kérdések vagy ágazatok tekintetében, valamint az 57. cikk szerinti egységességi mechanizmushoz kapcsolódó eljárásairól.

69. cikk

Az elnök

(1)  Az Európai Adatvédelmi Testület tagjai közül elnököt és legalább két elnökhelyettest választ. Az egyik elnökhelyettes az európai adatvédelmi biztos, kivéve, ha őt választják elnöknek. [Mód. 178]

(2)  Az elnök és az elnökhelyettes megbízatása 5 évre szól, és megújítható.

(2a)  Az elnöki poszt teljes munkaidõs álláshely. [Mód. 179]

70. cikk

Az elnök feladatai

(1)  Az elnök feladatai a következők:

a)  az Európai Adatvédelmi Testület üléseinek vezetése és napirendjének előkészítése;

b)  az Európai Adatvédelmi Testület feladatai megfelelő időben történő teljesítésének biztosítása, különösen az 57. cikk szerinti egységességi mechanizmus tekintetében.

(2)  Az Európai Adatvédelmi Testület saját eljárási szabályzatában meghatározza az elnök és az elnökhelyettesek közötti feladatmegosztást.

71. cikk

A titkárság

(1)  Az Európai Adatvédelmi Testület titkársággal rendelkezik. A titkárságot az európai adatvédelmi biztos biztosítja.

(2)  A titkárság az elnök irányítása alatt elemző,jogi, igazgatási és logisztikai támogatást nyújt az Európai Adatvédelmi Testület részére. [Mód. 180]

(3)  A titkárság felel különösen:

a)  az Európai Adatvédelmi Testület mindennapi működéséért;

b)  az Európai Adatvédelmi Testület tagjai, elnöke és a Bizottság közötti kommunikációért, valamint a más intézményekkel és a nyilvánossággal folytatott kommunikációért;

c)  az elektronikus úton történő belső és külső kommunikációért;

d)  a releváns információk fordításáért;

e)  az Európai Adatvédelmi Testület üléseinek előkészítéséért és nyomon követéséért;

f)  az Európai Adatvédelmi Testület által elfogadott vélemények és más szövegek előkészítéséért, szövegezéséért és közzétételéért.

72. cikk

Titoktartás

(1)  Az Európai Adatvédelmi Testület megbeszélései adott esetben – az eljárási szabályzat ettõl eltérõ rendelkezése hiányában – titkosak lehetnek. Az Európai Adatvédelmi Testület üléseinek napirendjét nyilvánosságra hozzák. [Mód. 181]

(2)  Az Európai Adatvédelmi Testület tagjainak, szakértőknek és harmadik felek képviselőinek továbbított dokumentumok titkosak, kivéve, ha az 1049/2001/EK rendelet(18) értelmében biztosítják az e dokumentumokhoz való hozzáférést, vagy az Európai Adatvédelmi Testület nyilvánosságra hozza azokat.

(3)  Az Európai Adatvédelmi Testület tagjainak, valamint a szakértőknek és harmadik felek képviselőinek eleget kell tenniük az e cikkben meghatározott titoktartási kötelezettségeknek. Az elnök biztosítja, hogy a szakértők és a harmadik felek képviselői figyelmét felhívják a rájuk vonatkozó titoktartási követelményekre.

VIII. FEJEZET

JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

73. cikk

A felügyelő bizottsághoz címzett panasz benyújtásához való jog

(1)  Az egyéb közigazgatási vagy bírósági jogorvoslatok és az egységességi mechanizmussérelme nélkül minden érintettnek joga van panaszt emelni bármely tagállam felügyelő hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes e rendelettel.

(2)  A közérdekbõl eljáró valamennyi olyan szerv, szervezet vagy egyesület, amelynek célja az érintettek személyes adatok védelmére vonatkozó jogainak és érdekeinek védelme, és amelyet valamely tagállam jogának megfelelően hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelő hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak e rendelet szerinti jogait.

(3)  Az érintett panaszától függetlenül a (2) bekezdés szerinti szerv, szervezet vagy egyesület jogosult bármely tagállam felügyelő hatóságánál panaszt emelni, ha megítélése szerint a személyes adatok e rendelet megsértésére került sor. [Mód. 182]

74. cikk

A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog

(1)  Egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül minden természetes vagy jogi személy jogosult a felügyelő hatóság rá vonatkozó döntései ellen bírósági jogorvoslatot igénybe venni.

(2)  Egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelő hatóság három hónapon belül nem tájékoztatja az érintettet – az 52. cikk (1) bekezdésének b) pontjának megfelelően – a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről, valamennyi érintettnek joga van a felügyelő hatóságot a panasz elbírálására kötelező bírósági jogorvoslathoz.

(3)  A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(4)  Az egységességi mechanizmus sérelme nélkül, amennyiben az érintettre egy másik tagállam felügyelő hatóságának határozata vonatkozik, mint amelyikben szokásos tartózkodási helye van, az érintett kérheti a szokásos tartózkodási hely szerinti tagállam felügyelő hatóságát, hogy nevében indítson eljárást a másik tagállam felügyelő hatóságával szemben.

(5)  A tagállamok végrehajtják az e cikkben említett jogerős bírósági határozatokat. [Mód. 183]

75. cikk

Az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jog

(1)  A rendelkezésre álló közigazgatási jogorvoslatok – beleértve a felügyelő hatóságnál emelt panaszok benyújtásának 73. cikk szerinti jogát – sérelme nélkül minden természetes személyt megillet a bírósági jogorvoslathoz való jog, ha megítélése szerint a személyes adatainak e rendelettel ellentétes feldolgozása következtében megsértették az e rendelet szerinti jogait.

