Index 
 Előző 
 Következő 
 Teljes szöveg 
Eljárás : 2012/0010(COD)
A dokumentum állapota a plenáris ülésen
Válasszon egy dokumentumot : A7-0403/2013

Előterjesztett szövegek :

A7-0403/2013

Viták :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Szavazatok :

PV 12/03/2014 - 8.12
A szavazatok indokolása

Elfogadott szövegek :

P7_TA(2014)0219

Elfogadott szövegek
PDF 931kWORD 462k
2014. március 12., Szerda - Strasbourg
A személyes adatok feldolgozása bűncselekmények megelőzése érdekében ***I
P7_TA(2014)0219A7-0403/2013
Állásfoglalás
 Egységes szerkezetbe foglalt szöveg

Az Európai Parlament 2014. március 12-i jogalkotási állásfoglalása a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelv javaslatról (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Rendes jogalkotási eljárás: első olvasat)

Az Európai Parlament,

–  tekintettel a Bizottság Európai Parlamenthez és Tanácshoz intézett javaslatára (COM(2012)0010),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére és 16. cikkének (2) bekezdésére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C7–0024/2012),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,

–  tekintettel a német Bundesrat és a svéd Parlament által a szubszidiaritás és az arányosság elvének alkalmazásáról szóló 2. jegyzőkönyv alapján előterjesztett indokolt véleményre, melyek szerint a jogalkotási aktus tervezete nem egyeztethető össze a szubszidiaritás elvével,

–  tekintettel az európai adatvédelmi biztos 2012. március 7-i véleményére,

–  tekintettel az Európai Unió Alapjogi Ügynöksége 2012. október 1-jei véleményére(1),

–  tekintettel eljárási szabályzatának 55. cikkére,

–  tekintettel az Állampolgári Jogi, Bel- és Igazságügyi Bizottság jelentésére és a Jogi Bizottság véleményére (A7-0403/2013),

1.  elfogadja első olvasatban az alábbi álláspontot;

2.  felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslatát lényegesen módosítani kívánja, vagy helyébe másik szöveget kíván léptetni;

3.  utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak és a Bizottságnak, valamint a nemzeti parlamenteknek.

(1) HL C 192., 2012.6.30., 7. o.


Az Európai Parlament álláspontja amely első olvasatban 2014. március 12-én került elfogadásra a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 2014/.../EU európai parlamenti és tanácsi irányelv elfogadására tekintettel
P7_TC1-COD(2012)0010

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezetének a nemzeti parlamentek részére való megküldését követően,

tekintettel az európai adatvédelmi biztos véleményére(1),

rendes jogalkotási eljárás keretében(2),

mivel:

(1)  A természetes személyeknek a személyes adataik feldolgozásával kapcsolatban nyújtott védelem alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van az őt érintő személyes adatok védelméhez. Az Charta 8. cikkének (2) bekezdése rögzíti, hogy az ilyen adatokat csak tisztességesen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, törvényben rögzített jogszerű okból lehet kezelni. [Mód. 1]

(2)  A személyes adatok feldolgozásának célja az emberek szolgálata; személyes adataik feldolgozása vonatkozásában az egyének védelméhez kapcsolódó elveknek és szabályoknak a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen személyes adataik védelméhez való jogukat. Ennek hozzá kell járulnia a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez.

(3)  A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatgyűjtés és -megosztás mértéke ugrásszerűen megnőtt. A technológia az illetékes hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel.

(4)  Ez szükségessé teszi az illetékes hatóságok közötti, Unión belüli szabad adatáramlás – amennyiben az valóban szükséges és arányos – és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás egyszerűsítését, biztosítva egyúttal a személyes adatok magas szintű védelmét. E fejlemények szükségessé teszik egy olyan szilárdabb és következetesebb uniós adatvédelmi keret kialakítását, amely mögött erős kikényszeríthetőség áll. [Mód. 2]

(5)  A i 95/46/EK európai parlamenti és tanácsi irányelv(3) alkalmazandó a tagállamokban végzett valamennyi személyesadat-feldolgozási tevékenységre mind az állami, mind a magánszektorban. Az említett irányelv mindazonáltal nem vonatkozik „a közösségi jog hatályán kívül eső tevékenységek” során történő feldolgozására, vagyis például a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés terén folytatott tevékenységek során.

(6)  A 2008/977/IB tanácsi kerethatározat(4) a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területére alkalmazandó. E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok feldolgozására korlátozódik.

(7)  A büntetőügyekben folytatott hatékony igazságügyi együttműködés és rendőrségi együttműködés biztosítása szempontjából kulcsfontosságú az egyének személyes adatainak következetes és magas szintű védelme, valamint az, hogy a megkönnyítsék a tagállamok illetékes hatóságai számára a személyes adatok cseréjét. E célból az egyének jogai és szabadságai védelmi szintjének a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában azonosnak kell lennie minden tagállamban. A személyes adatoknak az Unió egész területén biztosított hatékony védelme megköveteli az érintettek jogainak, valamint a személyes adatok feldolgozását végző személyek kötelezettségeinek megszilárdítását, de ugyanakkor azt is, hogy a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzését és biztosítását a tagállamokban azonos hatáskörben lássák el. A természetes személyeknek a személyes adataik feldolgozásához kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. A személyes adatoknak az Unió egész területén biztosított hatékony védelme megköveteli az érintettek jogainak, valamint a személyes adatok feldolgozását végző személyek kötelezettségeinek megszilárdítását, de ugyanakkor azt is, hogy a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzését és biztosítását a tagállamokban azonos hatáskörben lássák el. [Mód. 3]

(8)  Az Európai Unió működéséről szóló szerződés 16. cikkének (2) bekezdése előírja, hogy az Európai Parlament és Tanács állapítsa meg a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok adataik szabad áramlásáról szóló szabályokat. [Mód. 4]

(9)  Ennek alapján a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, …/2012/EU európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) meghatározza az egyéneket személyes adataik feldolgozása tekintetében védő és a személyes adatok Unión belüli szabad áramlását biztosító általános szabályokat.

(10)  A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén biztosított személyes adatvédelemről szóló 21. nyilatkozatban a konferencia elismerte, hogy a büntetőügyekben folytatott igazságügyi és rendőrségi együttműködés területén a személyes adatok védelmére és az ilyen adatok szabad áramlására vonatkozóan, az említett területek sajátos jellegére tekintettel szükségesnek bizonyulhatnak az EUMSZ 16. cikk alapján megalkotott különleges szabályok.

(11)  Ennélfogva e területek sajátos jellege külön egyedi irányelvet igényel, amelynek meg kell határoznia a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről szóló szabályokat. [Mód. 5]

(12)  Annak érdekében, hogy a jogi úton érvényesíthető jogok révén az Unió egész területén azonos szintű védelmet biztosítson az egyének részére, valamint hogy megelőzze az illetékes hatóságok közötti személyesadat-cserét akadályozó eltérések kialakulását, az irányelv harmonizált szabályozást nyújt a bűnügyi igazságügyi és rendőrségi együttműködés területén a személyes adatok védelme és szabad áramlása tekintetében.

(13)  Ez az irányelv lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét az ezen irányelvvel megállapított rendelkezések alkalmazása során.

(14)  Az ezen irányelv által nyújtott védelem a természetes személyeket a személyes adatok feldolgozása tekintetében állampolgárságtól és lakóhelytől függetlenül illeti meg.

(15)  Az egyének védelmének technológiailag semlegesnek kell lennie, és az nem függhet a felhasznált technológiáktól; különben komoly szabály-megkerülési kockázatot teremtene. Az egyének védelme az automatizált eszközök útján végzett személyesadat-feldolgozás mellett a manuális feldolgozásra is vonatkozik, amennyiben az adatokat valamely nyilvántartási rendszerben tárolják, vagy kívánják tárolni. A meghatározott szempontok szerint nem rendszerezett iratok, illetve iratok csoportjai, és azok borítóoldalai nem tartoznak ezen irányelv hatálya alá. Ezen irányelv nem alkalmazandó az olyan – különösen a nemzetbiztonságot érintő ‑ tevékenységek során végzett személyesadat-feldolgozásra, amely az uniós jog hatályán kívül esik, és nem tartozik az irányelv hatálya alá az uniós intézmények, szervek, hivatalok és ügynökségek, például az Europol vagy az Eurojust személyesadat-feldolgozása. A 45/2001/EK európai parlamenti és tanácsi rendeletet(5) és az uniós ügynökségekre, szervekre és hivatalokra alkalmazandó különös jogi eszközöket összhangba kellene hozni ezen irányelvvel, illetve azokat az irányelvvel összhangban kellene alkalmazni. [Mód. 6]

(16)  A védelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely természetes személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű módon felhasználhat az egyén azonosítására vagy elkülönítésére. A védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, hogy az érintett a továbbiakban nem azonosítható. Ez az irányelv nem alkalmazandó az anonim adatokra, azaz azokra az adatokra, amelyek közvetlenül vagy közvetetten, önmagukban vagy kapcsolódó adatokkal nem kapcsolhatók valamely természetes személyhez. Figyelemmel az információs társadalom keretében zajló változások, illetve a természetes személyekre vonatkozó helymeghatározó adatok megszerzésére, továbbítására, manipulálására, rögzítésére, tárolására vagy közlésére használt technikák jelentőségére, amelyek különböző célokra, – köztük profilok felderítésére és alkotására is – felhasználhatók, ezen irányelvnek az ilyen személyes adatokat érintő feldolgozásra is alkalmazhatónak kell lennie. [Mód. 7]

(16a)  A személyes adatok feldolgozásának törvényesnek, tisztességesnek és átláthatónak kell lennie az érintett egyének vonatkozásában. Az adatfeldolgozás sajátos céljainak különösen kifejezetten megfogalmazottaknak és jogszerűeknek, valamint a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak megfelelőnek és relevánsnak kell lenniük, valamint a személyesadat-feldolgozás céljához szükséges legkisebb mértékre kell korlátozódniuk. Ez elsősorban az összegyűjtött adatok mennyiségének korlátozását és azt igényli, hogy az adattárolás időtartama a lehető legkisebb mértékűre korlátozódjon. A személyes adatokat csak abban az esetben lehet feldolgozni, ha a feldolgozás célját egyéb eszközzel nem lehetséges elérni. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek. Annak biztosítása érdekében, hogy az adatokat csak a szükséges ideig tárolják, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. [Mód. 8]

(17)  Az egészségre vonatkozó személyes adatok közé tartozik különösen minden olyan adat, amely az érintett egészségi állapotára vonatkozik; az egyén egészségügyi szolgáltatásnyújtás érdekében történő nyilvántartása; az egészségügyi ellátásért teljesített fizetések és az arra való jogosultság az egyén vonatkozásában; olyan adott egyénhez rendelt szám, szimbólum vagy adat, amelynek célja, hogy egészségügyi szempontból kizárólagosan azonosítsa a személyt; az egyénnel kapcsolatban a neki nyújtott egészségügyi szolgáltatás során gyűjtött bármilyen információ; például testrész vagy testet alkotó anyag – beleértve a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; egy személy azonosítása, aki egészségügyi szolgáltatást nyújt az egyénnek; bármilyen többek között az érintett betegséggel, fogyatékossággal, betegségkockázattal, kórtörténettel, klinikai kezeléssel vagy az érintett aktuális fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, úgymint orvos vagy egyéb egészségügyi dolgozó, kórház, orvosi berendezés vagy in vitro diagnosztikai teszt.

(18)  A személyes adatok feldolgozásának tisztességesnek és törvényesnek kell lennie az érintett egyének szempontjából. Az adatfeldolgozás sajátos céljainak különösen pontosan megfogalmazottaknak kell lenniük. [Mód. 9]

(19)  A bűncselekmények megelőzése, nyomozása és üldözése érdekében szükséges, hogy az illetékes hatóságok személyes adatokat tároljanak és dolgozzanak fel, amelyeket a konkrét bűncselekmények megelőzése, nyomozása, felderítése vagy üldözése során gyűjtöttek, ezen összefüggésen túl pedig annak érdekében is, hogy megértsék a kriminológiai jelenségeket és trendeket, hogy információkat gyűjtsenek a szervezett bűnözésről, és hogy összekapcsolják a különböző felderített bűncselekményeket. [Mód. 10]

(20)  A személyes adatokat nem lehet az adatgyűjtés céljával ellentétes célból feldolgozni. A személyes adatoknak megfelelőnek és relevánsnak kell lenniük, valamint nem léphetik túl a személyes adatok feldolgozásának célját. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek. [Mód. 11]

(20a)  Pusztán annak ténye, hogy két cél közül mindkettő kapcsolódik bűncselekmények megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy büntetőjogi szankciók végrehajtásához, nem jelenti szükségképpen azt, hogy a két cél összeegyeztethető. Vannak azonban esetek, amelyekben lehetséges a nem összeegyeztethető célból történő további adatfeldolgozás, ha ez az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, az érintett vagy más személy létfontosságú érdekeinek védelméhez vagy a közbiztonságot fenyegető közvetlen és súlyos veszély elhárításához szükséges. A tagállamok ezért elfogadhatnak nemzeti jogszabályokat, amelyek a feltétlenül szükséges mértékben rendelkeznek az ilyen eltérésekről. Ezeknek a nemzeti jogszabályoknak megfelelő biztosítékokat kell tartalmazniuk. [Mód. 12]

(21)  Az adatok pontosságának elvét az adott feldolgozás jellegére és céljára tekintettel kell alkalmazni. Különösen a bírósági eljárásokban a személyes adatokat tartalmazó nyilatkozatok az egyének szubjektív megfigyelésén alapulnak, és némely esetben nem mindig ellenőrizhetőek. A pontosság követelménye következésképpen nem a nyilatkozat pontosságára, hanem pusztán arra a tényre vonatkoztatandó, hogy egy konkrét nyilatkozat megtételére került sor.

(22)  Az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett személyesadat-feldolgozással kapcsolatos általános elvek értelmezése és alkalmazása során figyelemmel kell lenni az ágazat sajátosságaira, ideértve a követett különleges célokat is. [Mód. 13]

(23)  A személyes adatoknak a bűnügyi igazságügyi és rendőrségi együttműködés területén történő feldolgozásával természetszerűleg együtt jár, hogy az érintettek különböző kategóriáira vonatkozó személyes adatokat dolgoznak fel. Ezért –amennyire lehetséges – egyértelműen különbséget kell tenni az érintettek különböző kategóriáihoz tartozó személyes adatok között, így a bűncselekmények elkövetésével gyanúsított vagy amiatt elítélt személyekre, az áldozatokra és egyéb harmadik személyekre, például tanúkra, fontos információk birtokosaira vagy a gyanúsítottak és az elítélt bűnelkövetők kapcsolataira és bűntársaira vonatkozó személyes adatok között. Az adatgyűjtés különböző céljainak figyelembevétele mellett a tagállamoknak meg kell határozniuk e kategorizálás különleges szabályait, és különleges biztosítékokat kell nyújtaniuk az elkövetéssel nem gyanúsított, illetve bűncselekményért el nem ítélt személyeknek. [Mód. 14]

(24)  Amennyire lehetséges a személyes adatokat pontosságuk és megbízhatóságuk foka szerint kell különválasztani. Az egyének védelmét és az illetékes hatóságok által feldolgozott információk minőségét és megbízhatóságát biztosítandó, a tényeket és a személyes értékelést külön kell választani.

(25)  A személyes adatok feldolgozása feldolgozásának jogszerűsége érdekében az adatfeldolgozást kizárólag akkor szabad engedélyezni jogszerű, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, jogszabály alapján az illetékes hatóság által a közérdekből végzett feladat ellátásához, az érintett vagy más személy létfontosságú érdekeinek védelméhez vagy a közbiztonságot fenyegető közvetlen és súlyos veszély elhárításához szükséges.szükséges olyan uniós vagy tagállami jogszabály alapján, amely kifejezett és részletes rendelkezést tartalmaz legalább a célokra, a személyes adatokra, a konkrét célra és eszközökre vonatkozóan, megnevezi az adatkezelőt, a követendő eljárásokat, az adatfeldolgozási tevékenységek tekintetében az illetékes hatóság számára biztosított mérlegelési jogkör igénybevételét és korlátait, illetve lehetővé teszi ezek megnevezését. [Mód. 15]

(25a)  A személyes adatokat nem lehet az adatgyűjtés céljával ellentétes célból feldolgozni. Az ezen irányelv hatálya alá tartozó, az eredeti céllal nem ellentétes célra történő, illetékes hatóságok általi további feldolgozást kizárólag egyedi esetekben lehet engedélyezni, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, uniós vagy tagállami jogszabály alapján az érintett vagy más személy létfontosságú érdekeinek védelméhez vagy a közbiztonságot fenyegető közvetlen és súlyos veszély elhárításához szükséges. Az, hogy bűnüldözési célból adatokat dolgoznak fel, nem szükségképpen jelenti azt is, hogy ez a cél összeegyeztethető az eredeti céllal. Az „összeegyeztethető felhasználás” fogalmát megszorítóan kell értelmezni. [Mód. 16]

(25b)  Az ezen irányelv értelmében elfogadott nemzeti rendelkezésekkel ellentétesen feldolgozott személyes adatok további feldolgozása nem engedélyezett. [Mód. 17]

(26)  Az alapvető jogokkal és a magánélettel kapcsolatos, jellegüknél fogva különösen érzékeny és visszaélésre alkalmas személyes adatok – a genetikai adatokat is beleértve – különleges védelmet érdemelnek. Az ilyen adatok feldolgozására csak akkor kerülhet sor, ha az adatfeldolgozásra közérdekű feladat ellátásához szükséges olyan uniós jogszabály vagy tagállami jogszabály alapján van szükség, amely az érintett alapvető jogainak és jogos érdekének biztosítására megfelelő intézkedéseket ír elő; biztosítékokat nyújtó jogszabályban szereplő külön lehetőség alapján kerülhet sor; vagy ha az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy ha az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott. Érzékeny személyes adatok feldolgozására csak akkor kerülhet sor, ha ezek a bűnüldözési célokra feldolgozott egyéb személyes adatokat egészítik ki. Az érzékeny adatok feldolgozásának tilalmától való eltérést megszorítóan kell értelmezni, és nem vezethet az érzékeny személyes adatok gyakori, nagyszámú és strukturális továbbításához. [Mód. 18]

(26a)  Genetikai adatok feldolgozása csak akkor engedélyezhető, ha a bűnügyi nyomozás vagy bírósági eljárás során genetikai kapcsolat merül fel. Genetikai adatok kizárólag a fenti nyomozás vagy eljárás céljából szükséges ideig tárolhatók, ugyanakkor a tagállamok – az ezen irányelvben megállapított feltételekkel – ennél hosszabb tárolási időt is előírhatnak. [Mód. 19]

(27)  Minden természetes személyt megillet a jog, hogy ne legyen kizárólag részlegesen vagy teljesen automatizált adatfeldolgozási eszközökkel végzett profilalkotáson alapuló intézkedés alanya, amennyiben az Meg kell tiltani az olyan adatfeldolgozást, amely e személy számára hátrányos jogkövetkezményt von maga után vagy rá jelentős mértékben kihat, a jogszabály által lehetővé tett eseteket kivéve, és feltéve, hogy az ilyen intézkedéseket az érintett alapvető jogainak és jogos érdekének – például a profilalkotás során alkalmazott logikára vonatkozó érthető tájékoztatáshoz való jogának –biztosítására szolgáló megfelelő biztosítékok övezik. Az ilyen adatfeldolgozás semmilyen körülmények között nem tartalmazhat vagy generálhat speciális adatkategóriákat, és nem alkalmazhat ilyen adatkategóriákon alapuló hátrányos megkülönböztetést. [Mód. 20]

(28)  Annak érdekében, hogy gyakorolhassák jogaikat, az érintett tájékoztatásának hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt, hogy azt világos és közérthető nyelven fogalmazzák meg. .A tájékoztatást, különösen a kifejezetten gyermekeknek szóló tájékoztatást, az érintett szükségleteihez kell szabni. [Mód. 22]

(29)  Az érintettek ezen irányelvben biztosított jogainak gyakorlását egyszerűsítő eljárásokat – ideértve az adatok vonatkozásában kérelemre és térítésmentesen biztosított hozzáférés, helyesbítés és törlés mechanizmusait – kell létrehozni. Az adatkezelőnek köteles az érintett kérelmére haladéktalanul és legkésőbb a kérelem beérkezésétől számított egy hónapon belül válaszolni. Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja továbbá a kérelmek elektronikus úton történő benyújtásának lehetőségét is. [Mód. 22]

(30)  A tisztességes és átlátható adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, jogalapjáról az adatok tárolásának időtartamáról, a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Az érintettet ezenkívül az esetleges profilalkotás tényéről és annak várt következményeiről is tájékoztatni kell. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár. [Mód. 23]

(31)  Az érintettre vonatkozó személyes adatok feldolgozásával kapcsolatos tájékoztatást az adatgyűjtés időpontjában, illetve, abban az esetben, amikor az adatokat nem az érintettől nyerik, a rögzítés időpontjában vagy az adatgyűjtést követő ésszerű határidőn belül kell nyújtani az adatfeldolgozás különleges körülményeire tekintettel.

