INDOKOLÁS

1. A JAVASLAT HÁTTERE

A jelen indokolás további részletekkel szolgál a COM(2012)9 végleges közleményben[1] rögzített, a személyes adatok Európai Unión belüli védelmének új jogi keretéhez kapcsolódó bizottsági megközelítés vonatkozásában. A javasolt új jogi keret két jogalkotási javaslatból áll:

– személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) javaslata, valamint

– a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelv javaslat[2].

A jelen indokolás az általános adatvédelmi rendeletre vonatkozó jogalkotási javaslathoz kapcsolódik.

A hatályos uniós személyesadat-védelmi szabályozás központi elemének, vagyis a 95/46/EK irányelvnek[3] 1995-ben történt elfogadásakor két célt tartottak szem előtt: az adatvédelemhez való alapvető jog tiszteletben tartását és a személyes adatok tagállamok közötti szabad áramlásának biztosítását. A jogszabály a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén a személyes adatok védelmére vonatkozó általános uniós eszközzel, a 2008/977/IB kerethatározattal[4] egészült ki.

A gyors technológiai fejlődés új kihívásokat állított a személyes adatok védelme elé. Az adatmegosztás és adatgyűjtés mértéke rendkívül megnőtt. A technológia mind a magánvállalkozások, mind a hatóságok részére minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel. Az egyének egyre több személyes információt tesznek nyilvánosan és globálisan hozzáférhetővé. A technológia a gazdasági élet mellett a társadalmi életet is átformálta.

A gazdasági fejlődés kulcsát az online környezetbe vetett bizalom kiépítése jelenti. A fogyasztók bizalom hiányában vonakodnak az online vásárlástól és új szolgáltatások elfogadásától. E kockázati tényezők lassítják az új technológiák innovatív felhasználásának fejlődését. A személyes adatok védelme tehát központi szerepet játszik az európai digitális menetrendben[5], valamint általában véve az Európa 2020 stratégiában[6].

Az Európai Unió működéséről szóló szerződés (EUMSZ) Lisszaboni Szerződés által beiktatott 16. cikkének (1) bekezdése rögzíti azt az elvet, amely szerint mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. A Lisszaboni Szerződés ezenfelül az EUMSZ 16. cikk (2) bekezdésével a személyes adatok védelmére vonatkozó szabályok elfogadására külön jogalapot vezetett be. Az Európai Unió Alapjogi Chartájának 8. cikke a személyes adatok védelmét alapvető jogként rögzíti.

Az Európai Tanács felkérte a Bizottságot, hogy értékelje az uniós adatvédelmi eszközök működését, valamint hogy – amennyiben szükséges – terjesszen elő további jogalkotási és nem jogalkotási kezdeményezéseket[7]. Az Európai Parlament a stockholmi programról szóló állásfoglalásában[8] üdvözölte az Európai Unió átfogó adatvédelmi rendszerének gondolatát, és egyebek mellett a kerethatározat felülvizsgálatára szólított fel. A Bizottság a stockholmi program végrehajtásáról szóló cselekvési tervében[9] hangsúlyozta annak szükségességét, hogy az összes uniós szakpolitika terén gondoskodni kell a személyes adatok védelmére vonatkozó alapvető jog következetes alkalmazásáról.

A Bizottság „A személyes adatok Európai Unión belüli védelmének átfogó megközelítése” című közleményében[10] arra a következtetésre jutott, hogy az Európai Uniónak átfogóbb és következetesebb politikára van szüksége a személyes adatok védelméhez fűződő alapvető jog tekintetében.

A jelenlegi keret célkitűzéseit és alapelveit tekintve továbbra is érvényes, de nem akadályozza meg az Unión belüli személyesadat-védelem széttagolt megvalósítását, a jogbizonytalanságot és azt a széles körben elterjedt közvélekedést, miszerint az online tevékenység jelentős kockázatokat rejt magába[11]. Ezért elérkezett az ideje egy szilárdabb és következetesebb uniós adatvédelmi keret kialakításának, amely mögött olyan erős kikényszeríthetőség áll, amely lehetővé teszi a digitális gazdaság belső piaci fejlődését, biztosítja az egyének számára a saját adataik feletti ellenőrzést, és megszilárdítja a jogbiztonságot és a gyakorlat biztonságát a gazdasági szereplők és a hatóságok számára.