(2)  Az adatkezelő vagy -feldolgozó elleni eljárást az adatkezelő vagy -feldolgozó telephelye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő az Unió vagy valamely tagállam közhatalmi jogkörét gyakorló hatóság hatósága. [Mód. 184]

(3)  Amennyiben az eljárások az ugyanazon intézkedésre, határozatra vagy gyakorlatra vonatkozó, az 58. cikkben hivatkozott egységességi mechanizmus érelmében felfüggesztésre kerültek, a bíróság felfüggesztheti az előtte folyamatban lévő eljárást, kivéve ha az érintett jogai védelmének sürgőssége nem teszi lehetővé az egységességi mechanizmus szerinti eljárás eredményének megvárását.

(4)  A tagállamok végrehajtják a jelen cikkben említett jogerős bírósági határozatokat.

76. cikk

A bírósági eljárásokra vonatkozó közös szabályok

(1)  A 73. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult a 74. 75. és 77. 75. cikk szerinti jogokat egy vagy több érintett nevében arra vonatkozó meghatalmazása alapján gyakorolni. [Mód. 185]

(2)  E rendelet rendelkezéseinek végrehajtása, illetve a személyes adatok Unión belüli védelmének következetes biztosítása érdekében valamennyi felügyelő hatóság jogosult a jogi eljárásokban részt venni és bírósági keresetet indítani.

(3)  Amennyiben valamely tagállam illetékes bírósága ésszerű indokok alapján úgy véli, hogy egy másik tagállamban párhuzamos eljárás van folyamatban, megkeresi a másik tagállam illetékes bíróságát az említett párhuzamos eljárás fennállásának megerősítése érdekében.

(4)  Amennyiben az ilyen párhuzamos eljárások ugyanazon intézkedésre, határozatra vagy gyakorlatra vonatkoznak, a bíróság az eljárást felfüggesztheti.

(5)  A tagállamok biztosítják, hogy a nemzeti jog alapján rendelkezésre álló bírósági keresetek lehetővé teszik a feltételezett jogsértés megszüntetésére és az érintett érdekek jövőbeni megsértésének megelőzésére irányuló, ideiglenes intézkedéseket is magukban foglaló intézkedések gyors elfogadását.

77. cikk

A kártérítéshez való jog és a felelősség

(1)  Minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az e rendelettel összeegyeztethetetlen cselekmény eredményeként kárt – köztük nem vagyoni kárt – szenvedett, az elszenvedett károkért az adatkezelővel vagy -feldolgozóval szemben kártérítésre kártérítési igény benyújtására jogosult. [Mód. 186]

(2)  Amennyiben az adatfeldolgozásban egynél több adatkezelő vagy -feldolgozó vesz részt, minden adatkezelő az adatkezelõk vagy -feldolgozó feldolgozók egyetemlegesen felel felelnek a kár teljes összegéért, kivéve, ha megfelelõ írásos megállapodást kötöttek, amely a 24. cikk értelmében meghatározza a felelõsséget. [Mód. 187]

(3)  Az adatkezelő vagy -feldolgozó részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

78. cikk

Szankciók

(1)  A tagállamok rögzítik az e rendelet értelmében elfogadott rendelkezések megsértése esetén alkalmazandó szankciók szabályait, és azok végrehajtásának biztosítására minden szükséges intézkedést megtesznek, beleértve azt is, ha az adatkezelő nem tesz eleget a képviselő kijelölésére vonatkozó kötelezettségének. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

(2)  Amennyiben az adatkezelő rendelkezik képviselővel, a szankciókat a képviselővel szemben kell alkalmazni, az adatkezelővel szemben alkalmazható szankciók sérelme nélkül.

(3)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

79. cikk

Közigazgatási szankciók

(1)  Valamennyi felügyelő hatóság hatáskörrel rendelkezik e cikknek megfelelő közigazgatási szankciók alkalmazására. A felügyelő hatóságok a 46. és az 57. cikkel összhangban együttműködnek egymással annak érdekében, hogy összehangolt szintű szankciókat garantáljanak az Unión belül.

(2)  A közigazgatási szankcióknak minden egyes esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A közigazgatási bírság összegének meghatározása során kellő figyelmet kell fordítani a jogsértés jellegére, súlyosságára és időtartamára, a jogsértés szándékos vagy gondatlan jellegére, a természetes vagy jogi személy felelősségének szintjére és az e személy által korábban megvalósított jogsértésekre, a 23. cikk szerint alkalmazott technikai és szervezeti intézkedésekre és eljárásokra, valamint a felügyelő hatóságokkal a jogsértés orvoslása érdekében megvalósított együttműködés szintjére.

(2a)  A felügyelő hatóság mindenkivel szemben, aki nem teljesíti az e rendeletben megállapított kötelezettségeket, legalább a következő szankciókat alkalmazza:

a)  elsõ és nem szándékos meg nem felelés esetén írásbeli figyelmeztetés;

b)  rendszeres időszakos adatvédelmi ellenőrzések;

c)  250 000 euróig terjedõ bírság vagy vállalkozás esetén az éves világméretû forgalom legfeljebb 5%-a, ha ez a magasabb.

(2b)  Ha az adatkezelõ vagy -feldolgozó a 39. cikk szerinti érvényes „európai adatvédelmi címkével” rendelkezik, a (2a) bekezdés c) pontja szerinti bírság alkalmazására kizárólag szándékos vagy gondatlan kötelezettségszegés esetén kerül sor.