(32)  Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait,jogalapját időtartamát, az adatok címzettjeit, harmadik országok tekintetében is megkapja a bármely automatizált feldolgozásra vonatkozó logikával, illetve adott esetben ennek fontosabb és várható következményeivel kapcsolatos érthető tájékoztatást, továbbá ahhoz, hogy a felügyelő hatósághoz panaszt nyújtson be, és megismerje a felügyelő hatóság elérhetőségét. . Az érintettek rendelkezésére kell bocsátani a feldolgozás alatt álló személyes adataik másolatát. [Mód. 24]

(33)  A tagállamok jogszabályokat fogadhatnak el az érintettek tájékoztatásának vagy a személyes adataikhoz való hozzáférésnek a késleltetésére, korlátozására vagy megtagadására, amennyiben e részleges vagy teljes korlátozás – kellő tekintettel az érintett személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedést jelent a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése, a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása, a köz- vagy nemzetbiztonság védelme, illetve az érintett vagy mások jogainak és szabadságainak védelme érdekében. Az adatkezelőnek minden egyes ügy konkrét, egyedi vizsgálatával kell értékelnie, hogy a hozzáférési jog részleges vagy teljes korlátozása alkalmazandó-e. [Mód. 25]

(34)  A hozzáférés bármely megtagadását vagy korlátozását írásban közölni kell az érintettel a döntés ténybeli és jogi indokaival együtt.

(34a)  Az érintett jogaira vonatkozó korlátozásoknak összhangban kell állniuk Chartával, az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel, amint arra az Európai Unió Bírósága és az Emberi Jogok Európai Bírósága is rámutat ítélkezési gyakorlatában, és mindenekelőtt tiszteletben kell tartaniuk a jogok és szabadságok lényegét. [Mód. 26]

(35)  Amennyiben a tagállamok a hozzáférési jogot részben vagy teljesen korlátozó jogszabályt fogadtak el, az érintettnek joga van kérni, hogy az illetékes nemzeti felügyelő hatóság vizsgálja meg az adatfeldolgozás jogszerűségét. Az érintettet e jogról tájékoztatni kell. Amennyiben a felügyelő hatóság az érintett nevében él a hozzáféréssel, a felügyelő hatóságnak az érintettet mindenképpen tájékoztatnia kell legalább arról, hogy a felügyelő hatóság minden szükséges felülvizsgálatot elvégzett, valamint a szóban forgó adatfeldolgozás jogszerűségére vonatkozó eredményről. A felügyelő hatóságnak az érintettet a bírósági jogorvoslathoz való jogáról is tájékoztatnia kell. [Mód. 27]

(36)  Mindenkinek joga van a rá vonatkozó pontatlan személyes adatok helyesbítéséhez és törléséhez, amennyiben az ilyen adatok feldolgozása nem felel meg az ezen irányelvben rögzített rendelkezéseknek. Az ilyen helyesbítésről, kiegészítésről vagy törlésről értesíteni kell azokat a címzetteket, akikhez az adatokat továbbították, továbbá azokat a harmadik feleket, akiktől a hibás adatok származtak. Az adatkezelőknek továbbá tartózkodniuk kell az ilyen adatok további terjesztésétől. Amennyiben a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során dolgozzák fel, az adatfeldolgozás helyesbítését, a tájékoztatáshoz való jogot, a hozzáférést, a törlést és korlátozást a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban kell elvégezni. [Mód. 28]

(37)  A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét. Az adatkezelőnek biztosítania kell és tudnia kell igazolni, hogy valamennyi adatfeldolgozási művelet összhangban áll a feldolgozási műveleteknek az ezen irányelv értelmében elfogadott szabályokkal való összhangját. [Mód. 29]

(38)  Az irányelv követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg. Az adatkezelő az ezen irányelv értelmében elfogadott rendelkezésekkel való összhang biztosítása érdekében szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz.

(39)  Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége is megköveteli az ezen irányelv szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, feltételeit és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet. Az érintettet valamennyi közös adatkezelő tekintetében és vele szemben megilleti a jog, hogy az ezen irányelv alapján fennálló jogait gyakorolja. [Mód. 30]

(40)  Az adatkezelőnek vagy -feldolgozónak az ezen irányelvvel való összhang ellenőrzése érdekében dokumentálnia kell az adatfeldolgozási tevékenységet. Minden adatkezelő vagy -feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt kérésre hozzáférhetővé tenni az adatfeldolgozási műveletek ellenőrzése céljából.

(40a)  Valamennyi személyesadat-feldolgozási műveletet rögzíteni kell az adatfeldolgozás jogszerűségének felülvizsgálata, az önellenőrzés, valamint az adatok sértetlenségének és biztonságának biztosítása céljából. A rögzítést kérésre a felügyelő hatóság számára hozzáférhetővé kell tenni az ezen irányelvben rögzített szabályoknak való megfelelés ellenőrzése céljából. [Mód. 31]

(40b)  Az adatkezelőnek vagy az adatfeldolgozónak adatvédelmi hatásvizsgálatot kell végeznie, amennyiben az adatfeldolgozási műveletek jellegükből, alkalmazási területükből vagy céljaikból fakadóan valószínűsíthetően különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, amelynek különösen a személyes adatok védelmét biztosító tervezett intézkedésekre, biztosítékokra és mechanizmusokra, valamint az ezen irányelvvel való összhang bizonyítására kell kiterjednie. A hatásvizsgálatnak személyesadat-feldolgozási műveletek rendszereire és folyamataira kell irányulnia, nem pedig egyedi esetekre. [Mód. 32]

(41)  Az érintettek jogai és szabadságai hatékony védelmének megelőző intézkedésekkel történő biztosítása érdekében az adatkezelő vagy -feldolgozó konzultál a felügyelő hatósággal, bizonyos esetekben a feldolgozást megelőzően. Ezenkívül, amennyiben egy adatvédelmi hatásvizsgálat azt jelzi, hogy az adatfeldolgozási műveletek valószínűleg magas szintű, különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, a felügyelő hatóságnak a műveletek megkezdése előtt meg kell tudnia akadályozni az olyan kockázatos feldolgozást, amely nem áll összhangban ezen irányelvvel, és javaslatokat kell tudnia készíteni e helyzet orvoslására. Ez a konzultáció egyaránt elvégezhető a nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése során. [Mód. 33]

(41a)  A biztonság fenntartása és a jelen irányelvvel ellentétes adatfeldolgozás megelőzése érdekében az adatkezelőnek vagy -feldolgozónak értékelnie kell az adatfeldolgozás természetéből fakadó kockázatokat, és meg kell tennie az e kockázatok csökkentésére alkalmas intézkedéseket. Ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, a védendő személyes adatok jellegének és a belőlük fakadó kockázatok vonatkozásában figyelembe véve a technika állását és alkalmazásuk költségeit. Az adatfeldolgozás biztonságát biztosító technikai szabványok és szervezeti intézkedések kialakítása során elő kell mozdítani a technológiai semlegességet. [Mód. 34]

(42)  A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – jelentős gazdasági veszteséget és társadalmi kárt okozhat – a személyazonossággal való visszaélést hírnévrontást is beleértve – az érintett számára. Az adatkezelőnek ezért, amint tudomására jut az ilyen jogsértés, értesítenie kell az illetékes nemzeti hatóságot. Azokat az egyéneket, akiknek személyes adatait vagy magánéletét a jogsértés hátrányosan befolyásolhatja, haladéktalanul értesíteni kell, annak érdekében, hogy megtehessék a szükséges óvintézkedéseket. Az egyének személyes adatait és magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopást, személyazonossággal való visszaélést, fizikai károkozást, súlyos sértést vagy hírnévrontást eredményezhet a személyes adatok feldolgozásával összefüggésben. . Az értesítésnek tartalmaznia kell a szolgáltató által a biztonsági probléma orvoslása érdekében megtett intézkedésekről szóló tájékoztatást, valamint az érintett előfizetőnek vagy személynek szóló ajánlásokat. Az érintetteknek szóló tájékoztatást a lehető leghamarabb meg kell tenni, szorosan együttműködve a felügyelő hatósággal, az általa nyújtott iránymutatást betartva. [Mód. 35]

(43)  A személyes adatok megsértéséről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor megfelelő figyelmet kell fordítani a jogsértés körülményeire, beleértve azt is, hogy a személyes adatokat védték-e olyan megfelelő műszaki védelmi intézkedésekkel, amelyek hatékonyan korlátozzák a visszaélés előfordulásának valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá az illetékes hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti feltárás szükségtelenül veszélyeztethetné a jogsértés körülményeinek kivizsgálását.

(44)  Az adatkezelőnek vagy -feldolgozónak ki kell jelölnie egy olyan személyt, aki segítséget nyújt számára az ezen irányelv értelmében elfogadott rendelkezésekkel való összhang ellenőrzése és bizonyítása tekintetében. Olyan esetekben, amikor több illetékes hatóság működik egy központi hatóság felügyelete alatt, legalább e központi hatóságnak ki kell jelölnie az említett az adatvédelmi tisztviselőt az illetékes hatóság több szerve közösen is kinevezheti. Az adatvédelmi tisztviselőknek olyan helyzetben kell lenniük, hogy kötelezettségeiket és feladataikat függetlenül és hatékonyan láthassák el, elsősorban olyan szabályok megállapítása révén, amelyek elejét veszik az adatvédelmi tisztviselő egyéb feladataival való összeférhetetlenségnek. [Mód. 36]

(45)  A tagállamoknak biztosítaniuk kell, hogy a harmadik országba történő adattovábbításra csak akkor kerüljön sor, ha az a szóban forgó konkrét adattovábbítás bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása érdekében szükséges, és a harmadik országbeli adatkezelő vagy nemzetközi szervezet az ezen irányelv értelmében vett illetékes hatóságnak minősül. Adattovábbításra csak azokban az esetekben kerülhet sor, amelyeknél a Bizottság úgy ítélte meg, hogy a szóban forgó harmadik ország vagy nemzetközi szervezet megfelelő védelmi szintet képes biztosítani, illetve ha megfelelő biztosítékokat nyújtottak, vagy ha jogilag kötelező eszköz útján megfelelő biztosítékokat teremtettek. Harmadik országok illetékes hatóságainak továbbított adatokat a továbbítás céljától eltérő célokból a továbbiakban feldolgozni nem lehet.. [Mód. 37]

(45a)  Harmadik országok illetékes hatóságai vagy nemzetközi szervezetek számára továbbított adatok e hatóságok vagy nemzetközi szervezetek általi további továbbítását csak akkor szabad megengedni, ha e továbbítás az eredeti továbbítással megegyező konkrét célból volt szükséges, és ha a második címzett is illetékes hatóság. Az adatok további továbbítását általános bűnüldözési célokból nem szabad megengedni. Az adatok további továbbításához az eredeti adattovábbítást végző illetékes hatóság hozzájárulása szükséges. [Mód. 38]

(46)  A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ezekben az esetekben a személyes adatok az említett országokba további engedély nélkül is továbbíthatók.

(47)  A Bizottságnak az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban figyelembe kell vennie, hogy az adott harmadik országban mennyire tisztelik a jogállamiságot, a bírói igazságszolgáltatáshoz való jogot valamint a nemzetközi emberi jogi normákat és előírásokat.

(48)  A Bizottságnak azt is fel kell tudnia ismerni, hogy az adott harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani, kivéve, ha nemzetközi megállapodáson, megfelelő biztosítékokon vagy eltérésen alapul. Rendelkezni kell a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról. Ugyanakkor az ilyen bizottsági határozat nem sértheti annak lehetőségét, hogy az adattovábbítást jogilag kötelező eszközök útján nyújtott megfelelő biztosítékok vagy az irányelvben szereplő eltérés alapján végezzék. [Mód. 39]

(49)  Ilyen megfelelőségi határozat hiányában csak akkor van lehetőség adattovábbításra, ha jogilag kötelező eszköz útján a személyes adatok védelmére megfelelő biztosítékokat teremtettek., vagy az adatkezelő vagy -feldolgozó megvizsgálta az adattovábbítási művelet vagy műveletcsoport valamennyi körülményét, és e vizsgálat alapján úgy véli, hogy megfelelő biztosítékok állnak fenn a személyes adatok védelme tekintetében. Amennyiben nem áll fenn a továbbítást lehetővé tévő indok, eltéréseket kell engedni az érintett vagy más személy létfontosságú érdekének védelme érdekében, vagy az érintett jogos érdekének a személyes adatot továbbító tagállam jogszabályai által előírt biztosítása érdekében, vagy ha ez valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében nélkülözhetetlen, illetve egyedi esetekben bűncselekmények megelőzésére, nyomozására, felderítésére, büntetőeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására irányuló célból, vagy egyedi esetekben jogi követelések megállapítása, érvényesítése vagy védelme érdekében. [Mód. 40]

(49a)  Amennyiben nem áll fenn a továbbítást lehetővé tévő indok, eltéréseket kell engedni az érintett vagy más személy létfontosságú érdekének védelme érdekében, vagy az érintett jogos érdekének a személyes adatot továbbító tagállam jogszabályai által előírt biztosítása érdekében, vagy ha ez valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében nélkülözhetetlen, illetve egyedi esetekben bűncselekmények megelőzésére, nyomozására, felderítésére, büntetőeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására irányuló célból, vagy egyedi esetekben jogi követelések megállapítása, érvényesítése vagy védelme érdekében. Az eltéréseket megszorítóan kell értelmezni, és azok nem tehetik lehetővé a személyes adatok gyakori, nagyszámú és strukturális továbbítását, valamint a nagybani adattovábbítást, aminek a feltétlenül szükséges adatokra kell korlátozódnia. Ezenkívül a továbbításra vonatkozó döntést megfelelő felhatalmazással rendelkező személynek kell meghoznia, a továbbítást dokumentálni kell, és kérésre – a továbbítás jogszerűségének ellenőrzése céljából – hozzáférhetővé kell tenni a felügyelő hatóság számára. [Mód. 41]

(50)  Amennyiben a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy az egyének nem képesek gyakorolni adatvédelmi jogaikat az említett adatok jogellenes felhasználása vagy nyilvánosságra hozatala elleni védelem. Ezzel egyidejűleg a felügyelő hatóságok megállapíthatják, hogy képtelenek a panaszok érvényesítésére vagy vizsgálat lefolytatására a határaikon kívül folyó tevékenységek tekintetében. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, az egymásnak ellentmondó jogi rendszerek. Ezért elő kell mozdítani az adatvédelmi felügyelő hatóságok közötti szorosabb együttműködést a külföldi partnereikkel folytatott információcsere elősegítése érdekében.

(51)  A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok tagállamokbeli létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A felügyelő hatóságok a természetes személyeket személyes adataik feldolgozása tekintetében megillető védelem biztosítása érdekében ellenőrzik az ezen irányelv értelmében elfogadott rendelkezések alkalmazását, és hozzájárulnak azoknak az Unió egész területén történő következetes alkalmazásához. E célból a felügyelő hatóságok együttműködnek egymással és a Bizottsággal. [Mód. 42]

(52)  A tagállam a […]/2012/EU rendelet alapján az adott tagállamban korábban létrehozott felügyelő hatóságra ruházhatja az ezen irányelv alapján létrehozandó nemzeti felügyelő hatóság által ellátandó feladatokért való felelősséget.

(53)  A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak. Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – ideértve az Unió bármely más felügyelő hatóságával való együttműködést és a kölcsönös segítségnyújtást – hatékony ellátásához szükséges anyagi és személyi erőforrásokat, helyiségeket és infrastruktúrát, a műszaki felszereltséget, a tapasztalatokat és képességeket is beleértve. [Mód. 43]

(54)  A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és biztosítani kell, hogy az említett tagokat vagy a tagállam parlamentje vagy kormánya a parlamenttel való egyeztetés alapján nevezze ki, valamint szabályozni kell a tagok szükséges képesítését és beosztását. [Mód. 44]

(55)  Bár ezen irányelv a tagállami bíróságok tevékenységére is alkalmazandó, a felügyelő hatóság hatásköre nem terjed ki a személyes adatok feldolgozására, ha a bíróságok igazságszolgáltatási feladatkörükben járnak el, ezzel biztosítva a bírák függetlenségét igazságszolgáltatási feladataik ellátása során. E kivétel azonban csak a bírósági ügyekben végzett valódi igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyek ellátásába a bírákat a nemzeti jognak megfelelően adott esetben bevonják.

(56)  Ezen irányelv Unió-szerte következetes ellenőrzésének és érvényesítésének biztosítása érdekében a felügyelő hatóságokat minden tagállamban ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell felruházni, ideértve a tényleges vizsgálati hatáskört, a valamennyi felügyeleti feladatuk teljesítéséhez szükséges összes személyes adathoz és információhoz való hozzáférési jogot, az adatkezelő vagy -feldolgozó helyiségeibe való belépési jogot, az adatfeldolgozó berendezést is beleértve, jogi kötőerővel bíró beavatkozást, határozatokat és szankciókat, különösen az egyéni panaszok esetén, valamint a bírósági eljárásokban való részvétel jogát is. [Mód. 45]

(57)  Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani.