2. AZ ÉRDEKELTEKKEL FOLYTATOTT KONZULTÁCIÓK EREDMÉNYEI, HATÁSVIZSGÁLAT

E kezdeményezés a személyes adatok védelmének fennálló jogi keretét felülvizsgáló összes főbb érdekelttel folytatott széles körű konzultáció eredménye, amely több mint két évig tartott, és egy 2009 májusában tartott magas szintű konferenciát[12], valamint két nyilvános konzultációs szakaszt is magában foglalt:

– 2009. július 9. és december 31. között zajlott a Konzultáció a személyes adatok védelméhez való alapvető jog jogi keretéről. A Bizottsághoz 168 válasz érkezett, 127 magánszemélyektől, gazdasági szervezetektől és szövetségektől, 12 pedig hatóságoktól[13].

– 2010. november 4. és 2011. január 15. között zajlott a Konzultáció a Bizottságnak a személyes adatok Európai Unión belüli védelméhez kapcsolódó átfogó megközelítéséről. A Bizottsághoz 305 válasz érkezett, 54 polgároktól, 31 hatóságoktól és 220 magánszervezetektől, különösen gazdasági szövetségektől és nem kormányzati szervezetektől[14].

A kulcsfontosságú érdekeltekkel célzott konzultációkat is folytattak; 2010 júniusában és júliusában külön eseményeket szerveztek a tagállami hatóságok és a magánszektor érdekeltjei, valamint a magánélet védelmére, az adatvédelemre és a fogyasztók védelmére létrejött szervezetek részére[15]. 2010. novemberében az Európai Bizottság alelnöke, Viviane Reding kerekasztal-megbeszélést szervezett az adatvédelem reformjáról. 2011. január 28-án (az adatvédelem napja) az Európai Bizottság és az Európa Tanács együttes szervezésében magas szintű konferenciát tartottak az uniós jogi keret reformjához kapcsolódó kérdésekről, valamint az egész világra kiterjedő közös adatvédelmi szabályok szükségességéről[16]. A magyar és lengyel soros tanácsi elnökség során két adatvédelmi konferenciát tartottak 2011. június 16–17-én és 2011. szeptember 21-én.

2011 folyamán célzott műhelytalálkozókat és egyedi kérdésekről szóló szemináriumokat tartottak. Januárban az ENISA[17] szervezett műhelytalálkozót az adatvédelem megsértésének európai bejelentéséről[18]. Februárban a Bizottság műhelytalálkozóra hívta a tagállami hatóságokat a büntetőügyekben folytatott rendőri és igazságügyi együttműködés területén felmerülő adatvédelmi problémák – beleértve a kerethatározat végrehajtását is – megvitatása céljából, az Alapjogi Ügynökség pedig konzultációra hívta az érdekelteket „Adatvédelem és a magánélet védelme” címmel. A reform kulcsfontosságú kérdéseinek megvitatására 2011. július 13-án került sor a nemzeti adatvédelmi hatóságok részvételével. 2010 novembere és decembere között az Eurobarometer felmérést végzett az uniós polgárok körében[19]. Számos tanulmányt is készítettek[20]. A „29. cikk alapján létrehozott munkacsoport”[21] számos véleményt és hasznos anyagot bocsátott a Bizottság rendelkezésére[22]. Az európai adatvédelmi biztos átfogó véleményt is kiadott a Bizottság 2010 novemberi közleményében felmerült kérdések vonatkozásában[23].

Az Európai Parlament 2011. július 6-i állásfoglalásával jóváhagyott egy, az adatvédelmi keret átalakítására vonatkozó bizottsági megközelítést támogató jelentést[24]. Az Európai Unió Tanácsa 2011. február 24-én elfogadott következtetéseiben általában véve támogatta a Bizottság adatvédelmi keret reformjára irányuló törekvéseit és egyetértett a Bizottság megközelítésének számos elemével. Az Európai Gazdasági és Szociális Bizottság ugyancsak támogatta az uniós adatvédelmi szabályok[25] valamennyi tagállamban való következetesebb alkalmazásának biztosítására vonatkozó bizottsági célkitűzést, valamint a 95/46/EK irányelv megfelelő felülvizsgálatát[26].