(2c)  A közigazgatási szankció kiszabásakor a következő tényezőket kell figyelembe venni:

a)  a kötelezettségszegés jellege, súlyossága és idõtartama,

b)  a jogsértés szándékos vagy gondatlan volta,

c)  a természetes vagy jogi személy felelõsségének és az e személy által korábban megvalósított jogsértéseknek a szintje,

d)  a jogsértés ismétlõdõ jellege,

e)  a felügyelõ hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése tekintetében folytatott együttmûködés mértéke;

f)  a jogsértéssel érintett személyes adatok különös kategóriái,

g)  az érintettek által elszenvedett kár – köztük nem vagyoni kár – mértéke,

h)  az intézkedés, amelyet az adatkezelõ vagy az adatfeldolgozó az érintettek által elszenvedett kár enyhítése érdekében tett,

i)  a jogsértés révén közvetve vagy közvetlenül elérni szándékozott vagy elért pénzügyi elõny vagy elkerült kár,

j)  az alábbiak szerint végrehajtott technikai és szervezeti intézkedések és eljárások szintje:

i.  23. cikk – Beépített és alapértelmezett adatvédelem

ii.  30. cikk – Az adatfeldolgozás biztonsága

iii.  33. cikk – Adatvédelmi hatásvizsgálat

iv.  33a. cikk – Az adatvédelmi szabályok betartásának vizsgálata

v.  35. cikk – Az adatvédelmi tisztviselõ kijelölése;

k)  a felügyelõ hatóság által az 53. cikk alapján lefolytatott vizsgálatok és ellenõrzések során az együttmûködés megtagadása, vagy azok akadályozása,

l)  az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítõ tényezõ.

(3)  Az e rendeletnek való első és nem szándékos meg nem felelés esetén írásbeli figyelmeztetést bocsátható ki és mellőzhető a szankció kiszabása, amennyiben:

(a)  a természetes személy kereskedelmi érdek nélkül dolgoz fel személyes adatokat; vagy

(b)  a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő melléktevékenységként dolgoz fel.

(4)  A felügyelő hatóság 250 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 0,5%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)  nem hozza létre az érintettek kérelmeihez kapcsolódó mechanizmusokat, vagy az érintetteknek nem válaszol haladéktalanul, vagy nem a megfelelő formátumban, a 12. cikk (1) és (2) bekezdése szerint;

b)  a 12. cikk (4) bekezdésének megsértésével díjat számít fel az érintettek tájékoztatásáért vagy a kérelmeik megválaszolásáért;

(5)  A felügyelő hatóság 500 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 1%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)  nem, vagy hiányosan, vagy nem megfelelően átlátható módon bocsátja az érintett rendelkezésére a 11. cikk, a 12. cikk (3) bekezdése vagy a 14. cikk szerinti információt;

b)  nem biztosítja az érintett számára hozzáférést vagy nem helyesbíti a személyes adatokat a 15. és a 16. cikk szerint, vagy nem értesíti a címzettet a vonatkozó információkról a 13. cikk szerint;

c)  nem tesz eleget a személyes adatok tárolásának megszüntetéséhez vagy a törléshez való jognak, vagy elmulasztja a határidők nyomon követésére szolgáló mechanizmusok létrehozását, vagy nem teszi meg a szükséges lépéseket annak érdekében, hogy tájékoztassa a harmadik feleket az érintetteknek link, másolat vagy másodpéldány törlésére irányuló kérelméről a 17. cikk szerint;

d)  a 18. cikk megsértésével nem bocsátja elektronikus formában rendelkezésre a személyes adatok másolatát, vagy megakadályozza az érintettet a személyes adatok más alkalmazásba való továbbításában;

e)  nem vagy nem kellőképpen határozza meg a közös adatkezelők vonatkozó kötelezettségeit a 24. cikk szerint;

f)  nem vagy nem kellőképpen vezeti a 28. cikk, a 31. cikk (4) bekezdése, vagy a 44. cikk (3) bekezdése szerinti dokumentációt;

g)  az adatok különös kategóriáit nem érintő esetekben nem tesz eleget a 80., 82. és 83. cikk szerint a véleménynyilvánítás szabadságához kapcsolódó szabályoknak, vagy a foglalkoztatással összefüggő feldolgozáshoz kapcsolódó szabályoknak, vagy a történelmi, statisztikai vagy tudományos kutatási célú feldolgozás feltételeinek.

(6)  A felügyelő hatóság 1 000 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 2%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)  a személyes adatok feldolgozását a feldolgozáshoz szükséges jogalap nélkül vagy megfelelő jogalap nélkül végzi, vagy nem tesz eleget a 6., 7. és 8. cikk szerinti hozzájárulás feltételeinek;

b)  a 9. és a 81. cikk megsértésével dolgozza fel az adatok különös kategóriáit;

c)  nem tesz eleget a kifogásolásnak vagy a 19. cikk szerinti követelményeknek;

d)  nem tesz eleget a profilalkotáson alapuló mechanizmusok 20. cikk szerinti feltételeinek;

e)  nem fogadja el azokat a belső politikákat vagy nem alkalmazza azokat a megfelelő intézkedéseket, amelyek biztosítják és igazolják a 22., 23. és 30. cikkel való összhangot;

f)  nem jelöli ki a 25. cikk szerinti képviselőt;

g)  a 26. és a 27. cikk szerint az adatkezelő nevében végzett feldolgozáshoz kapcsolódó kötelezettségek megsértésével dolgozza fel a személyes adatokat vagy irányítja azok feldolgozását;

h)  nem, vagy nem időben vagy nem teljes mértékben figyelmezteti vagy értesíti a felügyelő hatóságot vagy az érintettet a személyes adatok megsértéséről a 31. és a 32. cikk szerint;

i)  nem végez adatvédelmi hatásvizsgálatot, vagy a felügyelő hatóság 33. és 34. cikk szerinti előzetes engedélyezése vagy a vele való előzetes konzultáció nélkül dolgoz fel személyes adatot;

j)  a 35., 36. és 37. cikk szerint nem jelöl ki adatvédelmi tisztviselőt, vagy nem biztosítja a feladatai ellátásához szükséges feltételeket;

k)  visszaél a 39. cikk értelmében vett adatvédelmi címkével vagy jelzővel;

l)  olyan harmadik országba vagy nemzetközi szervezet részére végez vagy irányít adattovábbítást, amelyet nem engedélyeztek megfelelőségi határozattal, vagy megfelelő biztosítékok, vagy eltérés alapján a 40–44. cikk szerint;

m)  nem tesz eleget a felügyelő hatóság 53. cikk (1) bekezdése szerinti utasításának vagy az adatfeldolgozás átmeneti vagy végleges tilalmára vagy az adatáramlás felfüggesztésére vonatkozó felszólításának;

n)  nem tesz eleget a 28. cikk (3) bekezdése, a 29. cikk, a 34. cikk (6) bekezdése és az 53. cikk (2) bekezdése szerinti azon kötelezettségének, hogy a felügyelő hatóságot támogassa, válaszoljon neki vagy rendelkezésére bocsássa a vonatkozó információkat, vagy belépést biztosítson a helyiségeibe;

o)  nem tesz eleget a szakmai titoktartás biztosítására vonatkozó, 84. cikk szerinti szabályoknak.