(58)  A felügyelő hatóságoknak feladataik ellátása során együtt kell működniük és kölcsönösen támogatniuk kell egymást annak érdekében, hogy biztosítsák az ezen irányelv értelmében elfogadott rendelkezések következetes alkalmazását és érvényesítését. Valamennyi felügyelő hatóságnak késznek kell lennie a közös műveletekben való részvételre. A megkeresett felügyelő hatóság köteles a megkeresésre meghatározott időn belül választ adni. [Mód. 46]

(59)  A […]/2012/EU […]/2014/EU rendelet által létrehozott Európai Adatvédelmi Testület az Unió egész területén hozzájárul ezen irányelv következetes alkalmazásához, ideértve a Bizottság az uniós intézmények részére történő tanácsadást és a felügyelő hatóságok közötti Unión belüli együttműködés előmozdítását is, és az ezen irányelv alapján kidolgozott felhatalmazáson alapuló jogi aktusok és végrehajtási aktusok előkészítése során véleményét a Bizottság elé terjeszti. [Mód. 47]

(60)  Minden érintettnek joga van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joga van a bírósági jogorvoslathoz, ha álláspontja szerint sérültek az ezen irányelv szerinti jogai, illetve ha a felügyelő hatóság a panasz ügyében nem intézkedik, vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg.

(61)  Az érintettek adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott, A tagállam jogának megfelelően létrehozott, közérdekből eljáró valamennyi szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében panaszt emelni vagy bírósági jogorvoslatot igénybe venni, amennyiben erre szabályszerűen felhatalmazták, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint személyes adatok megsértésére került sor. [Mód. 48]

(62)  Valamennyi természetes vagy jogi személyt megilleti a jog, hogy a felügyelő hatóság rá vonatkozó határozatával szemben bírósági jogorvoslatot vegyen igénybe. A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(63)  A tagállamoknak a hatékonyság érdekében biztosítaniuk kell, hogy a bírósági keresetek az ezen irányelv megsértését orvosló vagy megelőző intézkedések gyors elfogadását tegyék lehetővé.

(64)  A jogellenes adatfeldolgozás miatt kárt – köztük nem vagyoni kárt –szenvedett személy kártérítését az adatkezelőnek vagy -feldolgozónak kell állnia, aki/amely akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén. [Mód. 49]

(65)  Szankciót kell kiróni minden olyan természetes vagy jogi személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki, illetve amely nem tesz eleget az ezen irányelvben foglaltaknak. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében.

(65a)  Személyes adatok más Unión belüli hatóságoknak vagy magánfeleknek való továbbítása tiltott, kivéve ha a továbbítás összhangban áll a jogszabályokkal, és a címzett valamely tagállamban letelepedett, továbbá ha az érintett jogos egyéni érdekei nem akadályozzák az adattovábbítást, a továbbítást a személyes adatokat továbbító adatkezelőnek egy konkrét ügyben a jogszerűen ráruházott feladatok ellátása, a közbiztonságot közvetlenül és súlyosan veszélyeztető esemény megelőzése vagy annak megakadályozása céljából kell elvégeznie, hogy az egyének jogai súlyosan sérüljenek. Az adatkezelőnek tájékoztatnia kell a címzettet az adatfeldolgozás céljáról, a felügyelő hatóságot pedig a továbbítás tényéről. A címzettnek az adatfeldolgozásra vonatkozó korlátozásokról is tájékoztatást kell kapnia, és gondoskodnia kell e korlátozások betartásáról. [Mód. 50]

(66)  Az ezen irányelv célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül az illetékes hatóságok között szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen az adatvédelmi hatásvizsgálatot igénylő feldolgozási műveletekre vonatkozó szempontok és feltételek további meghatározása; a személyes adatokmegsértésére vonatkozó szempontok és követelmények, és a személyes adatok megsértésének felügyelő hatóság részére történő bejelentéseés a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint tekintetében. Kiemelten fontos, hogy a Bizottság az előkészítő munka folyamán megfelelő konzultációkat folytasson, többek között szakértői szinten is, de különösen az Európai Adatvédelmi Testülettel. A felhatalmazáson alapuló jogi aktusok előkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történő egyidejű, időben és megfelelő módon történő eljuttatásáról. [Mód. 51]

(67)  Ezen irányelv egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni az adatkezelők és az adatfeldolgozók általi dokumentálás, az adatfeldolgozás biztonsága – különösen a titkosítási szabványokkal összefüggésben és a személyes adatok megsértésének felügyelő hatóság részére történő bejelentése és a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint tekintetében. Az említett hatásköröket a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i 182/2011/EU európai parlamenti és tanácsi rendeletnek(6) megfelelően kell gyakorolni. [Mód. 52]

(68)  Vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és az adatfeldolgozók általi dokumentálással, az adatfeldolgozás biztonságával, a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésével és a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szinttel kapcsolatos intézkedések elfogadására, feltéve hogy az említett jogi aktusok általános hatállyal bírnak. [Mód. 53]

(69)  A Bizottságnak azonnal alkalmazandó végrehajtási aktusokat kell elfogadnia az olyan kellően indokolt esetekben, amennyiben valamely harmadik ország vagy annak valamely régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít megfelelő védelmi szintet, ha a rendkívüli sürgősség ezt megköveteli. [Mód. 54]

(70)  Mivel ezen irányelv célkitűzéseit, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok adataik védelméhez való joguk – védelmét, valamint annak biztosítását, hogy a személyes adatok az Unión belül az illetékes hatóságok között szabadon áramolhassanak, a tagállamok nem tudják kielégítően megvalósítani illetőleg , és ezért azok – a fellépés léptéke vagy hatásai miatt – uniós szinten jobban megvalósíthatók, az Unió intézkedéseket fogadhat el az Európai Unióról szóló szerződés 5. cikkében rögzített szubszidiaritás elvének megfelelően. Az arányosság említett cikkben rögzített elvének megfelelően ezen irányelv nem lépi túl az e célok eléréséhez szükséges mértéket. . A tagállamok rendelkezhetnek az ezen irányelvben megállapítottnál magasabb szintű szabályokról. [Mód. 55]

(71)  Ezen irányelv hatályon kívül helyezi a 2008/977/IB kerethatározatot.

(72)  Változatlanul hatályban maradnak az ezen irányelv elfogadásának időpontját megelőzően elfogadott, a személyes adatok tagállamok közötti feldolgozását vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó uniós jogi aktusoknak a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozására vonatkozó különös rendelkezései. Mivel az Alapjogi Charta 8. cikke és az EUMSZ 16. cikke értelmében a személyes adatok védelméhez való alapvető jogot az Unió egész területén következetesen és egységesen biztosítani kell, a Bizottság ezen irányelv hatálybalépésétől számított két éven belül a Bizottság ezen irányelv hatálybalépésétől számított két éven belül értékeli a helyzetet az ezen irányelv és az elfogadásának időpontját megelőzően elfogadott, a személyes adatok tagállamok közötti feldolgozását vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó jogi aktusok közötti kapcsolatra tekintettel annak , és érdekében, hogy felmérje e különös rendelkezések ezen irányelvhez igazításának szükségességét.a személyes adatok felelős hatóságok általi feldolgozására vonatkozóan következetes és egységes jogszabályokat biztosítson, illetve biztosítsa a tagállamok kijelölt hatóságainak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését, valamint a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi, bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő feldolgozását, megfelelő javaslatokat terjeszt elő.. [Mód. 56]

(73)  A személyes adatok Unión belüli átfogó és következetes védelmének biztosítása érdekében az Unió vagy a tagállamok által ezen irányelv hatálybalépését megelőzően kötött nemzetközi megállapodásokat ezen irányelvvel összhangban módosítani kell. [Mód. 57]

(74)  E rendelet nem sérti a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemnek a 2011/93/EU európai parlamenti és tanácsi irányelvben(7) szereplő rendelkezéseit.

(75)  Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 6a. cikkével összhangban az Egyesült Királyságot és Írországot nem kötelezik az ezen irányelvben meghatározott szabályok, amennyiben az Egyesült Királyságot vagy Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy a rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az Európai Unió működéséről szóló szerződés 16. cikke alapján megállapított rendelkezések betartását.

(76)  Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, Dánia helyzetéről szóló jegyzőkönyv 2. és 2a. cikkével összhangban ezen irányelv Dániára nézve nem kötelező és nem alkalmazandó. Tekintettel arra, hogy ezen irányelv az Európai Unió működéséről szóló szerződés Harmadik része V. címének értelmében a schengeni vívmányokat fejleszti tovább, Dánia – az említett jegyzőkönyv 4. cikkével összhangban – az ezen irányelv elfogadását követő hat hónapon belül dönt arról, hogy nemzeti jogába átülteti-e ezt az irányelvet. [Mód. 58]

(77)  Izland és Norvégia tekintetében ezen irányelv az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás(8) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(78)  Svájc tekintetében ezen irányelv az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás(9) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(79)  Liechtenstein tekintetében ezen irányelv az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség között a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról aláírt jegyzőkönyv(10) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(80)  Ezen irányelv tiszteletben tartja az alapvető jogokat és betartja az Európai Unió Alapjogi Chartája által elismert, a Szerződésben rögzített elveket, nevezetesen a magán- és a családi élet tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot. E jogok a Charta 52. cikkének (1) bekezdésével összhangban csak akkor korlátozhatók, ha az elengedhetetlen, és az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

(81)  A tagállamoknak és a Bizottságnak a magyarázó dokumentumokról(11) szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza az irányelv elemei és az azt átültető nemzeti jogi eszközök megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt.

(82)  Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az érintettek büntetőeljárás során feldolgozott személyes adatai tekintetében fennálló tájékoztatási, hozzáférési, helyesbítési, törlési és korlátozási jogának gyakorlásáról, valamint ezek esetleges korlátozásáról rendelkezzenek nemzeti büntetőeljárási szabályaikban,

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és célkitűzések

(1)  Ez az irányelv a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelmére, valamint e személyes adatok szabad mozgására vonatkozó feltételeket védelméről szóló szabályokat állapítja meg.

(2)  A tagállamok ezen irányelvvel összhangban:

a)  védelmezik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok adataik és a magánéletük védelméhez való jogukat; valamint

b)  biztosítják, hogy az illetékes hatóságok közötti Unión belüli személyesadat-cserét nem korlátozzák vagy tiltják a személyes adatok feldolgozása vonatkozásában az egyének védelmével összefüggő okokból.

(2a)  Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az ezen irányelvben megállapítottnál magasabb szintű biztosítékokról rendelkezzenek. [Mód. 59]

2. cikk

Hatály

(1)  Ezen irányelvet kell alkalmazni a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett feldolgozására.

(2)  Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon történő feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(3)  Ezen irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

a)  az uniós jog hatályán kívül eső, így különösen a nemzetbiztonságot érintő tevékenységek során végzett adatfeldolgozás személyesadat-feldolgozásra;

b)  az Unió intézményei, szervei, hivatalai és ügynökségei által végzett adatfeldolgozás. [Mód. 60]

3. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

(1)  „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy;

(2)  „személyes adat”: az azonosított vagy azonosítható természetes személyre érintettre vonatkozó bármely információ azonosítható személy az a személy, aki közvetlen vagy közvetett módon – különösen egy azonosító jelre, például névre, azonosító számra, tartózkodási információra, egyedi azonosítóra vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi vagy nemi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható;

2a.  „álnéven szereplő adat”: olyan személyes adat, amely nem rendelhető hozzá egy bizonyos érintetthez további adatok felhasználása nélkül, amennyiben az ilyen kiegészítő adatokat elkülönítve tárolják és azokra a hozzá nem rendelhetőség biztosítása érdekében technikai és szervezeti intézkedések vonatkoznak;

(3)  „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3a.  „profilalkotás”: a személyes adatok automatizált feldolgozásának bármely olyan formája, amelynek célja valamely természetes személyhez kapcsolódó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy előrejelzése;

(4)  „a feldolgozás korlátozása”: a tárolt személyes adat megjelölése jövőbeli feldolgozásának korlátozása céljából;

(5)  „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;

(6)  „adatkezelő”: az a hatóság, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; ha a célokat, feltételeket és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki;

(7)  „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

(8)  „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják;

(9)  „személyes adatok megsértése”: a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását megsemmisítése, elvesztése, módosítása,, jogosulatlan felfedését felfedése vagy az azokhoz való jogosulatlan hozzáférést eredményezi hozzáférés;

(10)  „genetikai adat”: az egyén jellemzőire vonatkozó bármely olyan személyes adat, amelyet a születés előtti korai fejlődés során örökölt vagy szerzett;

(11)  „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzőjére vonatkozó adat, amely lehetővé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

(12)  „egészségügyi adat”: minden olyan személyes adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik;

(13)  „gyermek”: bármely 18 évesnél fiatalabb személy;

(14)  „illetékes hatóságok”: bűncselekmények megelőzéséért, nyomozásáért, felderítéséért, büntetőeljárás lefolytatásáért vagy büntetőjogi szankciók végrehajtásáért felelős bármely hatóság;

(15)  „felügyelő hatóság”: a tagállam által a 39. cikk értelmében létrehozott hatóság. [Mód. 61]

II. FEJEZET

ALAPELVEK

4. cikk

A személyes adatok feldolgozására vonatkozó alapelvek

A tagállamok rendelkeznek arról, hogy a személyes adatok:

a)  feldolgozását tisztességesen és jogszerűen és tisztességesen valamint az érintett számára átlátható és ellenőrizhető módon kell végezni;

b)  gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal ellentétesen;

c)  megfelelőek, relevánsak, és nem haladják meg a feldolgozás célját szükséges legkisebb mértéket; és csak akkor és addig dolgozhatók fel, amikor és ameddig e célok nem érhetők el a személyes adatokat nem tartalmazó információk feldolgozásával;;

d)  pontosak és szükség esetén naprakészek; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, feldolgozásuk céljaira való tekintettel, haladéktalanul törlésre vagy helyesbítésre kerüljenek;

e)  tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé;

f)  feldolgozása az adatkezelő felelősségére történik, akinek biztosítania kell és bizonyítania kell tudnia az ezen irányelv értelmében elfogadott rendelkezésekkel való összhangot.

fa)  feldolgozásának oly módon kell történnie, hogy ténylegesen lehetővé váljon az érintett számára a 10–17. cikkben említett jogainak gyakorlása;

fb)  feldolgozásának oly módon kell történnie, hogy az a személyes adatok jogosultatlan vagy jogellenes feldolgozása vagy véletlen elvesztése, megsemmisítése vagy károsodása ellen a megfelelő technikai vagy szervezeti intézkedések alkalmazásával védelmet nyújtson;

fc)   feldolgozásának kizárólag az illetékes hatóságok megfelelően felhatalmazott azon alkalmazottai által kell történnie, akiknek erre engedélyezett feladataik ellátásához szükségük van. [Mód. 62]

4a. cikk

Hozzáférés az eredetileg az 1. cikk (1) bekezdésében említettektől eltérő célokból feldolgozott adatokhoz

(1)  A tagállamok előírják, hogy az illetékes hatóságok kizárólag akkor férhetnek hozzá az eredetileg az 1. cikk (1) bekezdésében említettektől eltérő feldolgozott személyes adatokhoz, ha uniós vagy tagállami jogszabály erre kifejezetten felhatalmazza őket, mely jogszabálynak meg kell felelnie a 7. cikk (1a) bekezdésében foglalt követelményeknek, és rendelkeznie kell a következőkről:

a)  a hozzáférés kizárólag az illetékes hatóságok megfelelően felhatalmazott alkalmazottai számára engedélyezett a feladataik teljesítése során, amennyiben a konkrét esetben ésszerű indokok alapján feltételezhető, hogy a személyes adatok feldolgozása érdemben hozzájárul bűncselekmények megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy büntetőjogi szankciók végrehajtásához;

b)  a hozzáférés iránti kérelmet írásban kell benyújtani, a kérelem jogalapjának megjelölésével;

c)   az írásos kérelmet dokumentálni kell; és

d)  a személyes adatok feldolgozására vonatkozó alapvető jogok és szabadságok védelmének biztosítása érdekében megfelelő biztosítékok állnak rendelkezésre. E biztosítékok nem érintik a tagállami jogszabályokkal összhangban lévő, a személyes adatokhoz való hozzáférés különleges feltételeit, mint például a bíróság által engedélyezett hozzáférést, és kiegészítik azokat.

(2)  A magánfelek vagy egyéb hatóságok birtokában lévő adatokhoz való hozzáférés csak bűncselekményekkel kapcsolatos nyomozás vagy felelősségre vonás keretében engedélyezhető, az uniós jog vagy tagállami jogszabályok által meghatározandó szükségességi és arányossági követelményekkel összhangban, teljes mértékben megfelelve a 7a. cikknek. [Mód. 63]

4b. cikk

A tárolásra és a felülvizsgálatra vonatkozó határidők

(1)  A tagállamok előírják, hogy az ezen irányelv szerint feldolgozott személyes adatokat az illetékes hatóságok törlik, ha már nem szükségesek arra a célra, amelyre azokat feldolgozták.

(2)  A tagállamok előírják, hogy az illetékes hatóságok léptessenek életbe mechanizmusokat annak biztosítására, hogy a személyes adatok törlésére és az adatok tárolása szükségességének időszaki felülvizsgálatára – a személyes adatok különböző kategóriáira vonatkozó tárolási idők meghatározását is beleértve – a 4. cikknek megfelelően határidőket állapítsanak meg. E határidők vagy a rendszeres felülvizsgálati időközök betartása érdekében eljárási intézkedéseket kell megállapítani. [Mód. 64]

5. cikk

Az érintettek különböző kategóriáinak megkülönböztetése különböző kategóriái

(1)  A tagállamok előírják, hogy az adatkezelő – lehetőség szerint – illetékes hatóságok, az 1. cikk (1) bekezdésében említett célokból, kizárólag azon érintettek személyes adatait dolgozhatják fel, akik az alábbi különböző kategóriákba tartoznak, és az adatkezelő világos különbséget tesz az érintettek alábbi különböző kategóriáinak személyes adatai e kategóriák között:

a)  olyan személyek, akik tekintetében alapos indokkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni;

b)  bűncselekményért bűncselekmény elkövetése miatt elítélt személyek;

c)  bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozataivá válhatnak, valamint;

d)  a bűncselekménnyel érintett további felek, így például olyan személyek, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során tanúként beidézhetők, vagy olyan személy, aki a vizsgált bűncselekményről információval szolgálhat, illetve az a) és b) pontban említett személyek kapcsolatai vagy bűntársai; valamint

e)  a fent említett kategóriákon kívül eső személyek.

(2)  Az (1) bekezdésben említettektől eltérő érintettek személyes adatai kizárólag akkor dolgozhatók fel:

a)  amennyiben az egy konkrét bűncselekménnyel kapcsolatos nyomozáshoz vagy büntetőeljárás lefolytatásához szükséges annak érdekében, hogy értékelhető legyen az adatoknak az (1) bekezdésben jelzett kategóriáknak való megfelelése; vagy

b)  ha a feldolgozás célzott, megelőzési célokból vagy bűnügyi elemzés céljából nélkülözhetetlen, ha és amennyiben ez a cél jogszerű, jól meghatározott és konkrét, valamint a feldolgozás szigorúan annak értékelésére korlátozódik, hogy az adatok megfelelnek-e az (1) bekezdés szerinti kategóriák valamelyikének. Ezt rendszeresen, de legalább félévente felül kell vizsgálni. Bármely más célból történő felhasználás tilos.