Az átfogó megközelítésről szóló konzultációk során az érdekeltek nagy többsége egyetértett azzal, hogy az általános elvek továbbra is érvényesek, de alkalmassá kell tenni a jelenlegi keretet arra, hogy jobb választ adhasson az új (különösen az online) technológiák gyors fejlődéséből fakadó kihívásokra és a terjedő globalizációra, fenntartva a jogi keret technológiai semlegességét. Súlyos kritikával illették az uniós személyesadat-védelem jelenlegi széttagoltságát, különösen azok a gazdasági érdekeltek, akik nagyobb mértékű jogbiztonságot és a személyes adatok védelméről szóló szabályok harmonizálását kérték. A személyes adatok nemzetközi továbbítására irányuló szabályok összetettségét lényeges hátráltató tényezőnek minősítették működésük szempontjából, mivel rendszeresen továbbítaniuk kell személyes adatokat az Unióból a világ más részeire.

A Bizottság szabályozásjavító politikájával összhangban elvégezte a lehetséges szakpolitikai alternatívák hatásvizsgálatát. A hatásvizsgálatnál három szakpolitikai célkitűzést vettek alapul, az adatvédelem belső piaci vetületének javítását, az adatok védelméhez való jogok egyének általi gyakorlásának hatékonyabbá tételét, valamint az uniós hatáskörök mindegyikét – ideértve a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködést is – lefedő átfogó és egységes keret kialakítását. Három eltérő mértékű beavatkozást maga után vonó szakpolitikai lehetőséget vizsgáltak meg: az első lehetőség a lehető legkevesebb jogszabály-módosítással járva értelmező közlemények és szakpolitikát támogató intézkedések, például támogatási programok és technikai eszközök használatából állt; a második az elemzésben meghatározott problémákat egyenként kezelő jogszabályi rendelkezéseket tartalmazott, míg a harmadik lehetőség az adatvédelem uniós szintű, minden ágazatra kiterjedő pontos és részletes szabályok útján végbemenő centralizációja, valamint a rendelkezések ellenőrzésére és végrehajtására létrehozandó uniós ügynökség volt.

A Bizottság kialakult módszertanának megfelelően, egy szolgálatközi irányítócsoport segítségével minden egyes szakpolitikai lehetőséget megvizsgáltak a szakpolitikai célkitűzések elérésére való alkalmassága, az érdekelt felekre gyakorolt gazdasági hatása (ideértve az Európai Unió intézményeinek költségvetését is), társadalmi hatása és az alapvető jogokra gyakorolt hatása tükrében. Környezetre gyakorolt hatásokat nem figyeltek meg. A hatások átfogó elemzése a jelen javaslatban testet öltő, előnyben részesített szakpolitikai lehetőség kialakításához vezetett, amelyet a második lehetőségre és a másik két lehetőség néhány elemére alapoztak. A hatásvizsgálat szerint annak megvalósítása többek között komoly javuláshoz vezet majd az adatkezelők és a polgárok jogbiztonsága, az adminisztratív terhek csökkenése, az adatvédelem Unión belüli érvényesítésének következetessége, az egyének személyes adataik védelméhez való joga Európai Unión belüli hatékony gyakorlásának lehetősége, valamint az adatvédelem hatékony felügyelete és érvényesítése terén. Az előnyben részesített szakpolitikai lehetőség megvalósítása a várakozások szerint hozzájárul majd az adminisztratív terhek egyszerűsítésére és csökkentésére irányuló bizottsági célkitűzés, valamint az európai digitális menetrend, a stockholmi cselekvési terv és az Európa 2020 stratégia célkitűzéseinek megvalósulásához is.