(7)  A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés és a (2c) bekezdések szerinti feltétel feltételek és tényezõk figyelembevétele mellett, az e cikk (4), (5) és (6) bekezdése a (2a) bekezdés szerinti közigazgatási bírságok abszolút értékben meghatározott összegének aktualizálása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 188]

IX. FEJEZET

AZ ADATFELDOLGOZÁS KÜLÖNÖS ESETEIRE VONATKOZÓ RENDELKEZÉSEK

80. cikk

A személyes adatok feldolgozása és a véleménynyilvánítás szabadsága

(1)  A tagállamok az újságírás vagy az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás tekintetében – adott esetben – annak érdekében határozhatnak meg kivételeket vagy eltéréseket a II. fejezet szerinti általános alapelvekre, az érintettek III. fejezet szerinti jogaira, a IV. fejezet szerinti adatkezelőre és -feldolgozóra, a személyes adatok harmadik országokba vagy nemzetközi szervezetekhez irányuló, V. fejezet szerinti továbbítására, a VI. fejezet szerinti független felügyelő hatóságokra, valamint a VII. fejezet szerinti együttműködésre és egységességre illetve az e fejezet szerinti speciális adatfeldolgozó helyzetekre vonatkozó rendelkezések tekintetében, hogy biztosítsák az egyensúlyt a személyes adatok védelméhez való jog és a véleménynyilvánítás szabadságára vonatkozó szabályok között az Európai Unió Alapjogi Chartájával és az abban az EJEE-re történõ hivatkozással összhangban. [Mód. 189]

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

80a. cikk

Dokumentumokhoz való hozzáférés

(1)  A hatóság vagy állami szerv birtokában lévõ dokumentumokban található személyes adatokat a szóban forgó hatóság vagy szerv a hivatalos iratokhoz való nyilvános hozzáférésre vonatkozó uniós vagy tagállami jogszabályokkal összhangban közölheti, amelyek összeegyeztetik a személyes adatok védelméhez való jogot a hivatalos iratokhoz való nyilvános hozzáférés elvével.

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

81. cikk

Egészségügyi vonatkozású személyes adatok feldolgozása

(1)  E rendelet keretein belül és a 9. cikk (2) bekezdésének h) pontjával összhangban az egészségügyi vonatkozású személyes adatok feldolgozása olyan uniós vagy tagállami jogszabályok alapján történhet, amely megfelelő és konkrét intézkedések megállapításával biztosítja az érintett jogos érdekeit, és arra az alábbiak miatt van szükség:

a)  a megelőző orvoslás vagy foglalkozás-egészségügy, az orvosi diagnózis, az ellátások vagy kezelések biztosítása vagy az egészségügyi szolgáltatások irányítása érdekében, ha ezeket az adatokat a szakmai titoktartás kötelezettsége alatt álló egészségügyi szakember, vagy a tagállamok joga vagy az illetékes nemzeti hatóságok által létrehozott szabályok szerint ezzel azonos titoktartási kötelezettség alatt álló más személy dolgozza fel; vagy

b)  a népegészség területét érintő közérdek miatt, mint például a határokon átnyúló komoly egészségügyi fenyegetésekkel szembeni védelem, többek a gyógyszeripari termékek vagy orvosi berendezések minősége és biztonsága magas szintjének biztosítása; vagy

c)  egyéb közérdek miatt olyan területeken, mint például a szociális védelem, különösen annak érdekében, hogy biztosítsák az egészségbiztosítási rendszerben az ellátásokra és szolgáltatásokra vonatkozó kérelmek kezelésére szolgáló eljárások minőségét és költséghatékonyságát. A személyes adatok közérdekû egészségügyi célú feldolgozása nem eredményezheti a személyes adatok más célból való feldolgozását, kivéve, ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján.

(1a)  Amennyiben az (1) bekezdés a)–c) pontjában említett célok személyes adatok felhasználása nélkül is elérhetõk, az ilyen adatok ezekre a célokra nem használhatók fel, kivéve, ha az érintett hozzájárulását adja, illetve uniós vagy tagállami jogszabály alapján.

(1b)  Amennyiben az érintett hozzájárulása szükséges az egészségügyi adatok kizárólag közegészségügyi célú tudományos kutatásához, a hozzájárulás egy vagy több konkrét, hasonló kutatáshoz is megadható. Az érintett azonban bármikor visszavonhatja a hozzájárulását.

(1c)  A klinikai vizsgálatok tudományos kutatói tevékenységeiben való részvételhez történõ hozzájárulás esetére a 2001/20/EK európai parlamenti és tanácsi rendelet(19) vonatkozó rendelkezései alkalmazandók.

(2)  Az egészségügyi vonatkozású személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozására, mint például a diagnózisok fejlesztése és a hasonló betegségek megkülönböztetése és terápiás tanulmányok előkészítése céljából betegnyilvántartások létrehozatala, a feldolgozása kizárólag az érintett hozzájárulásával megengedett, és arra 83. cikk szerinti feltételeket és biztosítékokat kell alkalmazni.