(3)  A tagállamok előírják, hogy az (1) bekezdés c) és d) pontjában említett érintettekhez kapcsolódó személyes adatok további feldolgozására a tagállami jognak megfelelően további korlátozások és biztosítékok vonatkoznak. [Mód. 65]

6. cikk

A személyes adatok pontosságának és megbízhatóságának különböző fokai

(1)  A tagállamok – lehetőség szerint – biztosítják előírják, hogy a feldolgozandó különböző személyesadat-kategóriák közötti, pontosság és megbízhatóság foka szerinti különbségtételt személyes adatok pontosságát és megbízhatóságát biztosítani kell.

(2)  A tagállamok, amennyire lehetséges, biztosítják a tényeken és a személyes értékelésen alapuló személyes adatok közötti különbségtételt pontosságuk és megbízhatóságuk mértékével összhangban.

(2a)  A tagállamok biztosítják, hogy a hibás, hiányos vagy már nem naprakész személyes adatok ne legyenek továbbíthatók vagy hozzáférhetővé tehetők. E célból az illetékes hatóságok a továbbítást vagy hozzáférhetővé tételt megelőzően értékelik a személyes adatok minőségét. Amennyire lehetséges, valamennyi adattovábbítás során csatolni kell azon információkat, amelyek lehetővé teszik az átvevő tagállam számára, hogy megítélje az adatok pontosságát, teljességét, naprakészségét és megbízhatóságát. Személyes adatok, különösen az eredetileg magánfelek birtokában lévő adatok továbbítására az illetékes hatóság kérelme nélkül nem kerülhet sor.

(2b)  Amennyiben megállapításra kerül, hogy hibás adatokat továbbítottak vagy adatokat jogellenesen továbbítottak, erről a címzettet haladéktalanul értesíteni kell. A címzett köteles az adatokat az (1) bekezdéssel és a 15. cikkel összhangban haladéktalanul helyesbíteni, illetve a 16. cikkel összhangban törölni. [Mód. 66]

7. cikk

Az adatfeldolgozás jogszerűsége

(1)  A tagállamok előírják, hogy a személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az adatfeldolgozás az alábbiak miatt az 1. cikk (1) bekezdése céljából uniós vagy tagállami jogon alapul, és az alábbiakhoz szükséges:

a)  az 1. cikk (1) bekezdésében szereplő célok érdekében az illetékes hatóság által jogszabály alapján végzendő feladat ellátása; vagy

b)  az adatkezelőre vonatkozó jogi kötelezettség teljesítése; vagy

c)  az érintett vagy más személy létfontosságú érdekeinek védelme; vagy

d)  a közbiztonságot fenyegető közvetlen és súlyos veszély elhárítása.

(1a)  A személyes adatok ezen irányelv szerinti feldolgozását szabályozó tagállami jogszabály kifejezett, részletes rendelkezéseket tartalmaz legalább az alábbiak tekintetében:

a)  az adatfeldolgozás céljai;

b)  a feldolgozni kívánt személyes adatok;

c)  az adatfeldolgozás konkrét céljai és eszközei;

d)  az adatkezelő kijelölése vagy az adatkezelő kijelölésére vonatkozó egyedi kritériumok meghatározása;

e)  az illetékes hatóságok személyes adatok feldolgozására megfelelően felhatalmazott alkalmazottainak kategóriái;

f)  az adatfeldolgozás során követendő eljárás;

g)  a megszerzett személyes adatok hasznosítása;

h)  az illetékes hatóságok adatfeldolgozási tevékenységgel kapcsolatos mérlegelési jogkörének korlátai. [Mód. 67]

7a. cikk

Összeegyeztethetetlen célból történő további adatfeldolgozás

(1)  A tagállamok előírják, hogy személyes adatok az 1. cikk (1) bekezdésében szereplő céloktól eltérő célra való, az adatgyűjtés eredeti céljaival összhangban nem álló további feldolgozása kizárólag akkor és annyiban megengedett, amennyiben:

a)  a célja egy demokratikus társadalomban feltétlenül szükséges és arányos, és azt uniós vagy tagállami jog valamely jogszerű, jól meghatározott és konkrét célból írja elő;

b)  a feldolgozás szigorúan a konkrét adatfeldolgozási művelethez szükséges időszakot nem meghaladó időszakra korlátozódik;

c)  bármely más célból történő további felhasználás tilos.

A tagállam bármely feldolgozást megelőzően egyeztet az illetékes nemzeti felügyelő hatósággal, és adatvédelmi hatásvizsgálatot végez.

(2)  A 7. cikk (1a) bekezdésében meghatározott követelményeken felül a további feldolgozást engedélyező, az (1) bekezdésben említett tagállami jogszabály kifejezett és részletes rendelkezéseket tartalmaz legalább az alábbiak tekintetében:

a)  az adott feldolgozás konkrét céljai és eszközei;

b)  a hozzáférés kizárólag az illetékes hatóságok megfelelően felhatalmazott alkalmazottai számára engedélyezett a feladataik teljesítése során, amennyiben a konkrét esetben ésszerű indokok alapján feltételezhető, hogy a személyes adatok feldolgozása érdemben hozzájárul bűncselekmények megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy büntetőjogi szankciók végrehajtásához; továbbá

c)  megfelelő biztosítékokat állapítanak meg a személyes adatok feldolgozásával összefüggésben az alapvető jogok és szabadságok védelmének biztosítására.

A tagállamok előírhatják, hogy a személyes adatokhoz való hozzáférésre – az adott tagállam nemzeti jogával összhangban – további feltételek, például bírósági engedély is vonatkozzon.

(3)  A tagállamok ezenkívül történelmi, statisztikai vagy tudományos célból is engedélyezhetik a személyes adatok további feldolgozását, feltéve, hogy megfelelő biztosítékokat hoznak létre, például anonimmá teszik az adatokat. [Mód. 68]

8. cikk

A személyes adatok különleges kategóriáinak feldolgozása

(1)  A tagállamok megtiltják a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szexuális irányultságra vagy nemi identitásra, szakszervezeti tagságra és tevékenységekre utaló személyes adatok, valamint a biometrikus a genetikai adatok, az egészségügyi adatok vagy a szexuális életre vonatkozó adatok feldolgozását.

(2)  Az (1) bekezdés nem alkalmazható abban az esetben, ha:

a)  az adatfeldolgozást adatfeldolgozás az 1. cikk (1) bekezdésében meghatározott célok érdekében az illetékes hatóságok által végzett feladat teljesítéséhez feltétlenül szükséges és azzal arányos, olyan uniós vagy tagállami jogszabály teszi lehetővé a megfelelő biztosítékok biztosítása mellett;alapján történik, amely az érintett jogos érdekeinek védelme érdekében egyedi és megfelelő intézkedésekről, köztük igazságügyi hatóságtól származó egyedi engedélyről rendelkezik, ha a nemzeti jog előírja; vagy

b)  az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy

c)  az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott amennyiben a konkrét esetben elérni kívánt célhoz lényegesek és feltétlenül szükségesek. [Mód. 69]

8a. cikk

Genetikai adatok feldolgozása bűnügyi nyomozás vagy bírósági eljárás érdekében

(1)  A tagállamok biztosítják, hogy genetikai adatok kizárólag bizonyítás során, a közbiztonságot fenyegető veszély elhárítása vagy konkrét bűncselekmény elkövetésének megelőzése érdekében, genetikai kapcsolat megállapításának céljára használhatók fel. Genetikai adatok más, genetikailag összekapcsolható jellemzők meghatározására nem használhatók fel.

(2)  A tagállamok előírják, hogy genetikai adatok vagy az elemzésükből származó információk kizárólag az adatfeldolgozás céljához szükséges ideig – figyelemmel a tagállami jog által meghatározott szigorú tárolási időkre – és abban az esetben tárolhatók, ha az érintett egyént élet elleni, vagy személyek testi épsége vagy biztonsága elleni súlyos bűncselekmény elkövetéséért elítélték.

(3)  A tagállamok biztosítják, hogy genetikai adatokat vagy az elemzésükből származó információk kizárólag akkor tárolhatók hosszabb ideig, ha a genetikai adatok egyénhez nem köthetők, különösen ha bűncselekmény elkövetésének helyszínén találták őket. [Mód. 70]

9. cikk

Profilalkotáson és automatikus feldolgozáson alapuló intézkedések

(1)  A tagállamok előírják, hogy tilos az érintettek számára hátrányos jogkövetkezményt maga után vonó, vagy rájuk jelentős mértékben kiható olyan intézkedés, amely részben vagy teljes egészében egyedül az érintettekre vonatkozó meghatározott személyes szempontok kiértékelését célzó automatizált személyesadat-feldolgozáson alapul, kivéve, ha azt olyan jogszabály teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja.

(2)  Az érintettekre vonatkozó meghatározott személyes szempontok kiértékelését célzó automatizált személyesadat-feldolgozás kizárólagos alapjául nem szolgálhatnak a személyes adatok 8. cikkben említett különleges kategóriái.

(2a)  Az olyan automatizált személyesadat-feldolgozás, amelynek célja egy érintett elkülönítése a nélkül az előzetes gyanú nélkül, hogy az érintett bűncselekményt követhetett vagy követhet el, csak akkor lehet jogszerű, ha és amennyiben egy súlyos bűncselekmény nyomozásához, vagy a közbiztonságot, az állam létét vagy személyek életét tényszerű bizonyítékok alapján fenyegető, egyértelmű és közvetlen veszély elhárításához feltétlenül szükséges.

(2b)  Minden esetben tilos az a profilalkotás, amely – akár szándékosan, akár egyébként – olyan hatással van az egyénre, amely faji vagy etnikai származáson, politikai véleményen, valláson vagy meggyőződésen, szakszervezeti tagságon, nemi hovatartozáson vagy szexuális irányultságon alapuló megkülönböztetéshez vezet, vagy amely – akár szándékosan, akár egyébként – ilyen hatású intézkedéseket eredményez. [Mód. 71]

9a. cikk

Az érintett jogainak védelmére vonatkozó általános elvek

(1)  A tagállamok biztosítják, hogy az adatvédelem alapja világos legyen, és egyértelmű jogokat biztosítson az érintett számára, amelyeket az adatkezelőnek tiszteletben kell tartania. Az ezen irányelvben foglalt rendelkezések célja e jogok erősítése, pontosítása, szavatolása és adott esetben kodifikálása.

(2)  A tagállamok biztosítják, hogy e jogok magukban foglalják többek között az érintett személyes adatainak feldolgozására vonatkozó világos és könnyen érthető tájékoztatáshoz való jogot, az adatokhoz való hozzáféréshez, illetve az azok helyesbítéséhez és törléséhez való jogot, az adatok megszerzéséhez való jogot, az illetékes adatvédelmi hatósághoz történő panaszbenyújtáshoz, valamint a jogainak érvényesítése érdekében bírósági eljárás indításához való jogot, továbbá a jogszerűtlen adatfeldolgozási műveletből eredő kár ellentételezéséhez és megtérítéséhez való jogot. E jogokat általában térítésmentesen kell tudni gyakorolni. Az adatkezelőnek az érintett kérelmeire ésszerű időn belül válaszolnia kell. [Mód. 72]

III. FEJEZET

AZ ÉRINTETT JOGAI

10. cikk

Az érintett jogainak gyakorlására vonatkozó szabályok

(1)  A tagállamok előírják, hogy az adatkezelőnek minden ésszerű lépést meg kell tennie annak érdekében, hogy adatkezelő a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében tömör, átlátható , egyértelmű és könnyen hozzáférhető politikákkal rendelkezzen rendelkezik.

(2)  A tagállamok előírják, hogy az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést az érintett részére érthető formában , az érintett befogadóképességének megfelelő, világos és közérthető közérthető nyelven nyújtja, különösen ha a tájékoztatást kifejezetten gyermekeknek nyújtja.

(3)  A tagállamok előírják, hogy az adatkezelőnek minden ésszerű lépést meg kell tennie annak érdekében, hogy kialakítsa adatkezelő kialakítja a 11. cikk szerinti tájékoztatáshoz, valamint az érintettek 12–17. cikk szerinti jogainak gyakorlásához szükséges eljárásokat. Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja a kérelmek elektronikus úton történő benyújtásának lehetőségét is.

(4)  A tagállamok előírják, hogy az adatkezelő haladéktalanul, de minden esetben legkésőbb a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet kérelme elbírálásának fejleményeiről. Ezt a tájékoztatást írásban kell nyújtani. Amennyiben az érintett a kérelmet elektronikus formában terjeszti elő, az információt elektronikus formában kell megadni.

(5)  A tagállamok előírják, hogy a (3) és (4) bekezdés szerinti tájékoztatás és a kérelemre az adatkezelő által tett bármely intézkedés térítésmentes. Amennyiben a kérelmek egyértelműen túlzóak zaklató jellegűek, különösen ismétlődő jellegük, vagy a kérelem mérete vagy terjedelme miatt, az adatkezelő az adminisztrációs költségeket figyelembe vevő, ésszerű díjat számíthat fel a tájékoztatásért vagy a kért intézkedés megtételéért díjat számíthat fel, vagy visszautasíthatja a kért intézkedés megtételét. Ebben az esetben az adatkezelőt terheli annak bizonyítása, hogy a kérelem zaklató jelleg egyértelműen túlzó.

(5a)  A tagállamok előírhatják, hogy az érintett e jogait az adatkezelővel szemben közvetlenül, vagy pedig az illetékes tagállami felügyelő hatóságon keresztül gyakorolhatja-e. Amennyiben a felügyelő hatóság helyt adott az érintett kérelmének, tájékoztatja az érintettet az elvégzett felülvizsgálatokról. [Mód. 73]

11. cikk

Az érintett tájékoztatása

(1)  Az érintettre vonatkozó személyes adatok gyűjtése során a tagállamok biztosítják, hogy az adatkezelő minden megfelelő intézkedést megtesz annak érdekében, hogy legalább az alábbiakról tájékoztassa tájékoztatja az érintettet:

a)  az adatkezelő és az adatvédelmi tisztviselő személye és részletes elérhetősége;

b)  az adatfeldolgozás jogalapja és az adatok által szolgált célja;

c)  a személyes adatok tárolásának időtartama;

d)  azon jog megléte, miszerint kérelmezhető az adatkezelőtől az érintettel kapcsolatos személyes adatokba való betekintés, azok helyesbítése vagy törlése, vagy a feldolgozás korlátozása;

e)  a 39. cikk szerinti felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

f)  a személyes adatok címzettjei, illetve a címzettek kategóriái; beleértve a harmadik országokbeli címzetteket vagy a nemzetközi szervezeteket is; , valamint azon személyek, akik e harmadik ország jogszabályai vagy a nemzetközi szervezet szabályai alapján felhatalmazással rendelkeznek az ezen adatokhoz való hozzáférésre, a Bizottság megfelelőségi határozatának megléte vagy hiánya, a 35. vagy 36. cikkben hivatkozott továbbítások esetén pedig a továbbításra vonatkozó megfelelő biztosítékok másolatának beszerzési módja;

fa)  ha az adatkezelő a 9. cikk (1) bekezdése értelmében dolgoz fel személyes adatokat, a 9. cikk (1) bekezdésében említett intézkedés érdekében történő adatfeldolgozás ténye és ennek az érintettre gyakorolt tervezett hatása, a profilalkotás során alkalmazott logikára és az ember által végzett értékeléshez való jogra vonatkozó tájékoztatás;

fb)  a személyes adatok védelmére hozott biztonsági intézkedésekre vonatkozó információ;

g)  amennyiben szükséges, az érintett vonatkozásában a tisztességes eljárás biztosítását szolgáló minden további tájékoztatás, tekintettel a személyes adatok feldolgozásának különös körülményeire.

(2)  Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy fakultatív jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről.

(3)  Az adatkezelő az (1) bekezdés szerinti tájékoztatást akkor nyújtja:

a)  amikor a személyes adatot az érintettől beszerzi, vagy

b)  ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés különös körülményeire tekintettel az adatfeldolgozást követő ésszerű időtartamon belül.

(4)  A tagállamok jogszabályokat fogadhatnak el az érintett tájékoztatásának konkrét esetben való késleltetésére vagy, korlátozására vagy mellőzésére, amennyiben e részleges vagy teljes korlátozás – kellő tekintettel az érintett személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban az alábbiak érdekében szükséges és arányos intézkedést jelent:

a)  hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b)  bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása;

c)  a közbiztonság védelme;

d)  a nemzetbiztonság védelme;

e)  mások jogainak és szabadságainak védelme.

(5)  A tagállamok meghatározhatnak előírják, hogy az adatkezelő konkrét, egyedi vizsgálattal minden egyes esetben értékelje, hogy a (4) bekezdésben említett valamely okból teljes vagy részleges korlátozás alkalmazandó-e. A tagállamok jogszabályban a (4) bekezdés a), b), c) és d) pontja szerinti mentességek körébe teljesen vagy részlegesen beletartozó adatfeldolgozási kategóriákat is meghatározhatnak. [Mód. 74]

12. cikk

Az érintett hozzáférési joga

(1)  A tagállamok rendelkeznek arról, hogy az érintett jogosult az adatkezelőtől megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e. Az ilyen személyes adatok feldolgozása esetén az adatkezelő az alábbiakról nyújt tájékoztatást amennyiben az még nem történt meg:

—  a) értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról, és adott esetben érthető információ bármely automatizált adatfeldolgozás során alkalmazott logikáról;

—  aa) az ilyen feldolgozás jelentősége és várható következményei, legalább a 9. cikkben említett intézkedések esetében;

a)  az adatfeldolgozás céljai, valamint az adatfeldolgozás jogalapjai;

b)  az érintett személyesadat-kategóriák;

c)  a címzettek vagy a címzettek kategóriái, akik számára az adatokat kiadták, ideértve különösen a harmadik országokbeli címzetteket;

d)  a személyes adatok tárolásának időtartama;

e)  azon jog megléte, miszerint kérelmezhető az adatkezelőtől az érintettel kapcsolatos személyes adatokba való betekintés, azok helyesbítése vagy törlése, vagy a feldolgozás korlátozása;

f)  a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

g)  értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról.

(2)  A tagállamok rendelkeznek arról, hogy az érintettnek joga van másolatot kérni az adatkezelőtől a feldolgozás alatt álló személyes adatokról. Amennyiben az érintett a kérelmet elektronikus formában terjeszti elő, az információt elektronikus formában kell megadni, kivéve, ha az érintett másként kéri. [Mód. 75]

13. cikk

A hozzáférési jog korlátozása

(1)  A tagállamok jogszabályokat fogadhatnak el az érintettek hozzáférési jogának konkrét esetben történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az alapvető jogokra és az érintett személy jogos érdekeire – egy demokratikus társadalomban az alábbiak érdekében feltétlenül szükséges és arányos intézkedést jelent:

a)  hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b)  bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása;

c)  a közbiztonság védelme;

d)  a nemzetbiztonság védelme;

e)  mások jogainak és szabadságainak védelme.

(2)  A tagállamok előírják, hogy az adatkezelő konkrét, egyedi vizsgálattal minden egyes esetben értékeli, hogy az (1) bekezdésben említett valamely okból teljes vagy részleges korlátozás alkalmazandó-e. A tagállamok jogszabályban meghatározhatnak az (1) bekezdés a)–d) pontja szerinti mentességek körébe teljesen vagy részlegesen beletartozó adatfeldolgozási kategóriákat.