A hatásvizsgálati testület 2011. szeptember 9-én a hatásvizsgálat-tervezetről szóló véleményt fogalmazott meg. A hatásvizsgálati testület véleménye nyomán különösen a következő módosításokra került sor a hatásvizsgálatban:

– egyértelművé tették a jelenlegi jogi keret célkitűzéseit (mennyiben sikerült, illetve nem sikerült elérni azokat), valamint a tervezett átalakítás célkitűzéseit is;

– több bizonyíték és kiegészítő indokolás/magyarázat került a problémák meghatározására vonatkozó fejezetbe;

– beillesztettek egy, az arányosságról szóló szakaszt;

– teljes mértékben felülvizsgálták és módosították az alapforgatókönyv és az előnyben részesített lehetőség adminisztratív terheire vonatkozó számításokat és becsléseket, és egyértelműsítették a bejelentések költségei és a széttagoltság összköltsége között fennálló kapcsolatot (beleértve a 10. mellékletet);

– pontosították a mikro-, kis- és középvállalkozásokra irányuló hatásokat – különösen az adatvédelmi tisztviselők tekintetében – és az adatvédelmi hatásvizsgálatokat.

A hatásvizsgálatról szóló jelentést és a vezetői összefoglalót a javaslatokkal együtt teszik közzé.

3. A JAVASLAT JOGI ELEMEI 3.1. Jogalap

E javaslat az EUMSZ 16. cikken alapul, amely a Lisszaboni Szerződéssel bevezetett új jogalapot képez az adatvédelmi szabályok elfogadásához. E rendelkezés lehetőséget teremt az egyéneknek az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adatok tagállamok általi feldolgozása tekintetében történő védelmére vonatkozó szabályok megállapítására. Lehetővé teszi továbbá a személyes adatok – beleértve a tagállamok vagy magánfelek által feldolgozott személyes adatok ‑ szabad áramlására vonatkozó szabályok megállapítását is.

A személyes adatok uniós védelme keretének meghatározására a rendelet a legmegfelelőbb jogi eszköz. A rendeletnek az EUMSZ 288. cikke szerinti közvetlen alkalmazhatósága csökkenti a jogi széttagoltságot, és az alapvető szabályok összehangolása révén nagyobb jogbiztonságot teremt, növeli az egyének alapvető jogainak védelmét, és hozzájárul a belső piac működéséhez.

Az EUMSZ 114. cikk (1) bekezdésére történő hivatkozásra csak a 2002/58/EK irányelv módosítása miatt van szükség, annyiban, amennyiben az említett irányelv rendelkezik a jogi személy előfizetők jogos érdekeinek védelméről is.

3.2. Szubszidiaritás és arányosság

A szubszidiaritás elvének (EUSZ 5. cikk (3) bekezdése) megfelelően uniós szinten csak akkor és annyiban kell fellépni, amikor és amennyiben a kitűzött célokat a tagállamok nem tudják kielégítően megvalósítani, így azok a tervezett intézkedés terjedelme vagy hatása miatt uniós szinten jobban megvalósíthatók. A fentiekben körvonalazott problémák fényében a szubszidiaritás elemzése a következőkkel indokolja az Európai Unió szintjén történő fellépés szükségességét:

– Az Alapjogi Charta 8. cikkében rögzített személyes adatok védelméhez való jog Unió-szerte azonos szintű adatvédelmet követel meg. A közös uniós szabályozás hiánya azzal a kockázattal járna, hogy a tagállamokban különböző védelmi szintek alakulnak ki, és a létrejövő eltérő normák akadályozzák a személyes adatok tagállamok közötti határon átnyúló áramlását.

– A személyes adatokat egyre nagyobb mértékben továbbítják a belső és külső nemzeti határokon át. Ezen túlmenően az adatvédelmi szabályozás érvényesítése gyakorlati kihívásokat jelent, és szükségessé teszi a tagállamok és hatóságaik közötti együttműködésre, amit az uniós jog egységes alkalmazásának érdekében uniós szinten kell megszervezni. Szintén az EU a legalkalmasabb arra, hogy hatékonyan és következetesen biztosítsa az egyének számára személyes adataik azonos szintű védelmét az adatok harmadik országokba történő továbbítása esetén.