(2a)  A tagállami jogszabályok kutatási célokból kivételeket írhatnak elõ a (2) bekezdésben említett hozzájárulási követelmény alól, a jelentõs közérdeket szolgáló kutatások esetében, ha a kutatás másként nem végezhetõ el. A szóban forgó adatokat anonimizálni kell, illetve – ha ez a kutatás céljából nem lehetséges – azokat a legmagasabb technikai szabványok mellett álnévvel kell ellátni, és minden szükséges intézkedést meg kell tenni az érintettek jogosulatlan újraazonosításának megelõzésére. Az érintettnek ugyanakkor – a 19. cikk értelmében – bármikor joga van kifogást emelnie.

(3)  A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követõen – a közegészség területén az egyéb közérdek (1) bekezdés b) pontja pont szerinti fogalmának, valamint a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények kutatás területén a kimagasló közérdek (2a) bekezdés szerinti fogalmának további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(3a)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. [Mód. 191]

82. cikk

Foglalkoztatással A foglalkoztatással összefüggő feldolgozás adatfeldolgozás minimumszabályai

(1)  E rendelet keretein belül a A tagállamok az e rendeletben foglalt szabályokkal összhangban, az arányosság elvének figyelembevételével jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen a , de nem kizárólag a kapcsolt vállalkozásokon belüli toborzás és álláskeresés, a munkaszerződés teljesítése, beleértve a jogszabályban vagy és kollektív szerződésben meghatározott , a nemzeti joggal és gyakorlatokkal összhangban álló kötelezettségek biztosítása, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében. A tagállamok rendelkezhetnek úgy, hogy a kollektív megállapodások pontosabban meghatározzák az e cikkben lefektetett rendelkezéseket.

(1a)  Az ilyen adatok feldolgozásának kapcsolódnia kell a gyűjtés céljához, és annak összefüggésben kell maradnia a foglalkoztatással. Tilos a profilalkotás és az adatok másodlagos célokra való felhasználása.

(1b)  Valamely munkavállaló hozzájárulása nem teremt jogalapot adatainak a munkáltató általi feldolgozására, amennyiben a hozzájárulás megadása nem szabad akaratból történt.

(1c)  E rendelet egyéb rendelkezéseinek sérelme nélkül az (1) bekezdésben említett tagállami jogszabályok legalább az alábbi minimumszabályokra terjednek ki:

a)  a foglalkoztatottak adatainak feldolgozása a munkavállaló arról való tudomása nélkül tilos. Az első mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest szükséges és arányos. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata;

b)  a vállalkozás nyilvánosság számára nem hozzáférhető, elsősorban a munkavállalók magánéletét szolgáló részeinek – különösen a mosdó-, öltöző-, pihenő- és hálóhelyiségeknek – nyílt, optikai-elektronikus és/vagy nyílt akusztikus-elektronikus megfigyelése tilos. A titkos megfigyelés minden esetben tilos;

c)  amennyiben a vállalkozások vagy hatóságok az orvosi vizsgálatok és/vagy alkalmassági vizsgálatok keretében személyes adatokat gyűjtenek vagy dolgoznak fel, a jelentkezőket vagy a munkavállalókat előzetesen tájékoztatniuk kell, hogy az adatokat mire használják, és biztosítaniuk kell, hogy azokat utólag az eredményekkel együtt közölni fogják velük, és hogy kérésre magyarázattal szolgálnak. A genetikai vizsgálatok és elemzések céljából történő adatgyűjtés főszabály szerint tilos;

d)  kollektív megállapodásban szabályozható, hogy a telefon, e-mail, az internet és egyéb távközlési szolgáltatások használata magáncélokra megengedett-e, és ha igen, milyen mértékben. Amennyiben a kollektív megállapodás ezt nem szabályozza, a munkaadó a munkavállalóval közvetlen megállapodást köt. Amennyiben megengedett a magáncélú használat, a forgalmi adatok feldolgozása különösen az adatbiztonság, a távközlési hálózatok és távközlési szolgáltatások rendeltetésszerű működésének biztosítása, valamint az elszámolás céljából megengedett.

Az harmadik mondattól eltérően a tagállamok megfelelő törlési határidők megszabása mellett törvényben megengedhetik az adatfeldolgozást arra az esetre, ha a tényleges jelek alapján megalapozott a gyanúja annak, hogy a munkavállaló a foglalkoztatási viszony keretében bűncselekményt vagy más súlyos kötelességszegést követett el, az adatgyűjtés a felderítéshez szükséges, és az adatgyűjtés jellege és terjedelme a célhoz képest szükséges és arányos. A munkavállaló magánélethez való jogát mindenkor tiszteletben kell tartani. Ennek kivizsgálása az illetékes hatóság feladata;

e)  a munkavállalók személyes adatai, különösen az érzékeny adatok – például a politikai irányultság, a szakszervezeti tagság és tevékenység – semmilyen körülmények között nem használhatók fel a munkavállalók úgynevezett „feketelistázásához”, ellenőrzéséhez, sem pedig a jövőbeni foglalkoztatásból való kizárásához. Tilos munkavállalói feketelisták feldolgozása, foglalkoztatási összefüggésben való alkalmazása, elkészítése és továbbítása, illetve a megkülönböztetés bármilyen egyéb formája. A tagállamok a 79. cikk (6) bekezdésével összhangban ellenőrzéseket végeznek és megfelelő szankciókat fogadnak el e pont hatékony végrehajtásának biztosítására.

(1d)  A foglalkoztatottak személyes adatainak egy vállalkozáscsoporton belül a jogi és adótanácsadóval rendelkező, jogilag önálló vállalkozások közötti továbbítása és feldolgozása megengedett, amennyiben az a vállalkozás működése szempontjából jelentős és a célzott munkafolyamatok és adminisztratív tevékenységek végrehajtását szolgálja, valamint nem sérti az érintettek védendő érdekeit és alapvető jogait. Amennyiben a foglalkoztatottak adatainak továbbítása harmadik ország felé és/vagy nemzetközi szervezet részére történik, az V. fejezetet kell alkalmazni.