(3)  Az (1) és (2) bekezdés szerinti esetekben a tagállamok előírják, hogy az adatkezelő az érintettet írásban indokolatlan késedelem nélkül tájékoztatja a hozzáférés bármely megtagadásáról vagy korlátozásáról, a megtagadás részletes indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről. A döntés ténybeli vagy jogi indokairól szóló tájékoztatástól el lehet tekinteni, ha e tájékoztatás sértené az (1) bekezdés szerinti célok valamelyikét.

(4)  A tagállamok biztosítják, hogy az adatkezelő a (2) bekezdésben említett értékelést, valamint a döntés ténybeli vagy jogi indokairól szóló tájékoztatás korlátozásának elmaradásának okait is dokumentálja. Ezeket az információkat a nemzeti felügyelő hatóságok rendelkezésére kell bocsátani. [Mód. 76]

14. cikk

A hozzáférési jog gyakorlására vonatkozó szabályok

(1)  A tagállamok rendelkeznek arról, hogy az érintettnek különösen a 12. és 13. cikk szerinti esetekben, mindenkor joga van a felügyelő hatóságtól kérni, hogy ellenőrizze az adatfeldolgozás jogszerűségét.

(2)  A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyelő hatóság beavatkozásának (1) bekezdés szerinti kérelmezésére vonatkozó jogáról.

(3)  Amennyiben az (1) bekezdés szerinti jog gyakorlására kerül sor, a felügyelő hatóságnak az érintettet mindenképpen tájékoztatnia kell legalább arról, hogy a felügyelő hatóság minden szükséges felülvizsgálatot elvégzett, valamint a szóban forgó adatfeldolgozás jogszerűségére vonatkozó eredményről. A felügyelő hatóság a bírósági jogorvoslathoz való jogáról is tájékoztatja az érintettet.

(3a)  A tagállamok előírhatják, hogy az érintett e jogát az adatkezelővel szemben közvetlenül, vagy pedig az illetékes tagállami felügyelő hatóságon keresztül gyakorolhatja-e.

(3b)  A tagállamok biztosítják, hogy az adatkezelőnek ésszerű idő álljon rendelkezésére az érintettek hozzáférési jogukkal kapcsolatos kérelmére való válaszadásra. [Mód. 77]

15. cikk

A helyesbítési helyesbítéshez és kiegészítéshez való jog

(1)  A tagállamok előírják, hogy az érintett jogosult az adatkezelőtől a rá vonatkozó pontatlan vagy hiányos személyes adatok helyesbítését kérni. Az érintett jogosult a hiányos személyes adatok vagy kiegészítését kérni, különösen kiegészítő vagy helyesbítő nyilatkozat igénybevétele útján.

(2)  A tagállamok előírják, hogy az adatkezelő az érintettet írásban tájékoztatja a helyesbítés elutasításáról, az elutasítás indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről.

(2a)  A tagállamok előírják, hogy az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, akivel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

(2b)  A tagállamok előírják, hogy az adatkezelő tájékoztatja a pontatlan személyes adatok helyesbítéséről azt a harmadik felet, amelytől a pontatlan személyes adat származik.

(2c)  A tagállamok előírják, hogy az érintett e jogát az adatkezelővel szemben az illetékes tagállami felügyelő hatóságon keresztül is gyakorolhatja. [Mód. 78]

16. cikk

A törlési jog

(1)  A tagállamok előírják, hogy az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adatok törlését kérni, amennyiben azok feldolgozása nem felel meg az ezen irányelv 4. cikkének a)–e) pontja, valamint.,., 6., 7. és 8. cikke értelmében elfogadott rendelkezéseknek.

(2)  Az adatkezelő a törlést haladéktalanul végrehajtja. Az adatkezelő továbbá tartózkodik az ilyen adatok további terjesztésétől.

(3)  Az adatkezelő a személyes adatok törlése helyett megjelöli azokat, korlátozza azok feldolgozását, ha:

a)  az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát;

b)  bizonyítási célból , illetve az érintett vagy más személy létfontosságú érdekeinek védelmébenmeg kell tartania a személyes adatokat;

c)  az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri.

(3a)  Amennyiben a személyes adatok feldolgozása a (3) bekezdés értelmében korlátozott, az adatkezelő a feldolgozás korlátozásának feloldása előtt tájékoztatja az érintettet.

(4)  A tagállamok előírják, hogy az adatkezelő az érintettet írásban tájékoztatja az adatfeldolgozás törlésének a törlésnek vagy a feldolgozás korlátozásának megjelölésének részletes elutasításáról, az elutasítás indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről.

(4a)  A tagállamok előírják, hogy az adatkezelő az (1) bekezdésnek megfelelően végrehajtott minden törlésről és korlátozásról tájékoztatja azokat a címzetteket, akiknek ezeket az adatokat továbbították, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényel. Az adatfeldolgozó tájékoztatja az érintettet ezekről a harmadik felekről.

(4b)  A tagállamok előírhatják, hogy az érintett e jogát az adatkezelővel szemben közvetlenül, vagy pedig az illetékes tagállami felügyelő hatóságon keresztül gyakorolhatja-e. [Mód. 79]

17. cikk

Az érintettet a bűnügyi nyomozások és büntetőeljárások keretében megillető jogok

A tagállamok előírhatják, hogy az érintett 11–16. cikk szerinti információs, hozzáférési, helyesbítési, törlési és adatfeldolgozás-korlátozási joga a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban gyakorolandó, amennyiben a személyes adatokat bírósági határozat vagy nyilvántartás tartalmazza, és azokat bűnügyi nyomozások és büntetőeljárások keretében dolgozták fel.

IV. FEJEZET

AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1. SZAKASZ

ÁLTALÁNOS KÖTELEZETTSÉGEK

18. cikk

Az adatkezelő felelőssége

(1)  A tagállamok rendelkeznek arról, hogy az adatkezelő elfogadja azokat a politikákat és végrehajtja azokat a megfelelő intézkedéseket, amelyekkel biztosítja és minden egyes feldolgozási művelet esetében átlátható módon igazolni tudja, hogy a személyes adatok feldolgozása mind a feldolgozási eszközök meghatározásának időpontjában, mind pedig a feldolgozás időpontjában az ezen irányelv értelmében elfogadott rendelkezésekkel összhangban történik.

(2)  Az (1) bekezdés szerinti intézkedések különösen a következőket tartalmazzák:

a)  a 23. cikk szerinti dokumentáció vezetése;

aa)  a 25a. cikk szerinti adatvédelmi hatásvizsgálat lefolytatása;

b)  a 26. cikk szerinti előzetes konzultációhoz szükséges feltételek teljesítése;

c)  a 27. cikk szerinti adatbiztonsági követelmények érvényesítése;

d)  a 30. cikk szerinti adatvédelmi tisztviselő kijelölése.

da)  adott esetben a gyermekekre vonatkozó személyesadat-feldolgozással kapcsolatos különleges garanciák kidolgozása és végrehajtása

(3)  Az adatkezelő végrehajtja az e cikk (1) bekezdésében említett intézkedések megfelelőségének és hatékonyságának felülvizsgálatát biztosító mechanizmusokat. Amennyiben ez arányos, a felülvizsgálatot független belső vagy külső ellenőr végzi. [Mód. 80]

19. cikk

Beépített és alapértelmezett adatvédelem

(1)  A tagállamok előírják, hogy az adatkezelő és amennyiben van, az adatfeldolgozó –a technika állására, az aktuális műszaki ismeretekre, a nemzetközi bevált gyakorlatokra és az adatfeldolgozással járó kockázatokra és végrehajtás költségeire tekintettel – mind a feldolgozás célja és eszköze meghatározásának, mind magának a feldolgozásnak az időpontjában megfelelő és arányos technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen az ezen irányelv értelmében elfogadott rendelkezések követelményeinek, és biztosítsa az érintettek jogainak védelmét, különösen a 4. cikkben meghatározott elvek tekintetében. A beépített adatvédelemnek különös figyelmet kell fordítania a személyes adatok kezelésének teljes életciklusára a begyűjtéstől a feldolgozáson át a törlésig, következetesen a személyes adatok pontosságára, bizalmasságára, integritására, fizikai biztonságára és törlésére vonatkozó átfogó eljárási biztosítékokra összpontosítva. Amennyiben az adatkezelő a 25a. cikk szerinti adatvédelmi hatásvizsgálatot végzett, annak eredményét az érintett intézkedések és eljárások kidolgozása során figyelembe kell venni..

(2)  Az adatkezelőnek olyan mechanizmusokat biztosítania kell, hogy végrehajtania, amelyek alapértelmezett módon biztosítják azt, hogy kizárólag az adatfeldolgozás a feldolgozás egyes konkrét céljaihoz szükséges személyes adatok kerülnek feldolgozásra , és különösen azt, hogy az adatgyűjtés, -tárolás és -terjesztés során az adatok mennyisége és az adattárolási időtartam tekintetében sem lépik túl az e célokhoz szükséges legkisebb mértéket. Ezeknek a mechanizmusoknak különösen azt kell biztosítaniuk, hogy a személyes adatok alapértelmezett módon ne váljanak határozatlan számú egyén számára hozzáférhetővé, és hogy az érintettek ellenőrizhessék személyes adataik terjesztését. [Mód. 81].

20. cikk

Közös adatkezelők

(1)  A tagállamok előírják, hogy amennyiben az adatkezelő másokkal együtt határozza meg a személyes adatok feldolgozásának céljait, feltételeit és módját, a közös adatkezelők egymás közötti, jogi kötőerővel bíró megállapodásban szabályozzák az ezen irányelv szerint elfogadott rendelkezések betartása tekintetében irányadó felelősséget, különösen az érintett jogainak gyakorlását szolgáló eljárások és mechanizmusok tekintetében.

(2)  Az érintett bármely két vagy több közös adatkezelő tekintetében és vele szemben gyakorolhatja az ezen irányelv alapján fennálló jogait, kivéve, ha az érintettet tájékoztatták arról, hogy az (1) bekezdés értelmében a közös adatkezelők közül melyik a felelős. [Mód. 82]

21. cikk

Az adatfeldolgozó

(1)  A tagállamok előírják, hogy az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelő technikai és szervezési intézkedések és eljárások végrehajtása tekintetében kellő garanciákat nyújt oly módon, hogy az adatfeldolgozás megfelel az ezen irányelv értelmében elfogadott rendelkezések követelményeinek, és biztosítja az érintett jogainak védelmét különösen az elvégzendő feldolgozást szabályozó technikai biztonsági és szervezési intézkedések tekintetében, továbbá köteles biztosítani az említett intézkedések teljesítését.

(2)  A tagállamok előírják, hogy az adatfeldolgozó általi adatfeldolgozást olyan szerződésnek vagy jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában különösen megköveteli, hogy az kizárólag az adatkezelő utasítása alapján járjon el, különösen, ha tilos a felhasznált személyes adatok továbbítása.

a)  kizárólag az adatkezelő utasítása alapján járjon el;

b)  kizárólag olyan személyzetet alkalmazzon, amely magára nézve titoktartási kötelezettséget ismert el, vagy amelyet törvény kötelez a titoktartásra;

c)  megtegye a 27. cikk szerinti összes szükséges intézkedést;

d)  másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe, azaz kellő időben tájékoztassa az adatkezelőt a másik feldolgozó igénybevételéről ahhoz, hogy az adatkezelő kifogást emelhessen;

e)  amennyiben az adatfeldolgozás jellegére tekintettel lehetséges, az adatkezelővel kötött megállapodásban határozza meg az érintett III. fejezet szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolására irányuló adatkezelői kötelezettség teljesítéséhez szükséges technikai és szervezési követelményeket;

f)  támogassa az adatkezelőt a 25a–29. cikk szerinti kötelezettségek teljesítésében;

g)  a feldolgozás lezárulta után valamennyi eredményt juttassa vissza az adatkezelőnek, és a személyes adatokat egyéb módon ne dolgozza fel, továbbá a meglévő másolatokat törölje, kivéve, ha azok megőrzését uniós vagy tagállami jogszabály írja elő;

h)  az e cikkben meghatározott kötelezettségek teljesítésének ellenőrzéséhez szükséges minden tájékoztatást tegyen elérhetővé az adatkezelő és a felügyelő hatóság számára;

i)  figyelembe vegye a beépített és az alapértelmezett adatvédelem elvét.

(2a)  Az adatkezelő és az adatfeldolgozó írásban dokumentálja az adatkezelő utasításait és az adatfeldolgozónak a (2) bekezdésben említett kötelezettségeit.

(3)  Amennyiben valamely adatfeldolgozó az adatkezelő utasításaitól eltérő módon dolgozza fel a személyes adatokat, az adatfeldolgozó e feldolgozás tekintetében adatkezelőnek minősül, és rá a közös adatkezelőkre vonatkozó, a 20. cikkben rögzített szabályokat kell alkalmazni. [Mód. 83]

22. cikk

Az adatkezelő és az adatfeldolgozó felügyelete mellett végzett feldolgozás

(1)  A tagállamok előírják, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó felügyelete alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy kizárólag az adatkezelő utasítása, illetve ezt előíró uniós vagy nemzeti jogszabály alapján dolgozhatja fel ezeket az adatokat.

(1a)  Ha az adatkezelő az adatfeldolgozás céljai, eszközei vagy módszerei tekintetében meghatározó szerepet tölt be vagy meghatározóvá válik, vagy nem kizárólag az adatkezelő utasításai szerint jár el, a 20. cikk szerinti közös adatkezelőnek minősül. [Mód. 84]

23. cikk

Dokumentáció

(1)  A tagállamok előírják, hogy valamennyi adatkezelő és -feldolgozó dokumentálja a feladatkörébe tartozó összes feldolgozási rendszert és eljárást.

(2)  A dokumentáció legalább az alábbi információt tartalmazza:

a)  az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó neve és elérhetősége;

aa)  közös adatkezelők esetében jogi kötőerővel bíró megállapodás; az adatfeldolgozók jegyzéke és az adatfeldolgozók által ellátott tevékenységek;

b)  az adatfeldolgozás céljai;

ba)  az adatkezelő vagy -feldolgozó személyes adatok meghatározott célból történő feldolgozásával megbízott szervezeti egységeinek megjelölése;

bb)  az érintettek kategóriájának vagy kategóriáinak leírása és a rájuk vonatkozó adatok, illetve adatkategóriák megjelölése;

c)  a személyes adatok címzettjei vagy címzetti kategóriái;

ca)  adott esetben tájékoztatás a profilalkotásról, a profilalkotáson alapuló intézkedésekről és a profilalkotás kifogásolásának mechanizmusairól;

cb)  érthető tájékoztatás bármely automatizált feldolgozás mögöttes logikájáról;

d)  az adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország és a nemzetközi szervezet, valamint az adattovábbítás jogalapja azonosítását érdemi magyarázatot kell adni, ha a továbbítás ezen irányelv 35. vagy 36. cikkén alapul;.

da)  az adatok különböző kategóriáinak törlésére vonatkozó határidők;

db)  a 18. cikk (1) bekezdésében említett intézkedések felülvizsgálatának eredménye;

dc)  azon adatfeldolgozási művelet jogalapjának megnevezése, amelyre az adatokat szánják.

(3)  Az adatkezelő és az adatfeldolgozó kérelemre valamennyi dokumentációt a felügyelő hatóság rendelkezésére bocsátja a dokumentációt. [Mód. 85]

24. cikk

Nyilvántartás-vezetés

(1)  A tagállamok biztosítják, hogy nyilvántartsák legalább a következő feldolgozási műveleteket: gyűjtés, megváltoztatás, betekintés, közlés, összekapcsolás vagy törlés. A betekintésre és a közlésre vonatkozó nyilvántartásnak különösen tartalmaznia kell e műveletek célját, dátumát és időpontját, valamint – lehetőség szerint – a személyes adatba betekintő vagy azt közlő személy személyazonosságát és az ilyen adatok címzettjeinek személyazonosságát.

(2)  A nyilvántartások kizárólag az adatfeldolgozás jogszerűségének felülvizsgálata, az önellenőrzés, valamint az adatok sértetlenségének és biztonságának biztosítása céljából használhatók fel, továbbá az adatvédelmi tisztviselő vagy az adatvédelmi hatóság általi ellenőrzés céljából.

(2a)  Az adatkezelő és az adatfeldolgozó kérelemre a felügyelő hatóság rendelkezésére bocsátja a nyilvántartásokat. [Mód. 86]

25. cikk

Együttműködés a felügyelő hatósággal

(1)  A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó kötelezettségei teljesítése során – kérelemre – együttműködik a felügyelő hatósággal különösen azáltal, hogy rendelkezésre bocsátja a felügyelő hatóság feladatainak ellátásához szükséges össze 46. cikk (2) bekezdésének a) pontjában említett információt , és biztosítja a 46. cikk (2) bekezdésének b) pontjában meghatározott hozzáférést.

(2)  A felügyelő hatóság 46. cikk (1) bekezdésének a) és b) pontja szerinti hatáskörének gyakorlását követően az adatkezelő és az adatfeldolgozó a felügyelő hatóság által meghatározandó ésszerű határidőn belül válaszol a felügyelő hatóságnak. A válasz tartalmazza a felügyelő hatóság észrevételeire válaszul meghozott intézkedések ismertetését és az elért eredményeket. [Mód. 87]

25a. cikk

Adatvédelmi hatásvizsgálat

(1)  A tagállamok előírják, hogy az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó új feldolgozási eljárások előtt – vagy meglévő adatfeldolgozási eljárások esetében a lehető legkorábban – elvégezze a tervezett adatfeldolgozási rendszerek és eljárások személyes adatok védelme tekintetében várható hatásának vizsgálatát, amennyiben az adatfeldolgozási műveletek jellegük, alkalmazási területük vagy céljaik tekintetében valószínűsíthetően különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve.

(2)  Az (1) bekezdés szerinti különleges kockázatokat valószínűsíthetően különösen a következő feldolgozási műveletek jelentik:

a)  személyes adatok nagyméretű nyilvántartó rendszerekben való feldolgozása bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából;

b)  a személyes adatok 8. cikk szerinti különleges kategóriáinak, gyermekekre vonatkozó személyes adatoknak és biometrikus és helymeghatározó adatoknak a feldolgozása bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából;

c)  a természetes személyre vonatkozó egyes személyes szempontok értékelése vagy a természetes személy viselkedésének olyan elemzése vagy előrejelzése, amely automatizált feldolgozáson alapul, és amely valószínűsíthetően az érintett személy tekintetében joghatással bíró vagy az egyént jelentős mértékben érintő intézkedésekhez vezet;

d)  a nyilvánosság számára hozzáférhető területek nyomon követése, különösen optikai-elektronikus eszközök alkalmazásával; vagy

e)  egyéb olyan feldolgozási műveletek, amelyek vonatkozásában a 26. cikk (1) bekezdésének értelmében konzultálni kell a felügyelő hatósággal.