– A tagállamok önállóan nem képesek a jelen helyzetben fennálló, különösen a tagállami szabályozások széttagoltsága eredményeként előállt problémák orvoslására. Ezért különleges szükség van egy olyan harmonizált és egységes keret létrehozására, amely az Unión belül lehetővé teszi a személyes adatok határokon átnyúló zavartalan továbbítását, eközben hatékony védelmet biztosítva az egyének számára az EU egész területén .

– A tervezett uniós jogalkotási intézkedések – a nem egy vagy több tagállam területére korlátozódó problémák jellege és terjedelme okán – hatékonyabbak lesznek a hasonló tagállami szintű intézkedéseknél.

Az arányosság elve megkívánja, hogy a beavatkozás a célkitűzések eléréséhez szükséges intézkedésekre irányuljon, és ne lépje túl azok körét. A szakpolitikai lehetőségek megállapításától és értékelésétől a jelen javaslat megfogalmazásáig a javaslat előkészítése ezen elv mentén zajlott.

3.3. Az alapjogi vonatkozások összefoglalása

A személyes adatok védelméhez való jogot a Charta 8. cikke, az EUMSZ 16. cikke, valamint az EJEE 8. cikke is rögzíti. Miként azt az Európai Unió Bírósága kiemelte[27], a személyes adatok védelméhez való jog nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni[28]. Az adatvédelem szorosan kapcsolódik a Charta 7. cikke által védett magán- és családi élet tiszteletben tartásához. Ezt tükrözi a 95/46/EK irányelv 1. cikkének (1) bekezdése, amely kimondja, hogy a tagállamok védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.

A Chartában rögzített további esetlegesen érintett alapvető jogok a következők: a véleménynyilvánítás szabadsága (a Charta 11. cikke); a vállalkozás szabadsága (16. cikk); a tulajdonhoz való jog és különösen a szellemi tulajdon védelme (17. cikk (2) bekezdés); a megkülönböztetés tilalma többek között a faj, etnikai származás, genetikai tulajdonság, vallás vagy meggyőződés, politikai vagy más vélemény, fogyatékosság vagy szexuális irányultság alapján (21. cikk); a gyermekek jogai (24. cikk); az emberi egészségvédelem magas szintjéhez való jog (35. cikk); a dokumentumokhoz való hozzáférés joga (42. cikk), a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog (47. cikk).

3.4. A javaslat részletes magyarázata 3.4.1. I. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK

Az 1. cikk meghatározza a rendelet tárgyát, valamint – a 95/46/EK irányelv 1. cikkéhez hasonlóan – a rendelet két célkitűzését.

A 2. cikk meghatározza a rendelet tárgyi hatályát.

A 3. cikk meghatározza a rendelet területi hatályát.

A 4. cikk a rendeletben használt fogalmak meghatározását tartalmazza. Míg egyes fogalmak a 95/46/EK irányelvből kerültek át, addig más fogalmak módosultak, új elemekkel egészültek ki, illetve újonnan kerültek bevezetésre (a „személyes adatok megsértése” fogalma a 2009/136/EK irányelvvel[29] módosított 2002/58/EK elektronikus hírközlési adatvédelmi irányelv[30] 2. cikkének h) pontja alapján, a „genetikai adat”, „biometrikus adat” fogalma, az „egészségügyi adat” fogalma; a „fő szervezet”, „vállalkozás”, „vállalkozáscsoport”, „kötelező erejű vállalati szabályok” fogalma, a gyermekek jogairól szóló ENSZ-egyezményen[31] alapuló „gyermek” fogalma és a „felügyelő hatóság” fogalma).

A hozzájárulás fogalmának meghatározása kiegészül azzal a feltétellel, hogy „kifejezett” legyen, amely az „egyértelmű” hozzájárulással való megtévesztő párhuzamosság elkerülését hivatott szolgálni, valamint arra irányul, hogy egyetlen egységes meghatározását adja a hozzájárulás fogalmának, ezáltal biztosítva azt, hogy az érintett tudatában van a hozzájárulásnak, valamint annak, hogy mihez járul hozzá.