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az (1) és az (1b) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

(3)  A Bizottság felhatalmazást kap arra, hogy – az Európai Adatvédelmi Testület véleményének kikérését követően – a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 192]

82a. cikk

A társadalombiztosítással összefüggésben végzett feldolgozás

(1)  A tagállamok – az e rendeletben meghatározott szabályokkal összhangban – a társadalombiztosítással összefüggésben személyes adatoknak a tagállami intézmények és szervezeti egységek általi feldolgozására vonatkozó szabályokat meghatározó különös jogalkotási szabályokat fogadhatnak el, ha a feldolgozást közérdekből végzik.

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. [Mód. 193]

83. cikk

Történelmi, statisztikai és tudományos kutatási célú feldolgozás

(1)  E rendelet keretein belül, Az e rendeletben előírt szabályokkal összhangban a személyes adatok történelmi, statisztikai és tudományos kutatási célú feldolgozására csak akkor kerülhet sor, ha:

a)  e célokat másként nem lehet megvalósítani olyan adatfeldolgozással, amely nem vagy már nem teszi lehetővé az érintett azonosítását;

b)  az azonosított vagy azonosítható érintettre vonatkozó információhoz való hozzáférést biztosító adatot a legmagasabb technikai szabványok mellett az egyéb adatoktól elkülönítve tárolják, feltéve, hogy e célok ilyen módon megvalósíthatóak.és minden szükséges intézkedést megtesznek az érintettek indokolatlan újraazonosításának megelőzésére.

(2)  A történelmi, statisztikai vagy tudományos kutatást végző szervek kizárólag akkor hozhatják nyilvánosságra vagy tehetik más módon közzé a személyes adatokat, ha:

a)  az érintett a 7. cikkben meghatározott feltételek szerint hozzájárult;

b)  a személyes adatok nyilvánosságra hozatala a kutatási eredmények bemutatása vagy a kutatás megkönnyítése céljából szükséges, amennyiben az érintett érdekei, alapvető jogai vagy szabadságai nem élveznek elsőbbséget ezen érdekekkel szemben; vagy

c)  az érintett nyilvánosságra hozta az adatokat.

(3)  A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) és (2) cikkben említett célokból való feldolgozására, valamint az érintett tájékoztatáshoz és hozzáféréshez való jogának szükséges korlátozásaira, és az érintettek jogaira e körülmények között alkalmazandó biztosítékokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 194]

83a. cikk

A személyes adatok archiválási szolgálatok általi feldolgozása

(1)  Az eredeti feldolgozás céljainak – amelyekre az adatokat gyűjtötték – megvalósításához szükséges időtartamon túl a személyes adatokat feldolgozhatják az olyan archiválási szolgálatok, amelyek fő feladata vagy törvényi kötelezettsége, hogy közérdekből – elsősorban az emberek jogainak igazolása céljából –, illetve történelmi, statisztikai vagy tudományos célokból összegyűjtsék, megőrizzék, osztályozzák, közöljék, rendszerezzék, kiaknázzák és terjesszék az archívumokat. E feladatokat a tagállamok által a közigazgatási vagy levéltári dokumentumokhoz való hozzáféréssel, azok átadhatóságával és terjesztésével kapcsolatban előírt szabályok tiszteletben tartása mellett, valamint az e rendeletben meghatározott szabályok betartásával kell ellátni, különös tekintettel a beleegyezésre és a kifogásoláshoz való jogra.

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást. [Mód. 195]

84. cikk

Titoktartási kötelezettségek

(1)  E rendelet keretein belül Az e rendeletben meghatározott szabályokkal összhangban a tagállamok gondoskodnak arról, hogy különös szabályok határozzák meg szabályokat hozhatnak a felügyelő hatóságok 53. cikk (2) bekezdése szerinti vizsgálati jogkörének meghatározására jogkörét a nemzeti jog vagy valamely illetékes nemzetközi szervezet szabályai értelmében szakmai titoktartás vagy más, ezzel azonos titoktartási kötelezettség hatálya alatt álló adatkezelők vagy -feldolgozók tekintetében, amennyiben azok a személyes adatok védelméhez való jog és a titoktartási kötelezettség közötti egyensúly biztosítása érdekében szükségesek és arányosak. E szabályokat csak azokra a személyes adatokra kell alkalmazni, amelyeket az adatkezelő vagy -feldolgozó e titoktartási kötelezettség keretében végzett tevékenysége során szerzett vagy kért. [Mód. 196]

(2)  A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

85. cikk

Egyházak és vallási szerveztek létező adatvédelmi szabályai

(1)  Amennyiben egy tagállamban egyházak, illetve vallásos szervezetek vagy közösségek a rendelet hatálybalépésének időpontjában átfogó megfelelő szabályokat alkalmaznak a személyek adatfeldogozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazhatók, amennyiben azokat összhangba hozzák a rendelettel.

(2)  Az (1) bekezdéssel összhangban átfogó szabályokat alkalmazó egyházak és vallási szervezetek rendelkeznek független felügyelő hatóság létrehozásáról, e rendelet VI. fejezetével összhangban.a 38. cikk értelmében teljesítési véleményt kapnak. [Mód. 197]

85a. cikk

Az alapvető jogok tiszteletben tartása

Ez a rendelet nem módosítja az alapvető jogok és alapvető jogelvek tiszteletben tartásának az EUSZ 6. cikkében megfogalmazott kötelezettségét. [Mód. 198]

85b. cikk

Formanyomtatványok

(1)  A Bizottság a különböző ágazatok és adatfeldolgozási helyzetek sajátosságait és szükségleteit figyelembe véve egységes formanyomtatványokat határozhat meg a következők vonatkozásában:

a)  a 8. cikk (1) bekezdésében említett ellenőrizhető hozzájárulás megszerzésének konkrét módszerei;

b)  a 12. cikk (2) bekezdésében említett értesítés, beleértve az elektronikus formátumot is;

c)  a 14. cikk (1)–(3) bekezdésében említett tájékoztatás;

d)  a 15. cikk (1) bekezdésében említett információkhoz való hozzáférés kérése és megadása, beleértve a személyes adatok érintettel való közlését is;

e)  a 28. cikk (1) bekezdésében említett dokumentáció;

f)  a személyes adatok megsértésének 31. cikk szerinti bejelentése a felügyelő hatóságnak és a 31. cikk (4) bekezdésében említett dokumentáció;

g)  a 34. cikk (2) bekezdésében említett előzetes konzultációk, valamint a felügyelő hatóságok 34. cikk (6) cikke szerinti tájékoztatása.