(3)  A vizsgálat legalább az alábbiakra terjed ki:

a)  a tervezett adatfeldolgozási műveletek módszeres leírása;

b)  az adatfeldolgozási műveletek szükségességének és a célhoz mért arányosságának értékelése;

c)  az érintettek jogaira és szabadságaira vonatkozó kockázatok értékelése, valamint a kockázatok kezelésére és a feldolgozott személyes adatok körének minimalizálására tervezett intézkedések;

d)  a személyes adatok védelmét és az ezen irányelv alapján elfogadott rendelkezésekkel való összhang igazolását szolgáló biztonsági intézkedések és mechanizmusok, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit;

e)  a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározása;

f)  adott esetben az adatok harmadik országba vagy nemzetközi szervezet részére történő tervezett továbbításainak jegyzéke, beleértve a harmadik ország és a nemzetközi szervezet azonosítását, valamint a 36. cikk (2) bekezdése szerinti esetekben a megfelelő biztosítékok igazolását.

(4)  Amennyiben az adatkezelő vagy adatfeldolgozó adatvédelmi tisztviselőt jelölt ki, őt a hatásvizsgálat lefolytatásába be kell vonni.

(5)  A tagállamok előírják, hogy az adatkezelő a közérdek védelme vagy a feldolgozási műveletek biztonságának sérelme nélkül kikéri a nyilvánosság véleményét a tervezett adatfeldolgozásról.

(6)  A közérdek védelmének vagy az adatfeldolgozási műveletek biztonságának sérelme nélkül az értékelést a nyilvánosság számára könnyen hozzáférhetővé kell tenni

(7)  A Bizottság felhatalmazást kap arra, hogy az Európai Adatvédelmi Testület véleményének kikérését követően az (1) és (2) bekezdés szerinti, valószínűleg különleges kockázatokat jelentő feldolgozási műveletekre és a (3) bekezdés szerinti vizsgálat követelményeire – köztük a méretezhetőség, a felülvizsgálat és az ellenőrizhetőség követelményére – vonatkozó szempontok és feltételek további meghatározása érdekében a 56. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. [Mód. 88]

26. cikk

Előzetes konzultáció a felügyelő hatósággal

(1)  A tagállamok biztosítják, hogy az adatkezelő vagy -feldolgozó tervezett adatfeldolgozás és az ezen irányelv értelmében elfogadott rendelkezések közötti összhang biztosítása, valamint különösen az érintettekre vonatkozó kockázatok csökkentése érdekében a személyes adatok feldolgozása előtt konzultál a felügyelő hatósággal az olyan személyes adatok feldolgozása előtt, amelyeket új nyilvántartási rendszer részévé kívánnak tenni, amennyiben:

a)  a személyes adatok 8.25a cikk szerinti különleges kategóriáit kívánják feldolgozni adatvédelmi hatásvizsgálat azt jelzi, hogy a feldolgozási műveletek jellegüknél, alkalmazási területüknél és/vagy céljaiknál fogva várhatóan magas szintű különleges kockázatot jelentenek; vagy;

b)  a feldolgozás fajtája, különösen új technológiák, mechanizmusok vagy eljárások használata révén, egyéb különös felügyelő hatóság szükségesnek tartja az olyan meghatározott adatfeldolgozási műveletekről szóló előzetes konzultációt, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva valószínűleg különleges kockázatot hordoz jelentenek az érintettek alapvető jogai és szabadságai, különösen személyes adataik védelme tekintetében.

(1a)  Amennyiben a felügyelő hatóság hatáskörével összhangban azt állapítja meg, hogy a tervezett adatfeldolgozás nem áll összhangban az ezen irányelv értelmében elfogadott rendelkezésekkel, különösen, ha a kockázatokat elégtelen módon azonosították vagy csökkentették, megtiltja a tervezett adatfeldolgozást, és megfelelő javaslatot tesz az összhang helyreállítására.

(2)  A tagállamok előírhatják, hogy a felügyelő hatóság az Európai Adatvédelmi Testület véleménnyel való konzultációt megállapítja az (1) bekezdés b) pontja szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét.

(2a)  A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó a felügyelő hatóság rendelkezésére bocsátja a 25a. cikk által előírt adatvédelmi hatásvizsgálatot, valamint – kérelemre – az összes olyan egyéb információt, amely lehetővé teszi a felügyelő hatóság számára az adatfeldolgozás, valamint elsősorban az érintett személyes adatainak védelméhez fűződő kockázatok és a kapcsolódó biztosítékok közötti összhang vizsgálatát.

(2b)  Ha a felügyelő hatóság véleménye szerint a tervezett adatfeldolgozás nem áll összhangban az ezen irányelv értelmében elfogadott rendelkezésekkel, vagy a kockázatokat elégtelen módon azonosították vagy csökkentették, megfelelő javaslatot tesz az összhang helyreállítására.

(2c)  A tervezett adatfeldolgozás ezen irányelvvel való összhangjának biztosítása és különösen az érintettekhez kapcsolódó kockázatok csökkentése érdekében a tagállamok konzultálnak a felügyelő hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedés előkészítése vagy az adatfeldolgozás jellegét meghatározó ilyen jogalkotási intézkedésen alapuló intézkedés előkészítése során. [Mód. 89]

2. SZAKASZ

aDAtBIZTONSÁG

27. cikk

Az adatfeldolgozás biztonsága

(1)  A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, végrehajtja a megfelelő műszaki és szervezési intézkedéseket és eljárásokat az adatfeldolgozás által jelentett kockázatoknak és a védendő adatok jellegének megfelelő védelmi szint biztosítása érdekében.

(2)  Az automatizált adatfeldolgozás tekintetében minden tagállam előírja, hogy az adatkezelő vagy -feldolgozó a kockázatok értékelését követően intézkedéseket hajt végre a következő célok érdekében:

a)  jogosulatlan személyeknek a személyes adatok feldolgozásához használt adatfeldolgozó berendezésekhez való hozzáférésének megtagadása (berendezésekhez való hozzáférés ellenőrzése);

b)  az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c)  a jogosulatlan adatbevitel, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d)  az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

e)  annak biztosítása, hogy az automatikus adatfeldolgozó rendszer használatára felhatalmazott személyek kizárólag a hozzáférési engedélyben meghatározott adatokhoz férjenek hozzá (adathozzáférés ellenőrzése);

f)  annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

g)  annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vittek be automatikus adatfeldolgozó rendszerekbe, valamint hogy az adatokat mikor és ki vitte be (bevitel ellenőrzése);

h)  a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, -másolás, -módosítás vagy -törlés megakadályozása (szállítás ellenőrzése);

i)  annak biztosítása, hogy a telepített rendszereket üzemzavar esetén helyre lehessen állítani (helyreállítás);

j)  annak biztosítása, hogy a rendszer teljesítse feladatait, hogy a feladatok során fellépő hibákról jelentés készüljön (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén ne sérüljenek (sértetlenség).

ja)  annak biztosítása, hogy az érzékeny személyes adatok 8. cikk szerinti feldolgozása esetében további biztonsági intézkedéseket kell hozni a kockázatokkal kapcsolatos helyzetfelismerés és annak biztosítása érdekében, hogy közel valós idejű megelőző, korrekciós és kárenyhítő lépéseket lehessen tenni azon sebezhetőségekkel vagy feltárt eseményekkel szemben, amelyek az adatokra nézve kockázatot jelenthetnek.

(2a)  A tagállamok előírják, hogy csak olyan adatfeldolgozó jelölhető ki, amely garantálja, hogy betartja az (1) bekezdés szerint szükséges technikai és szervezési intézkedéseket, valamint a 21. cikk (2) bekezdésének a) pontja szerinti utasításokat. Az illetékes hatóságnak az adatfeldolgozót e tekintetben felügyelnie kell.

(3)  A Bizottság a szükséges esetekben végrehajtási jogi aktusok útján pontosan meghatározhatja az (1) és (2) bekezdés szerinti követelményeket a különböző helyzetek, különösen a titkosítási szabványok tekintetében. E végrehajtási jogi aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 90]

28. cikk

A felügyelő hatóság értesítése a személyes adatok megsértéséről

(1)  A tagállamok előírják, hogy az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül, lehetőség szerint a tudomásszerzéstől számított 24 órán belül értesíti a felügyelő hatóságot a személyes adatok megsértéséről. Az adatkezelő kérelemre írásban részletesen indokolja a felügyelő hatóság számára azokat az eseteket, amikor az értesítésre nem került sor 24 órán belül , amelyekben késedelem következett be.

(2)  Az adatfeldolgozó a személyes adatok megsértésének megállapítása után indokolatlan késedelem nélkül tudomására jutását követően azonnal figyelmezteti és tájékoztatja az adatkezelőt.

(3)  Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza:

a)  a személyes adatok megsértésének ismertetése, ideértve az érintettek kategóriáit és számát, valamint az érintett adatjegyzékek kategóriáit és számát;

b)  a 30. cikk szerinti adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése;

c)  a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat;

d)  a személyes adatok megsértéséből fakadó esetleges következmények ismertetése;

e)  az adatkezelő által a személyes adatok megsértésének orvoslására és hatásának enyhítésére javasolt vagy tett intézkedések ismertetése.

Amennyiben indokolatlan késedelem nélkül nem közölhető valamennyi információ, az adatkezelő az értesítést egy második szakaszban kiegészítheti.

(4)  A tagállamok előírják, hogy az adatkezelő minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével dokumentál. E dokumentációnak elegendőnek kell lennie ahhoz, hogy dokumentáció teszi lehetővé tegye a felügyelő hatóság számára az e cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza.

(4a)  A felügyelő hatóság közhiteles nyilvántartást vezet a tudomására jutott adatsértési típusokról.

(5)  A Bizottság – az Európai Adatvédelmi Testület véleményének kikérését követően - felhatalmazást kap arra, hogy az (1) és (2) bekezdésben említett adatsértés megállapítására és az adatkezelő és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében az 56. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)  A Bizottság meghatározhatja a felügyelő hatóságok ilyen értesítésének egységes formanyomtatványait, az értesítési követelmény teljesítése során alkalmazandó eljárásokat, valamint a (4) bekezdés szerinti dokumentáció formáját és szabályait, beleértve az abban tárolt információk törlésére vonatkozó határidőket is. E végrehajtási aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni. [Mód. 91]

29. cikk

Az érintett értesítése a személyes adatok megsértéséről

(1)  A tagállamok előírják, hogy az adatkezelő, amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét, a 28. cikk szerinti értesítést követően indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértéséről.

(2)  Az érintett érintettnek küldött (1) bekezdés szerinti tájékoztatásnak átfogónak kell lennie, és egyértelmű és egyszerű nyelvezetet kell használnia. Ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 28. cikk (3) bekezdésének b) és, c) és d) pontjában előírt tájékoztatást és javaslatot, valamint az érintett jogaira, többek között a jogorvoslatra vonatkozó tájékoztatást.

(3)  A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták a személyes adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára.

(3a)  Amennyiben az adatkezelő az érintettet még nem értesítette a személyes adatok megsértéséről, a felügyelő hatóság – az adatkezelő azon kötelezettségének sérelme nélkül, hogy az érintettet a személyes adatok megsértéséről értesítse – az adatsértés esetleges hátrányos hatásait mérlegelve felszólíthatja ennek megtételére.

(4)  Az érintett értesítésének késleltetésére vagy korlátozására vagy elmaradására a 11. cikk (4) bekezdése szerinti okokból kerülhet sor. [Mód. 92]

3. SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

30. cikk

Az adatvédelmi tisztviselő kijelölése

(1)  A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó adatvédelmi tisztviselőt jelöl ki.

(2)  Az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 32. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni. A szakértői ismeretek szükséges szintjét kifejezetten az adatkezelő vagy -feldolgozó által végzett adatfeldolgozás, valamint az általuk feldolgozott személyes adatok tekintetében megkövetelt védelem határozza meg.

(2a)  A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő minden egyéb szakmai kötelezettsége összeegyeztethető legyen az adott személy adatvédelmi tisztviselőként ellátandó feladataival és kötelezettségeivel, és ne eredményezzen összeférhetetlenséget.

(2b)  Az adatvédelmi tisztviselőt legalább négy évre jelölik ki. Az adatvédelmi tisztviselő további időtartamra ismételten kijelölhető. Az adatvédelmi tisztviselőt hivatali ideje alatt csak akkor lehet felmenteni hivatalából, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek.

(2c)  A tagállamok az érintett számára biztosítják a jogot ahhoz, hogy a saját személyes adatainak feldolgozásához kapcsolódó valamennyi ügyben kapcsolatba lépjen az adatvédelmi tisztviselővel.

(3)  Az adatvédelmi tisztviselő több szervhez is kijelölhető, figyelemmel az illetékes hatóság szervezeti felépítésére.

(3a)  A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó közölje az adatvédelmi tisztviselő nevét és elérhetőségét a felügyelő hatósággal és a nyilvánossággal. [Mód. 93]

31. cikk

Az adatvédelmi tisztviselő jogállása

(1)  A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)  Az adatkezelő vagy -feldolgozó biztosítja az adatvédelmi tisztviselő számára a 32. cikk szerinti feladatok és kötelezettségek hatékony és független ellátásához szükséges eszközöket, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat.

(2a)  Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt támogatja feladatai ellátásában, és biztosítja számára a 32. cikk szerinti feladatok és kötelezettségek végrehajtásához, valamint szaktudásának fenntartásához szükséges eszközöket, köztük a személyzetet, helyiségeket, felszerelést, folyamatos szakmai képzést és egyéb forrásokat. [Mód. 94]

32. cikk

Az adatvédelmi tisztviselő feladatai

A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg:

a)  az adatkezelő vagy -feldolgozó részére az ezen irányelv értelmében elfogadott rendelkezéseknek megfelelő kötelezettségekkel, különösen a technikai és szervezeti intézkedésekkel és eljárásokkal kapcsolatos tudatosságnövelés tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása;

b)  a személyes adatok védelmével kapcsolatos politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben részt vevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is;

c)  az ezen irányelv értelmében elfogadott rendelkezések végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az ezen irányelv szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében;

d)  a 23. cikk szerinti dokumentálás biztosítása;

e)  a személyes adatok megsértéséről szóló, a 28. és 29. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése;

f)  az adatkezelő vagy -feldolgozó által végzett adatvédelmi hatásvizsgálat és szükség esetén a felügyelő hatósággal való, a 26. cikk (1) bekezdése szerinti előzetes konzultáció alkalmazásának ellenőrzése;

g)  a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy saját kezdeményezésre – történő együttműködés;

h)  az adatfeldolgozással kapcsolatos ügyekben kapcsolat tartása a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció. [Mód. 95]

V. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

33. cikk

A személyes adatok továbbítására vonatkozó általános elvek

A tagállamok előírják, hogy a feldolgozásra kerülő vagy a továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók az illetékes hatóságok által harmadik ország vagy nemzetközi szervezet részére, beleértve a további harmadik ország vagy nemzetközi szervezet részére történő további továbbítást is, ha:

a)  az adott adattovábbítás bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása érdekében szükséges; és

aa)  az adatokat harmadik országbeli adatkezelőhöz vagy olyan nemzetközi szervezethez továbbítják, amely az 1. cikk (1) bekezdésében említett célokra illetékes hatóság; továbbá

ab)  az adatkezelő és az adatfeldolgozó megfelel az e fejezetben meghatározott feltételeknek, beleértve a személyes adatok harmadik országból vagy egy nemzetközi szervezet által egy másik harmadik országba vagy egy másik nemzetközi szervezethez történő további továbbítását; továbbá

b)  az adatkezelő és az adatfeldolgozó -feldolgozó teljesíti az e fejezetben rögzített irányelv szerint elfogadott egyéb feltételeket, továbbá.

ba)  az egyének személyes adatainak az ezen irányelv által az Unióban garantált védelmi szintje nem sérül; továbbá

bb)  a Bizottság a 34. cikkben említett feltételek és eljárás alapján úgy határozott, hogy a szóban forgó harmadik ország vagy nemzetközi szervezet megfelelő védelmi szintet biztosít; vagy

bc)  a 35. cikknek megfelelően a személyes adatok védelme tekintetében megfelelő biztosítékok állnak rendelkezésre jogilag kötelező erejű eszköz útján.

A tagállamok előírják, hogy az e cikk (1) bekezdésében említett további továbbításra csak akkor kerülhet sor, ha az említett bekezdésben meghatározott feltételeken felül:

a)  a továbbítás az eredeti továbbítással megegyező konkrét célból szükséges; továbbá

b)  az illetékes hatóság, amely az eredeti továbbítást végezte, engedélyezi a további továbbítást. [Mód. 96]

34. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)  A tagállamok előírják, hogy a személyes adatok akkor továbbíthatók harmadik ország vagy nemzetközi szervezet részére, ha a Bizottság a […]/2012/EU rendelet 41. cikkével vagy e cikk (3) bekezdésével összhangban úgy ítéli meg, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges további külön engedély.

(2)  A […]/2012/EU rendelet 41. cikke szerinti határozat elfogadásának elmaradása esetén a védelmi szint megfelelőségét a Bizottság a következők következő tényezők figyelembevételével mérlegeli:

a)  a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, valamint e jogszabályok végrehajtása é az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések; precedensértékű jogesetek, továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai;

b)  a szóban forgó harmadik országban vagy nemzetközi szervezetben többek között megfelelő szankcionálási jogkörrel rendelkező és az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá

c)  a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai, különösen a személyes adatok védelmére vonatkozó, jogi kötőerővel bíró egyezmények vagy eszközök.

(3)  A Bizottság felhatalmazást kap arra, hogy az Európai Adatvédelmi Testület véleményének kikérését követően az 56. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben ezen irányelv hatályán belül határozhat határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít. E végrehajtási jogi aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

(4)  A végrehajtási felhatalmazáson alapuló jogi aktus pontosan rögzíti saját földrajzi ás ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot.

4a)  A Bizottság folyamatosan figyelemmel kíséri azokat a fejleményeket, amelyek harmadik országokban és nemzetközi szervezeteknél befolyásolhatják a (2) bekezdésben felsorolt elemek teljesítését, amelyekkel összefüggésben a (3) bekezdés szerinti felhatalmazáson alapuló jogi aktust fogadtak el.

(5)  A Bizottság felhatalmazást kap arra, hogy az 56. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, amelyekben az ezen irányelv hatályán belül határozhat határoz arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít a (2) bekezdés értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon érintettek számára, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. E végrehajtási aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással vagy – az egyének vonatkozásában személyes adatok védelméhez való jogukra tekintettel rendkívüli sürgősséget igénylő esetekben – az 57. cikk (3) bekezdése szerinti eljárással összhangban kell elfogadni. [Mód.]

(6)  A tagállamok biztosítják, hogy amennyiben a Bizottság az (5) bekezdés szerint határoz, miszerint úgy tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére, e határozat nem sérti a 35. cikk (1) bekezdése, illetve a 36. cikk szerinti továbbítási lehetőséget. A Bizottság megfelelő időben konzultációkat kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására.

(7)  A Bizottság az Európai Unió Hivatalos Lapjában közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak, valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított.