3.4.2. II. FEJEZET – ALAPELVEK

Az 5. cikk rögzíti a személyes adatok feldolgozásával kapcsolatos alapelveket, amelyek megfelelnek a 95/46/EK irányelv 6. cikkében foglaltaknak. További új elemként jelenik meg különösen az átláthatóság elve, az adatminimalizálás elvének egyértelművé tétele, valamint az adatkezelő átfogó feladatainak és felelősségének meghatározása.

A 6. cikk – a 95/46/EK irányelv 7. cikke alapján – meghatározza a jogszerű adatfeldolgozás feltételeit, amelyeket az érdekek egyensúlyának feltétele, illetve a jogi kötelezettségeknek, valamint a közérdeknek történő megfelelés tekintetében tovább részletez.

A 7. cikk tisztázza az ahhoz szükséges feltételeket, hogy a hozzájárulás a jogszerű adatfeldolgozás érvényes jogalapja lehessen.

A 8. cikk további feltételeket állapít meg a gyermekek személyes adatai feldolgozásának jogszerűségét illetően, a közvetlenül nekik nyújtott információs társadalommal összefüggő szolgáltatások tekintetében.

A 9. cikk – a 95/46/EK irányelv 8. cikke alapján – rögzíti a személyes adatok különleges kategóriáinak feldolgozására vonatkozó általános tilalmat, valamint a főszabály alóli kivételeket.

A 10. cikk egyértelművé teszi, hogy az adatkezelő nem köteles kiegészítő információkat beszerezni azért, hogy pusztán az e rendelet valamelyik rendelkezésének való megfelelés érdekében azonosítsa az érintettet.

3.4.3. III. FEJEZET – AZ ÉRINTETT JOGAI 3.4.3.1. 1. szakasz – Átláthatóság és szabályozás

A 11. cikk bevezeti az átlátható, könnyen hozzáférhető és érthető tájékoztatás kötelezettségét, amelyet különösen a személyes adatok és a magánélet védelmére vonatkozó nemzetközi normákról szóló madridi állásfoglalás[32] ösztönzött.

A 12. cikk az érintett jogainak gyakorlásához szükséges olyan eljárások és mechanizmusok biztosítására kötelezi az adatkezelőt, amelyek magukban foglalják az elektronikus kérelmek lehetővé tételét, az érintett kérelmére meghatározott határidőn belül történő válaszadás kötelezettségét, valamint a megtagadás indokait.

A 13. cikk a 95/46/EK irányelv 12. cikkének c) pontja alapján a címzettek tekintetében biztosít jogokat, amelyeket kiterjeszt valamennyi címzettre, beleértve a közös adatkezelőket és adatfeldolgozókat is.

3.4.3.2. 2. szakasz – Tájékoztatás és az adatokhoz való hozzáférés

A 14. cikk, amely a 95/46/EK irányelv 10. és 11. cikkének alapján rögzíti az adatkezelőnek az érintett irányába fennálló tájékoztatási kötelezettségét, további tájékoztatást biztosít az érintett számára, beleértve a tárolás időtartamával, a panasz benyújtásának jogával, a nemzetközi adattovábbítással, valamint az adatok forrásával kapcsolatos tájékoztatást. Tartalmazza továbbá a 95/46/EK irányelvben szereplő esetleges eltéréseket is, például nem áll fenn ez a kötelezettség, ha a rögzítést vagy közlést jogszabály kifejezetten előírja. Ez alkalmazható például a versenyhatóságok, adó- vagy vámhatóságok, vagy társadalombiztosítási szolgáltatásokért felelős szolgálatok eljárásaira.

A 15. cikk a 95/46/EK irányelv 12. cikkének a) pontja alapján biztosítja az érintett számára a személyes adataihoz való hozzáférés jogát, amelyet olyan új elemekkel egészít ki, mint például az érintettek tájékoztatása a tárolási időtartamról, az adatok helyesbítéséhez és törléséhez, valamint a panasz benyújtásához való jogról.

3.4.3.3. 3. szakasz – Helyesbítés és törlés

A 16. cikk a 95/46/EK irányelv 12. cikkének b) pontja alapján meghatározza az érintett helyesbítéshez való jogát.