(2)  Ennek során a Bizottság megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében.

(3)  E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére. [Mód. 199]

X. FEJEZET

FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

86. cikk

A felhatalmazás gyakorlása

(1)  A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktusok elfogadására.

(2)  A Bizottság 6. A Bizottságnak a 13. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (6) bekezdésben, 22. cikk 38.(4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 41. cikk (3) bekezdésében, 41. cikk (5) bekezdésben, 43. cikk (3) bekezdésben, 44. 79. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett, felhatalmazáson alapuló jogi aktusok elfogadására adott felhatalmazás felhatalmazása az e rendelet hatálybalépésnek időpontjától számított határozatlan időre szól. [Mód. 200]

(3)  Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 6. 13a.cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (5) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (3) (9) bekezdésben, 20. cikk (6) bekezdésben, 22. 38.cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. 41. cikk (3) bekezdésben, 44. 41. cikk (5)(7) bekezdésben, 43. cikk (3) bekezdésben, 79. cikk (6) (7) bekezdésben, 81. cikk (3) bekezdésben és 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott megjelölt felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét. [Mód. 201]

(4)  A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(5)  A 6. 13a. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 17. cikk (9) bekezdésben, 20. 38. cikk (6) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 41. cikk (3) bekezdésben, 41. cikk (5) bekezdésben, 43. cikk (3) bekezdésben, 44. 79.cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. és 82.cikk (3) bekezdésben, és 83. cikk (3) bekezdésben említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ezen ez az időtartam két hat hónappal meghosszabbodik. [Mód. 202]

87. cikk

A bizottsági eljárás

(1)  A Bizottság munkáját egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet szerinti bizottság.

(2)  Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)  Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkével összefüggésben értelmezett 8. cikkét kell alkalmazni. [Mód. 203]

XI. FEJEZET

ZÁRÓ RENDELKEZÉSEK

88. cikk

A 95/46/EK irányelv hatályon kívül helyezése

(1)  A 95/46/EK irányelv hatályát veszti.

(2)  A hatályon kívül helyezett irányelvre történő hivatkozást az e rendeletre történő hivatkozásnak kell tekinteni. A 95/46/EK irányelv 29. cikke által létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.

89. cikk

A 2002/58/EK irányelvvel való összefüggés és annak módosítása

(1)  E rendelet nem határoz meg kiegészítő kötelezettséget természetes vagy jogi személyek tekintetében az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben feldolgozott személyes adatok esetében, olyan kérdésekkel kapcsolatban, amelyek a 2002/58/EK irányelvben szereplő azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.

(2)  A 2002/58/EK irányelv 1. cikkének (2) bekezdése, 4. és 15. cikke hatályát veszti. [Mód. 204]

(2a)   A Bizottság késedelem nélkül, de legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig javaslatot terjeszt elő a személyes adatok feldolgozására és az elektronikus kommunikációban a magánélet védelmére alkalmazandó jogi keret felülvizsgálatára annak érdekében, hogy az Európai Unióban a személyes adatok védelméhez való alapvető joggal kapcsolatos egységes és homogén jogi szabályok biztosítása céljából összhangba hozza az említett keretet ezzel a rendelettel. [Mód. 205]

89a. cikk

A 45/2001/EK rendelettel való összefüggés és annak módosítása

(1)  Az e rendeletben foglalt szabályok a 45/2001/EK rendeletben foglalt szabályok hatálya alá nem eső ügyek tekintetében a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi feldolgozására is alkalmazandók.

(2)  A Bizottság késedelem nélkül, de legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig javaslatot terjeszt elő a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi feldolgozására alkalmazandó jogi keret felülvizsgálatára. [Mód. 206]

90. cikk

Értékelés

A Bizottság rendszeres időközönként jelentéseket terjeszt az Európai Parlament és a Tanács elé e rendelet értékeléséről és felülvizsgálatáról. Az első jelentéseket legkésőbb az e rendelet hatályba lépésétől számított négy éven belül kell benyújtani. A további jelentéseket azt követően négyévente kell benyújtani. A Bizottság – amennyiben szükségesnek ítéli – megfelelő javaslatokat tesz e rendelet módosítására és más jogi eszközök igénybe vételére, figyelembe véve különösen az információs technológia fejlődését, és az információs társadalom fejlődésének állapota fényében. A jelentéseket közzé kell tenni.

91. cikk

Hatálybalépés és alkalmazás

(1)  Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2)  Ezt a rendeletet …(20)tól/től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt .

Az Európai Parlament részéről A Tanács részéről

Az elnök az elnök

Melléklet – A 13a. cikkben említett adatok feltüntetése

1)  Tekintettel a 6. pontban említett arányokra, az adatokat a következőképpen kell megadni:

20140312-P7_TA(2014)0212_HU-p0000001.png

2)  Az 1. pont táblázatában az „ALAPVETŐ INFORMÁCIÓK” című második oszlop soraiban a következő szavakat félkövéren kell formázni:

a)  a második oszlop első sorában a „kért” szó;

b)  a második oszlop második sorában a „megőrzött” szó;

c)  a második oszlop harmadik sorában a „feldolgozására” szavak;

d)  a második oszlop negyedik sorában az „nem továbbítanak” szavak;

e)  a második oszlop ötödik sorában az „értékesítésére és bérbeadására” kifejezés;

f)  a második oszlop hatodik sorában a „titkosítatlan” szó;.