(8)  A Bizottság ellenőrzi a (3)–(5) bekezdés szerinti végrehajtási felhatalmazáson alapuló jogi aktusok alkalmazását. [Mód. 97]

35. cikk

Adattovábbítás megfelelő biztosítékok alapján

(1)  Amennyiben a Bizottság nem hoz a 34. cikk értelmében határozatot vagy úgy dönt, hogy valamely harmadik ország, illetve e harmadik ország valamely területe vagy valamely nemzetközi szervezet nem biztosítja a megfelelő szintű védelmet a 34. cikk (5) bekezdésének megfelelően, az adatkezelő vagy -feldolgozó csak abban az esetben továbbíthat, a tagállamok biztosítják, hogy személyes adatok továbbítására adatokat harmadik országbeli címzettek országba, az azon harmadik országon belüli területre vagy nemzetközi szervezet részére csak abban az esetben kerülhet sor, ha a személyes adatok védelme tekintetében az adatkezelő vagy -feldolgozó megfelelő biztosítékokat nyújt jogilag kötelező eszköz útján.

a)  a személyes adatok védelme tekintetében megfelelő biztosítékok állnak rendelkezésre jogilag kötelező eszköz útján; vagy

b)  az adatkezelő vagy -feldolgozó megvizsgálta a személyesadat-továbbítás összes körülményét és megállapítja, hogy e vizsgálat alapján a személyes adatok védelme tekintetében fennállnak a megfelelő biztosítékok.

(2)  Az (1) bekezdés b) pontján alapuló továbbításra vonatkozó döntést a személyzet megfelelő felhatalmazással rendelkező tagjainak kell meghozniuk. Ezeket az adattovábbításokat dokumentálni kell, és a dokumentációt – kérésre – hozzáférhetővé kell tenni a felügyelő hatóság számára. E továbbítást a felügyelő hatóságnak a továbbítás előtt engedélyeznie kell. [Mód. 98]

36. cikk

Eltérések

(1)  Amennyiben a Bizottság a 34. cikk (5) bekezdése értelmében úgy határoz, hogy nem áll fenn megfelelő védelmi szint, az érintett harmadik ország, illetve nemzetközi szervezet számára történő személyesadat-továbbításra nem kerül sor, ameddig az érintett a továbbítás kizárásához fűződő jogos egyéni érdekei a szóban forgó esetben nagyobb jelentőségűek, mint az adattovábbításhoz fűződő különleges közérdek.

(2)  A 34. és 35. cikktől eltérve, a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére csak azzal a feltétellel továbbíthatók, ha az adattovábbítás:

a)  az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy

b)  az érintett jogos érdekeinek biztosításához szükséges, és amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik; vagy

c)  valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és komolyan fenyegető veszély elhárítása érdekében szükséges; vagy

d)  az adattovábbítás egyedi esetben bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása, vagy a büntetőjogi szankciók végrehajtása; vagy

e)  az adattovábbítás egyedi esetben, adott bűncselekmény megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy adott büntetőjogi szankciók végrehajtásához kapcsolódó jogi követelések megállapítása, érvényesítése vagy védelme miatt szükséges.

(2a)  A (2) bekezdésen alapuló adatfeldolgozás jogalapját uniós jogszabálynak vagy azon tagállam jogszabályának kell képeznie, amelynek hatálya alá az adatkezelő tartozik; e jogszabálynak közérdekű célt vagy mások jogainak és szabadságának szükséges védelmét kell szolgálnia, tiszteletben kell tartania a személyes adatok védelméhez való jog lényegét, és arányosnak kell lennie a kitűzött jogszerű céllal.

(2b)  Az eltérések alapján végrehajtott minden személyesadat-továbbításnak kellően megalapozottnak kell lennie és szigorúan a legszükségesebb adatokra kell korlátozódnia, mivel az adatok tömeges és gyakori továbbítása nem megengedett.

(2c)  A (2) bekezdésen alapuló továbbításra vonatkozó döntést a személyzet megfelelő felhatalmazással rendelkező tagjainak kell meghozniuk. E továbbításokat dokumentálni kell, a dokumentációt pedig kérésre a felügyelő hatóság rendelkezésére kell bocsátani, beleértve a továbbítás napját és időpontját, a címzett hatóságra vonatkozó információt, a továbbítás indokát és a továbbított adatokat. [Mód. 99]

37. cikk

A személyes adatok továbbításának különös feltételei

A tagállamok előírják, hogy az adatkezelő a személyes adatok címzettjét az adatfeldolgozás valamennyi korlátozásáról tájékoztatja, és minden ésszerű lépést megtesznek az említett korlátozások betartásának biztosítása érdekében.. Az adatkezelő továbbá az érintett adatok minden elvégzett aktualizálásáról, helyesbítéséről vagy törléséről tájékoztatja a személyes adatok címzettjét, aki hasonlóképpen tájékoztatást nyújt abban az esetben, ha ezt követően további adattovábbításra került sor. [Mód. 100]

38. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

(1)  A Bizottság és a tagállamok a harmadik országok és nemzetközi szervezetek tekintetében megfelelő lépéseket tesznek annak érdekében, hogy:

a)  a személyes adatok védelméről szóló jogszabályok érvényesítésének biztosítását egyszerűsítését célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki; [Mód. 101]

b)  a személyes adatok védelméről szóló jogszabályok érvényesítésében – a személyes adatok védelme és a többi alapvető jog és szabadság megfelelő biztosítása mellett –, többek között értesítés, panaszok kivizsgálása, nyomozati segítségnyújtás és információátadás útján biztosítsák a kölcsönös nemzetközi segítségnyújtást;

c)  az érintett érdekelteket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítésében további együttműködést célzó párbeszédbe és tevékenységekbe;

d)  előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását.

da)  tisztázzák a harmadik országokkal való joghatósági konfliktusokat, és azokról folytassanak konzultációt; [Mód. 102]

(2)  Az (1) bekezdés céljai érdekében a Bizottság megfelelő lépéseket tesz a harmadik országokkal és nemzetközi szervezetekkel – különösen azok felügyelő hatóságaival – való kapcsolat fejlesztésére, amennyiben úgy határozott, hogy azok a 34. cikk (3) bekezdése értelmében megfelelő védelmi szintet biztosítanak.

38a. cikk

A Bizottság jelentése

A Bizottság rendszeres időközönként jelentést nyújt be az Európai Parlamentnek és a Tanácsnak a 33–38. cikk végrehajtásáról. Az első jelentést az ezen irányelv hatálybalépésétől számított négy éven belül kell benyújtani. A Bizottság erre a célra a tagállamoktól és a felügyelő hatóságoktól információkat kérhet, amelyeket késedelem nélkül rendelkezésére kell bocsátani. A jelentéseket nyilvánosságra kell hozni. [Mód. 103]

VI. FEJEZET

FÜGGETLEN FELÜGYELŐ HATÓSÁGOK

1. SZAKASZ

FÜGGETLEN JOGÁLLÁS

39. cikk

A felügyelő hatóság

(1)  Minden tagállam rendelkezik arról, hogy a természetes személyeket személyes adataik feldolgozásával kapcsolatban megillető alapvető jogok és szabadságok védelme, valamint a személyes adatok Unión belüli szabad áramlásának egyszerűsítése érdekében egy vagy több hatóság feladata, hogy az ezen irányelv értelmében elfogadott rendelkezések alkalmazását ellenőrizze, és azok következetes alkalmazásához az Unió egész területén hozzájáruljon. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(2)  A tagállamok rendelkezhetnek arról, hogy a […]/2012/EU rendelet alapján a tagállamokban létrehozott felügyelő hatóság látja el az e cikk (1) bekezdése értelmében létrehozandó felügyelő hatóság feladatait.

(3)  Amennyiben valamely tagállamban egynél több felügyelő hatóságot hoznak létre, ez a tagállam kijelöli azt a felügyelő hatóságot, amelyik az e hatóságok Európai Adatvédelmi Testületben való hatékony részvétele érdekében egyedüli kapcsolattartóként működik.

40. cikk

Függetlenség

(1)  A tagállamok biztosítják, hogy a felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlásakor teljesen függetlenül jár el az ezen irányelv VII. fejezetében foglalt együttműködési mechanizmusok sérelme nélkül. [Mód. 104]

(2)  Minden tagállam előírja, hogy a felügyelő hatóságok tagjai feladatkörük ellátása során senkitől sem kérnek vagy kapnak utasításokat , és teljesen függetlenül és pártatlanul járnak el. [Mód. 105]

(3)  A felügyelő hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt nem vállalhatnak – akár kereső, akár ingyenesen végzett – összeférhetetlen szakmai tevékenységet.

(4)  A felügyelő hatóság tagjai hivatali idejük leteltét követően a kinevezések és előnyök elfogadása tekintetében feddhetetlenül és tartózkodóan járnak el.

(5)  Minden tagállam biztosítja, hogy a felügyelő hatóság számára rendelkezésre bocsátja a feladat- és hatáskörei, köztük a kölcsönös segítségnyújtás, együttműködés és az Európai Adatvédelmi Testületben való részvétel ellátásához szükséges megfelelő emberi, műszaki és pénzügyi forrásokat, helyiségeket és infrastruktúrát.

(6)  Minden tagállam biztosítja, hogy a felügyelő hatóság saját személyzettel rendelkezzen, amelyet a felügyelő hatóság vezetése nevez ki és irányít.

(7)  A tagállamok biztosítják, hogy a felügyelő hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy a felügyelő hatóság elkülönített éves költségvetéssel rendelkezik. A költségvetést közzé kell tenni.

41. cikk

A felügyelő hatóság tagjaira vonatkozó általános feltételek

(1)  A tagállamok előírják, hogy a felügyelő hatóság tagjait az érintett tagállam parlamentje vagy kormánya nevezi ki.

(2)  A tagokat olyan személyek közül kell kiválasztani, akiknek függetlenségéhez nem fér kétség, és akik már bizonyították az ellátandó feladatkörhöz szükséges tapasztalataikat és képességeiket.

(3)  A tag feladatköre a hivatali idő lejártával, lemondással vagy felmentéssel szűnik meg, az (5) bekezdésnek megfelelően.

(4)  A tagot az illetékes nemzeti bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(5)  Amennyiben a hivatali idő lejár, vagy a tag lemond, a tag mindaddig ellátja feladatköreit, amíg új tagot nem neveznek ki.

42. cikk

A felügyelő hatóság létrehozására vonatkozó szabályok

Valamennyi tagállam jogszabályban rendelkezik a következőkről:

a)  a felügyelő hatóság létrehozása és jogállása a 39. és 40. cikkel összhangban;

b)  a felügyelő hatóság tagjai feladatköreinek ellátásához szükséges végzettség, tapasztalat és készségek;

c)  a felügyelő hatóság tagjainak kinevezésére vonatkozó szabályok és eljárások, valamint a hivatali feladatkörökkel összeférhetetlen tevékenységekre és foglalkozásokra vonatkozó szabályok;

d)  a felügyelő hatóság tagjai megbízatásának időtartama, amely legalább négy év, kivéve az ezen irányelv hatálybalépését követő első kinevezést, amely rövidebb ideig tarthat;

e)  a felügyelő hatóság tagjainak esetleges ismételt kinevezhetősége;

f)  a felügyelő hatóság tagjainak és munkatársainak feladatköreire vonatkozó szabályok és általános feltételek;

g)  a felügyelő hatóság tagjai megbízatásának megszűnésére vonatkozó szabályok és eljárások, beleértve azt az esetet, ha már nem tesznek eleget a kötelezettségek végrehajtásához szükséges feltételeknek, vagy ha súlyos kötelezettségszegést követtek el.

43. cikk

Szakmai titoktartás

A tagállamok rendelkeznek arról, hogy a felügyelő hatóság tagjait és személyzetét a hivatali feladatkörük ellátása során tudomásukra jutott bizalmas információk tekintetében hivatali idejük alatt és annak leteltét követően is is a nemzeti jogszabályokkal és gyakorlatokkal összhangban szakmai titoktartási kötelezettség terheli, és azok feladataikat az ezen irányelvben előírtak szerint, független és átlátható módon látják el. [Mód. 106].

2. SZAKASZ

FELADAT- ÉS HATÁSKÖRÖK

44. cikk

Illetékesség

(1)  A tagállamok előírják, hogy a felügyelő hatóságok a feladatok ellátására illetékességgel rendelkeznek, és hogy a rájuk ruházott hatásköröket a tagállamuk területén ezen irányelvnek megfelelően gyakorolják. [Mód. 107]

(2)  A tagállamok előírják, hogy hatásköre nem terjed ki a bíróságok által igazságszolgáltatási feladataik körében végzett adatfeldolgozási műveletek felügyeletére.

45. cikk

Feladatkörök

(1)  A tagállamok előírják, hogy a felügyelő hatóság:

a)  ellenőrzi és biztosítja az ezen irányelv értelmében elfogadott rendelkezések és az azokat végrehajtó intézkedések alkalmazását;

b)  foglalkozik az érintett vagy az érintetteket egy képviselő, szabályszerű felhatalmazással rendelkező szervezet által az 50. cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve vagy a szervezetet ésszerű időn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekről és eredményekről, különösen ha további vizsgálat vagy egy másik felügyelő hatósággal való együttműködés válik szükségessé;

c)  ellenőrzi az adatfeldolgozás 14. cikk szerinti jogszerűségét, valamint ésszerű határidőn belül tájékoztatja az érintettet az ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

d)  kölcsönös segítséget nyújt más felügyelő hatóság számára, és biztosítja az ezen irányelv értelmében elfogadott rendelkezések következetes alkalmazását és érvényesítését;

e)  saját kezdeményezés, panasz vagy egy másik felügyelő hatóság megkeresése alapján vizsgálatot, szemlét vagy ellenőrzést folytat le, és ésszerű határidőn belül tájékoztatja a vizsgálat eredményéről az érintettet, amennyiben az emelt panaszt;

f)  figyelemmel kíséri a személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információtechnológia és a hírközlési technológia fejlődését;

g)  egyeztet a tagállami intézményekkel és szervekkel a személyes adatok feldolgozásához fűződő egyéni jogok és szabadságok védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

h)  a 26. cikk szerint konzultál az adatfeldolgozási műveletekről;

i)  részt vesz az Európai Adatvédelmi Testület tevékenységeiben.

(2)  Valamennyi felügyelő hatóság előmozdítja a polgárok tudatosságát a személyes adatok védelmével kapcsolatos kockázatok, szabályok, biztosítékok és jogok tekintetében. Különös figyelmet kell fordítani a kifejezetten gyermekekre irányuló tevékenységekre.

(3)  A felügyelő hatóság kérelemre valamennyi érintettnek tanácsokat ad az ezen irányelv szerint elfogadott rendelkezésekben meghatározott jogaik gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyelő hatóságaival.

(4)  Az (1) bekezdés b) pontja szerinti panaszok vonatkozásában a felügyelő hatóság – a kommunikáció más módjainak kizárása nélkül – a panasz benyújtásához szükséges, elektronikus úton kitölthető formanyomtatványt bocsát rendelkezésre.

(5)  A tagállamok előírják, hogy a felügyelő hatóság az érintett vonatkozásában térítésmentesen látja el feladatait.

(6)  Amennyiben a kérelmek zaklató nyilvánvalóan túlzóak, jellegűek, különösen ismétlődő jellegük miatt, a felügyelő hatóság ésszerű díjat számíthat fel, vagy visszautasíthatja az érintett által kért E díj nem haladhatja meg a intézkedés megtételét meghozatalának költségeit. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem zaklató nyilvánvalóan túlzó jellegű. [Mód. 108]

46. cikk

Hatáskörök

(1)  A tagállamok előírják, hogy minden egyes valamennyi felügyelő hatóság hatáskörrel rendelkezzen különösen :arra, hogy:

a)  vizsgálati hatáskörrel, így hatáskörrel arra, hogy hozzáférjen az adatfeldolgozási műveletek tárgyát képező adatokhoz, valamint arra, hogy összegyűjtsön minden, felügyeleti feladatkörének gyakorlásához szükséges adatot; a személyesadat-feldolgozást szabályozó rendelkezések állítólagos megsértése esetén értesítse az adatkezelőt vagy az adatfeldolgozót, és szükség esetén felhívja az adatkezelőt vagy -feldolgozót a rendelkezés megsértésének adott módon történő orvoslására, az érintettek védelmének javítása érdekében;

b)  tényleges vizsgálati hatáskörrel, így véleménynyilvánítási jogkörrel az adatfeldolgozás elvégzését megelőzően, illetve az ilyen vélemények megfelelő közzétételére irányuló jogkörrel, továbbá hatáskörrel arra, hogy elrendelje az adat korlátozását, törlését vagy megsemmisítését, az adatfeldolgozás átmeneti vagy végleges tilalmát, az adatkezelő figyelmeztetését vagy megrovását, továbbá tájékoztassa az ügyről a nemzeti parlamentet vagy más politikai intézményt;érintett ezen irányelv szerinti jogainak, köztük a 12–17. cikkben foglalt jogoknak gyakorlására vonatkozó kérelmének adatkezelő általi teljesítését, amennyiben a szóban forgó kérelmet e rendelkezések megsértésével elutasították;

c)  hatáskörrel arra elrendelje hogy az ezen irányelv alapján elfogadott rendelkezések megsértése esetén jogi eljárást indítson, vagy a jogsértésre felhívja az igazságszolgáltatási hatóságok figyelmét.adatkezelő vagy -feldolgozó adja meg a 10. cikk (1) és (2) bekezdése, valamint a 11., 28. és 29. cikk szerinti tájékoztatást;

d)  biztosítsa a 26. cikkben említett előzetes konzultációra vonatkozó véleményekkel való összhangot;

e)  figyelmeztesse vagy elmarasztalja az adatkezelőt vagy -feldolgozót;

f)  elrendelje bármely adat helyesbítését, törlését vagy megsemmisítését, amennyiben annak feldolgozása az ezen irányelv alapján elfogadott rendelkezések megsértésével történt, és elrendelje azon harmadik személyek ilyen intézkedésről történő értesítését, akikkel az adatot közölték;

g)  elrendelje az adatfeldolgozás átmeneti vagy végleges tilalmát;

h)  felfüggessze a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlást;

i)  tájékoztassa a kérdésről a nemzeti parlamenteket, a kormányt vagy más közintézményt, valamint a nyilvánosságot.

(2)  Valamennyi felügyelő hatóság vizsgálati hatáskörrel rendelkezik arra, hogy:

a)  az adatkezelőtől vagy -feldolgozótól a felügyeleti feladatainak teljesítéséhez szükséges valamennyi személyes adatba és információba betekintést nyerjen;

b)  a nemzeti joggal összhangban – a bírósági engedély sérelme nélkül, amennyiben ezt a nemzeti jog előírja – az adatkezelő vagy -feldolgozó bármely helyiségébe belépjen, beleértve minden adatfeldolgozó eszközhöz és módhoz való hozzáférést, amennyiben alapos indokok alapján feltételezhető, hogy ott az ezen irányelv alapján elfogadott rendelkezések megsértésével járó tevékenység zajlik.

(3)  A tagállamok a 43. cikk sérelme nélkül előírják, hogy a felügyelő hatóságok kérésére semmilyen további titoktartási követelmény nem írható elő.

(4)  A tagállamok előírhatják, hogy a nemzeti joggal összhangban az EU BIZALMAS-hoz hasonló vagy magasabb szintű besorolással rendelkező információkhoz való hozzáféréshez további biztonsági ellenőrzés szükséges. Amennyiben az érintett felügyelő hatóság tagállamának nemzeti joga szerint nem szükséges további biztonsági ellenőrzés, ezt az összes többi tagállamnak el kell ismernie.