3)  Tekintettel a 6. pontban említett arányokra, az 1. pont táblázatában a „TELJESÜLT” című harmadik oszlopban a 4. pontban megállapított feltételekkel összhangban az alábbi két grafikus ábra egyikét kell feltüntetni:

a)

20140312-P7_TA(2014)0212_HU-p0000002.png

b)

20140312-P7_TA(2014)0212_HU-p0000003.png

4)  

a)  Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot nem gyűjtenek, az 1. pont táblázata harmadik oszlopának első sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

b)  Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot gyűjtenek, az 1. pont táblázata harmadik oszlopának első sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.

c)  Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot nem őriznek meg, az 1. pont táblázata harmadik oszlopának második sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

d)  Ha a feldolgozás adott konkrét céljához minimálisan szükséges mértéken túlmenően személyes adatot megőriznek, az 1. pont táblázata harmadik oszlopának második sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.

e)  Ha nem került sor személyes adat feldolgozására az adatgyűjtés céljaitól eltérő célokra, az 1. pont táblázata harmadik oszlopának harmadik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

f)  Ha sor került személyes adat feldolgozására az adatgyűjtés céljaitól eltérő célokra, az 1. pont táblázata harmadik oszlopának harmadik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.

g)  Ha nem kerül sor személyes adat kereskedelmi harmadik feleknek történő továbbítására, az 1. pont táblázata harmadik oszlopának negyedik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

h)  Személyes adat kereskedelmi harmadik feleknek történő továbbítása esetén az 1. pont táblázata harmadik oszlopának negyedik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.

i)  Ha nem kerül sor személyes adat értékesítésére vagy bérbeadására, az 1. pont táblázata harmadik oszlopának ötödik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

j)  Személyes adat értékesítése vagy bérbeadása esetén az 1. pont táblázata harmadik oszlopának ötödik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni.

k)  Ha személyes adatot nem tárolnak titkosítatlan formában, az 1. pont táblázata hatodik oszlopának ötödik sorában a 3a. pontban említett grafikus ábrát kell feltüntetni.

l)  Ha személyes adatot titkosítatlan formában tárolnak, az 1. pont táblázata hatodik oszlopának ötödik sorában a 3b. pontban említett grafikus ábrát kell feltüntetni

5)  Az 1. pont grafikai ábráinak referenciaszínei a Pantone színskála szerint Pantone 754(7) sz. fekete és Pantone 485. sz. vörös. A 3a. pont grafikai ábráinak referenciaszíne a Pantone színskála szerint Pantone 370. sz. zöld. A 3b. pont grafikai ábráinak referenciaszíne a Pantone 485. sz. vörös.

6)  Az alábbi négyzethálós rajzon megadott arányokat be kell tartani, a táblázat kicsinyítése vagy nagyítása esetében is:

20140312-P7_TA(2014)0212_HU-p0000004.png

[Mód. 207]

(1)HL C 229., 2012.7.31., 90.o.
(2) HL C 192., 2012.6.30., 7. o.
(3) Az Európai Parlament 2014. március 12-i álláspontja.
(4)Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281 1995. 11. 23., 31. o.).
(5) 2003/361/EK bizottsági ajánlás (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).
(6) Az Európai Parlament és a Tanács 2000. december 18-i 45/2001/EK rendelete a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.)
(7) Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól (Elektronikus kereskedelemről szóló irányelv) (HL L 178., 2000. 7.17., 1. o.)
(8) A fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről szóló, 1993. április 5-i 93/13/EGK tanácsi irányelv (HL L 95., 1993.4.21., 29. o.)
(9) Az Európai Parlament és a Tanács 2008. december 16-i 1338/2008/EK rendelete a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.).
(10) Az Európai Üzemi Tanács létrehozásáról vagy a közösségi szintû vállalkozások és vállalkozáscsoportok munkavállalóinak tájékoztatását és a velük folytatott konzultációt szolgáló eljárás kialakításáról szóló, 2009. május 6-i 2009/38/EK európai parlamenti és tanácsi irányelv (HL L 122, 2009.05.16., 28. o.).
(11)Az Európai Parlament és a Tanács, 2011. február 16‑i 182/2011/EU rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról, HL L 55., 2011.2.28., 13. o.
(12) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37.o.)
(13)HL L 176., 1999.7.10., 36. o.
(14)HL L 53., 2008.2.27., 52.o.
(15)HL L 160., 2011.6.18., 19. o.
(16) Az Európai Parlament és a Tanács 2004. március 31-i 2004/18/EK irányelve az építési beruházásra, az árubeszerzésre és a szolgáltatásnyújtásra irányuló közbeszerzési szerzõdések odaítélési eljárásainak összehangolásáról (HL L 134., 2004.4.30., 114. o.)
(17) Az Európai Parlament és a Tanács 2004. március 31-i 2004/17/EK irányelve a vízügyi, energiaipari, szállítási és postai szolgáltatási ágazatokban mûködõ vállalkozások beszerzési eljárásainak összehangolásáról (HL L 134., 2004.4.30., 1. o.).
(18) Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).
(19) Az emberi felhasználásra szánt gyógyszerekkel végzett klinikai vizsgálatok során alkalmazandó helyes klinikai gyakorlatok bevezetésére vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezések közelítésérõl szóló, 2001. április 4-i 2001/20/EK európai parlamenti és tanácsi irányelv (HL L 121., 2001.5.1., 34. o.).
(20) E rendelet hatálybalépéséenk időpontja.

Jogi nyilatkozat - Adatvédelmi szabályzat