(5)  Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy felhívja az igazságügyi hatóságok figyelmét az ezen irányelv alapján elfogadott rendelkezések megsértésére, és részt vegyen a bírósági eljárásokban, továbbá az 53. cikk (2) bekezdésének megfelelően az illetékes bíróság előtt keresetet indítson.

(6)  Minden egyes felügyelő hatóság hatáskörrel rendelkezik arra, hogy közigazgatási jogsértés miatt közigazgatási szankciót alkalmazzon. [Mód. 109]

46a. cikk

A jogsértések bejelentése

(1)  A tagállamok előírják, hogy a felügyelő hatóságok figyelembe veszik az Európai Adatvédelmi Testület által a(z) …/2013/EU rendelet 66. cikkének (4b) bekezdése szerint kibocsátott iránymutatást, és hatékony mechanizmusokat dolgoznak ki az ezen irányelv megsértésére vonatkozó bizalmas jellegű bejelentések ösztönzésére.

(2)  A tagállamok előírják, hogy az illetékes hatóságok hatékony mechanizmusokat dolgoznak ki az ezen irányelv megsértésére vonatkozó bizalmas jellegű bejelentések ösztönzésére. [Mód. 110]

47. cikk

A tevékenységről szóló jelentés

A tagállamok előírják, hogy valamennyi felügyelő hatóság éves legalább kétévente jelentést készít a tevékenységeiről. A jelentést elérhetővé kell tenni a nyilvánosság, az érintett parlament, a Bizottság és az Európai Adatvédelmi Testület számára. A jelentés információkat tartalmaz arról, hogy az illetékes hatóságok milyen mértékben fértek hozzá a joghatóságuk alá tartozó magánfelek birtokában lévő adatokhoz bűncselekmények nyomozása vagy büntetőeljárás lefolytatása céljából. [Mód. 111]

VII. FEJEZET

EGYÜTTMŰKÖDÉS

48. cikk

Kölcsönös segítségnyújtás

(1)  A tagállamok előírják, hogy a felügyelő hatóságok kölcsönösen segítséget nyújtanak egymásnak az ezen irányelv értelmében elfogadott rendelkezések következetes végrehajtása és alkalmazása érdekében, valamint a hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsősorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az előzetes egyezetés, vizsgálat és nyomozás folytatására vonatkozó kérelmek.

(2)  A tagállamok előírják, hogy a felügyelő hatóság megteszi az összes szükséges intézkedést a valamely másik felügyelő hatóságtól érkezett megkeresés megválaszolása érdekében. Ezen intézkedések közé tartozhat különösen a vonatkozó információk átadása vagy az olyan végrehajtási intézkedések, amelyek az ezen irányelvvel ellentétes adatfeldolgozási műveletek haladéktalan, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belüli megszüntetését vagy tilalmát célozzák.

(2a)  A segítségnyújtás iránti kérelem minden szükséges információt tartalmaz, beleértve a megkeresés célját és indokait. Az átadott információkat kizárólag abban az ügyben lehet felhasználni, amellyel kapcsolatban kérték őket.

(2b)  A segítségnyújtás iránti kérelemmel megkeresett felügyelő hatóság nem tagadhatja meg annak teljesítését, kivéve ha:

a)  nem illetékes a kérelem feldolgozásában; vagy

b)  a kérelem teljesítése összeegyeztethetetlen lenne az ezen irányelv alapján elfogadott rendelkezésekkel.

(3)  A megkeresett felügyelő hatóság tájékoztatja a megkereső felügyelő hatóságot az eredményekről, vagy adott esetben az elért előrelépésről vagy a megkereső felügyelő hatóság kérelmének teljesítése érdekében hozott intézkedésekről.

(3a)  A felügyelő hatóságok elektronikus úton, a lehető legrövidebb időn belül, egységes formanyomtatvány használatával bocsátják rendelkezésre a más felügyelő hatóságok által kért információt.

(3b)  A kölcsönös segítségnyújtás iránti kérelem nyomán megtett intézkedések térítésmentesek. [Mód. 112]

48a. cikk

Közös műveletek

(1)  A tagállamok előírják, hogy az együttműködés és a kölcsönös segítségnyújtás fokozása érdekében a felügyelő hatóságok közös végrehajtási intézkedéseket és egyéb olyan közös műveleteket hajtanak végre, amelyekben egy tagállam területén egy másik tagállam felügyelő hatóságának kijelölt tagjai vagy munkatársai vesznek részt.

(2)  A tagállamok előírják, hogy amennyiben az adatfeldolgozási műveletek valószínűleg egy vagy több más tagállambeli érintettre is kihatnak, az illetékes felügyelő hatóság felkérhető a közös műveletekben való részvételre. Az illetékes felügyelő hatóság felkérheti az összes említett tagállam felügyelő hatóságát, hogy vegyen részt az adott műveletben, és ilyen felkérés esetén haladéktalanul válaszoljon a felügyelő hatóság műveletekben való részvételre irányuló megkeresésére.

(3)  A tagállamok meghatározzák a konkrét együttműködési tevékenységekre vonatkozó gyakorlati szempontokat.

49. cikk

Az Európai Adatvédelmi Testület feladatai

(1)  A […]/2012/EU […]/2013/EU rendelettel létrehozott Európai Adatvédelmi Testület az ezen irányelv hatálya alá tartozó adatfeldolgozással kapcsolatban az alábbi feladatokat látja el:

a)  tanáccsal látja el a Bizottságot az uniós intézményeket a személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük az ezen irányelv bármely javasolt módosítása tekintetében;

b)  a Bizottság, az Európai Parlament vagy a Tanács kérésére, illetve a saját vagy tagjainak kezdeményezésére megvizsgál bármely, az ezen irányelv értelmében elfogadott rendelkezések alkalmazását érintő kérdést, valamint az említett rendelkezések következetes alkalmazásának elősegítésére – a végrehajtási hatáskörök alkalmazását is beleértve – iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelő hatóságok számára;

c)  felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak;

d)  véleményezi a Bizottság számára a harmadik országok, illetve nemzetközi szervezetek által nyújtott védelem szintjét;

e)  előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét, beleértve a közös műveletek és más közös tevékenységek összehangolását, amennyiben egy vagy több felügyelő hatóság kérésére így dönt;

f)  támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat;

g)  előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is.

ga)  az ezen irányelv szerinti felhatalmazáson alapuló jogi aktusok és végrehajtási aktusok előkészítése során véleményt nyilvánít a Bizottságnak.

(2)  Amennyiben az Európai Parlament, a Tanács vagy a Bizottság tanácsot kér az Európai Adatvédelmi Testülettől, az ügy sürgősségét figyelembe véve meghatározhatja azt a határidőt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia.

(3)  Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és bevált módszereit továbbítja a Bizottságnak és az 57. cikk (1) bekezdése szerinti bizottságnak, és nyilvánosságra hozza azokat.

(4)  A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről. [Mód. 114]

VIII. FEJEZET

JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

50. cikk

A felügyelő bizottsághoz címzett panasz benyújtásához való jog

(1)  A tagállamok az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, rendelkeznek arról, hogy minden érintettnek joga van panaszt emelni bármely tagállam felügyelő hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes az ezen irányelv értelmében elfogadott rendelkezésekkel.

(2)  A tagállamok rendelkeznek arról, hogy valamennyi olyan szerv, szervezet vagy egyesület, amelynek célja az érintettek személyes adatok védelmére vonatkozó jogainak és érdekeinek védelme, amely közérdekből jár el, és amelyet valamely tagállam jogának megfelelően hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelő hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak az ezen irányelv szerinti jogait. Az érintett(ek)nek szabályszerű meghatalmazást kell adni(uk) a szervezetnek vagy egyesületnek.

(3)  A tagállamok rendelkeznek arról, hogy a (2) bekezdés szerinti szerv, szervezet vagy egyesület az érintett panaszától függetlenül jogosult bármely tagállam felügyelő hatóságánál panaszt emelni, ha megítélése szerint a személyes adatok megsértésére került sor. [Mód. 115]

51. cikk

A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog

(1)  A tagállamok rendelkeznek a minden természetes vagy jogi személyt megillető azon jogról, hogy a felügyelő hatóság rá vonatkozó hatóság döntései elleni ellen bírósági jogorvoslathoz való jogról.jogorvoslatot vehessen igénybe.

(2)  A tagállamok előírják, hogy a jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelő hatóság három hónapon belül nem tájékoztatja az érintettet – a 45. cikk (1) bekezdésének bekezdése b) pontjának megfelelően – a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről, valamennyi érintettnek joga van a felügyelő hatóságot a panasz elbírálására kötelező bírósági jogorvoslathoz.

(3)  A tagállamok előírják, hogy a felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(3a)  A tagállamok biztosítják az e cikkben említett jogerős bírósági határozatok végrehajtását. [Mód. 116]

52. cikk

Az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jog

(1)  A tagállamok a rendelkezésre álló közigazgatási jogorvoslatokat, köztük a felügyelő hatóságnál emelt panaszok benyújtásának jogát tiszteletben tartva rendelkeznek arról, hogy minden természetes személyt megillet a bírósági jogorvoslathoz való jog, ha megítélése szerint a személyes adatainak az ezen irányelv értelmében elfogadott rendelkezésekkel ellentétes feldolgozása következtében megsértették az e rendelkezések szerinti jogait.

(1a)  A tagállamok biztosítják az e cikkben említett jogerős bírósági határozatok végrehajtását. [Mód. 117]

53. cikk

A bírósági eljárásokra vonatkozó közös szabályok

(1)  A tagállamok rendelkeznek arról, hogy az 50. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult az 51. ,és 52. és 54. cikk szerinti jogokat egy vagy több érintett nevében arra vonatkozó meghatalmazása alapján gyakorolni. [Mód. 118]

(2)  Az A tagállamok előírják, hogy ezen irányelv értelmében elfogadott rendelkezések végrehajtása, illetve a személyes adatok Unión belüli védelmének következetes biztosítása érdekében valamennyi felügyelő hatóság jogosult a jogi eljárásokban részt venni és bírósági keresetet indítani. [Mód. 119]

(3)  A tagállamok biztosítják, hogy a nemzeti jog alapján rendelkezésre álló bírósági keresetek lehetővé teszik a feltételezett jogsértés megszüntetésére és az érintett érdekek jövőbeni megsértésének megelőzésére irányuló, ideiglenes intézkedéseket is magukban foglaló intézkedések gyors elfogadását.

54. cikk

Felelősség és kártérítéshez való jog

(1)  A tagállamok előírják, hogy minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmében elfogadott rendelkezésekkel összeegyeztethetetlen cselekmény eredményeként – többek között nem vagyoni kárt – kárt szenvedett, az elszenvedett károkért az adatkezelővel vagy -feldolgozóval szemben kártérítésre kártérítés követelésére jogosult. [Mód. 120]

(2)  Amennyiben az adatfeldolgozásban egynél több adatkezelő vagy -feldolgozó vesz részt, minden adatkezelő vagy -feldolgozó egyetemlegesen felel a kár teljes összegéért.

(3)  Az adatkezelő vagy -feldolgozó részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

55. cikk

Szankciók

A tagállamok rögzítik az ezen irányelv értelmében elfogadott rendelkezések megsértése esetén alkalmazandó szankciók szabályait, és azok végrehajtásának biztosítására minden szükséges intézkedést megtesznek. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

VIIIa. fejezet

Személyes adatok továbbítása más feleknek

55a. cikk

Személyes adatok továbbítása az Unión belüli más hatóságoknak és magánfeleknek

(1)  A tagállamok biztosítják, hogy az adatkezelő nem továbbít személyes adatokat, illetve az adatfeldolgozót nem utasítja személyes adatok továbbítására olyan természetes vagy jogi személynek, amely nem tartozik az ezen irányelv értelmében elfogadott rendelkezések hatálya alá, kivéve, ha:

a)  a továbbítás megfelel az uniós vagy tagállami jogszabályoknak; továbbá

b)  a címzett az Európai Unió egyik tagállamában letelepedett; továbbá

c)  az adattovábbítás nem ütközik az adatalany semmilyen jogos egyéni érdekével; továbbá

d)  a továbbítást a személyes adatokat továbbító adatkezelőnek egy konkrét ügyben a következő célból kell elvégeznie:

i.  a jogszerűen ráruházott feladatok ellátása; vagy

ii.  a közbiztonságot közvetlenül és súlyosan veszélyeztető esemény megelőzése; vagy

iii.  annak megakadályozása, hogy egyének jogai súlyosan sérüljenek.

(2)  Az adatkezelő tájékoztatja a címzettet arról a kizárólagos célról, amelyre a személyes adatok feldolgozása megengedett.

(3)  Az adatkezelő az ilyen adattovábbításokról tájékoztatja a felügyelő hatóságot.

(4)  Az adatkezelő tájékoztatja a címzettet a feldolgozásra vonatkozó korlátozásokról, és biztosítja e korlátozások betartását. [Mód. 121]

IX. FEJEZET

FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

56. cikk

A felhatalmazás gyakorlása

(1)  A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktusok elfogadására.

(2)  A Bizottságnak a a 25a. cikk (7) bekezdésében, a 28. cikk (5) bekezdésében,, a 34. cikk (3) bekezdésében, valamint a 34. cikk (5) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására való felhatalmazása az ezen irányelv hatálybalépésnek időpontjától számított határozatlan időre szól.

(3)  Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 25a. cikk (7) bekezdésében, a 28. cikk (5) bekezdésében, a 34. cikk (3) bekezdésében és a 34. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott megjelölt felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4)  A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(5)  A 25a. cikk (7) bekezdésében, a 28. cikk (5) bekezdésében, a 34. cikk (3) bekezdésében és a 34. cikk (5) bekezdésében említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hat hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ezen ez az időtartam két hat hónappal meghosszabbodik. [Mód. 122]

56a. cikk

A felhatalmazáson alapuló jogi aktusok elfogadásának határideje

A Bizottság a 25a. cikk (7) bekezdése és a 28. cikk (5) bekezdése szerinti felhatalmazáson alapuló jogi aktusokat [hat hónappal a 62. cikk (1) bekezdésében említett időpont előtt] elfogadja. A Bizottság az e bekezdésben említett határidőt hat hónappal meghosszabbíthatja. [Mód. 123]

57. cikk

A bizottsági eljárás

(1)  A Bizottság munkáját egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottság.

(2)  Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)  Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkével összefüggésben értelmezett 8. cikkét kell alkalmazni. [Mód. 124]

X. FEJEZET

ZÁRÓ RENDELKEZÉSEK

58. cikk

Hatályon kívül helyezés

(1)  A 2008/977/IB tanácsi kerethatározat hatályát veszti.

(2)  Az (1) bekezdésben említett, hatályon kívül helyezett kerethatározatra történő hivatkozásokat ezen irányelvre történő hivatkozásokként kell értelmezni.

59. cikk

A büntetőügyekben folytatott igazságügyi és rendőrségi együttműködésre vonatkozóan korábban elfogadott uniós jogi aktusokkal való kapcsolat

Változatlanul hatályban maradnak az ezen irányelv elfogadásának időpontját megelőzően elfogadott, a tagállamok közötti személyesadat-feldolgozást és a tagállamok kijelölt hatóságainak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozó uniós jogi aktusok személyesadat-védelemre vonatkozó, a bűncselekmények megelőzésével, nyomozásával, felderítésével, büntetőeljárás lefolytatásával vagy büntetőjogi szankciók végrehajtásával kapcsolatos különös rendelkezései.

60. cikk

A bűnügyi igazságügyi és rendőrségi együttműködés területén korábban megkötött nemzetközi megállapodásokhoz fűződő viszony

A tagállamok által ezen irányelv hatálybalépését megelőzően kötött nemzetközi megállapodásokat az ezen irányelv hatálybalépését követő öt éven belül szükség esetén módosítani kell.

61. cikk

Értékelés

(1)  A Bizottság az Európai Adatvédelmi Testület véleményének beszerzése után értékeli ezen irányelv alkalmazását és átültetését. A koordinációt a tagállamokkal szoros együttműködésben végzi, és bejelentett és be nem jelentett látogatásokat tesz. Az Európai Parlamentet és a Tanácsot az egész folyamat alatt tájékoztatni kell, és biztosítani kell számukra a vonatkozó dokumentumokhoz való hozzáférést..

(2)  A Bizottság ezen irányelv hatálybalépését követő három két éven belül felülvizsgálja az Európai Unió egyéb, a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozását szabályozó jogi aktusait, különösen az 59. cikkben említett uniós jogi aktusokat, és annak érdekében, hogy szükséges-e azokat az ezen irányelvhez igazítani, valamint hogy adott esetben megtegye az említett jogi aktusok módosítására irányuló szükséges javaslatokat a személyes adatok illetékes hatóságok általi, bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő, az ezen irányelv hatálya alá tartozó feldolgozására vonatkozóan védelme következetes megközelítésének biztosítása érdekében és egységes jogszabályokat biztosítson, megteszi a szükséges javaslatokat.

(2a)  A Bizottság az ezen irányelv hatálybalépését követő két éven belül megfelelő javaslatokat terjeszt elő a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi, bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő feldolgozására vonatkozó jogi keret felülvizsgálatára annak érdekében, hogy az Unióban a személyes adatok védelméhez való alapvető joggal kapcsolatban következetes és egységes jogi szabályozást biztosítson. [Mód.125]

(3)  A Bizottság rendszeres időközönként jelentéseket terjeszt az Európai Parlament és a Tanács elé az ezen irányelv (1) bekezdésnek megfelelő értékeléséről és felülvizsgálatáról. Az első jelentéseket legkésőbb ezen irányelv hatályba lépésétől számított négy éven belül kell benyújtani. A további jelentéseket azt követően négyévente kell benyújtani. A Bizottság – amennyiben szükségesnek ítéli – megfelelő javaslatokat tesz ezen irányelv módosítására és más jogi eszközök kiigazítására. A jelentéseket nyilvánosságra kell hozni.

62. cikk

Végrehajtás

(1)  A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek legkésőbb …(12)-ig megfeleljenek. Az említett rendelkezések szövegét haladéktalanul megküldik a Bizottság számára.

Ezeket a rendelkezéseket …*-tól/-től alkalmazzák.

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2)  A tagállamok közlik a Bizottsággal a nemzeti jog azon főbb rendelkezéseit, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

63. cikk

Hatálybalépés és alkalmazás

Ez az irányelv az Európai Unió Hivatalos Lapjában való közzétételét követő napon lép hatályba.

64. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt .

az Európai Parlament részéről a Tanács részéről

az elnök az elnök

(1) HL C 192., 2012.6.30., 7. o.
(2) Az európai parlament 2014. március 12-i álláspontja.
(3)Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).
(4)A Tanács 2008/977/IB kerethatározata ( 2008. november 27. ) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről (HL L 350., 2008.12.30., 60. o.).
(5) 1Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1.o.).
(6)Az Európai Parlament és a Tanács 2011. február 16-i 182/2011/EU rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).
(7)Az Európai Parlament és a Tanács 2011/93/EU irányelve ( 2011. december 13. ) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1. o.).
(8)HL L 176., 1999.7.10., 36. o.
(9)HL L 53., 2008.2.27., 52.o.
(10)HL L 160., 2011.6.18., 19. o.
(11) HL C 369., 2011.12.17., 14. o.
(12) A hatálybalépést követő két év elteltével.

Jogi nyilatkozat - Adatvédelmi szabályzat