A 17. cikk biztosítja az érintett számára a személyes adatok tárolásának megszüntetéséhez, valamint az adatok törléséhez való jogát. Tovább magyarázza és részletezi a 95/46/EK irányelv 12. cikkének b) pontjában foglalt törléshez való jogot, és meghatározza a személyes adatok tárolásának megszüntetéséhez való jog feltételeit, beleértve a személyes adatokat nyilvánosságra hozó adatkezelő kötelezettségét a harmadik felek arról történő tájékoztatására, hogy az érintett kérte az e személyes adatokra mutató internetes link vagy az adatok másolatának, illetve másodpéldányának törlését. Ezenkívül bizonyos esetekben beemeli az adatfeldolgozás korlátozásához való jogot, amellyel mellőzi a homályos „zárolás” kifejezést.

A 18. cikk bevezeti az érintettnek az adatok hordozhatóságához való jogát, azaz azt, hogy az adatokat az egyik elektronikus feldolgozó rendszerből egy másikhoz, illetve másikba továbbítsa, anélkül, hogy az adatkezelő ezt megakadályozná. Ennek előfeltételeként – és annak érdekében, hogy fokozza az egyének lehetőségét a személyes adataikhoz való hozzáféréshez – biztosítja azt a jogot, amely alapján az adatkezelőtől ezek az adatok strukturált és széles körben használt elektronikus formában igényelhetők.

3.4.3.4. 4. szakasz – Kifogásolási jog és profilalkotás

A 19. cikk biztosítja az érintett kifogásolási jogát. A rendelkezés a 95/46/EK irányelv 14. cikkén alapul néhány módosítással, beleértve a bizonyítási teherre vonatkozó szabályokat és a közvetlen üzletszerzésre történő alkalmazást.

A 20. cikk az érintett arra irányuló jogával foglalkozik, hogy ne legyen profilalkotáson alapuló intézkedés alanya. A rendelkezés a 95/46/EK irányelv 15. cikkének (1) bekezdésében szabályozott, az automatizált egyedi döntésekről szóló rendelkezéseket veszi alapul, azokhoz képest módosított tartalommal és további biztosítékokkal kiegészítve, figyelembe véve továbbá az Európa Tanács profilalkotásra vonatkozó ajánlását[33].

3.4.3.5. 5. szakasz –Korlátozások

A 21. cikk egyértelművé teszi, hogy az Unió vagy a tagállamok jogosultak korlátozásokat bevezetni vagy fenntartani az 5. cikkben meghatározott alapelvek, valamint az érintett 11–20. cikkben és 32. cikkben meghatározott jogait illetően. E rendelkezés a 95/46/EK irányelv 13. cikkén, valamint az Európai Unió Bírósága és az Emberi Jogok Európai Bíróság által értelmezett Alapjogi Chartán és, az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményén alapul.

3.4.4. IV. FEJEZET – AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ 3.4.4.1. 1. szakasz – Általános kötelezettségek

A 22. cikk figyelembe veszi az „elszámoltathatóság elvéről” folytatott vitát, és részletesen rögzíti az adatkezelő e rendeletnek való megfelelésre, valamint e megfelelés bizonyítására vonatkozó felelősségvállalási kötelezettségét, többek között az ilyen megfelelést biztosító belső politikák, illetve mechanizmusok elfogadása által.

A 23. cikk meghatározza az adatkezelőnek a beépített és az alapértelmezett adatvédelem elveiből eredő kötelezettségeit.

A közös adatkezelőkről szóló 24. cikk egyértelműen meghatározza a közös adatkezelők felelősségét egymás közötti viszonyrendszerük tekintetében, valamint az érintett irányába.

A 25. cikk bizonyos feltételek esetén arra kötelezi az Unióban le nem telepedett adatkezelőket, hogy jelöljenek ki képviselőt az Unió területén, amennyiben a rendeletet alkalmazni kell az adatfeldolgozási tevékenységükre.

A 26. cikk – részben a 95/46/EK irányelv 17. cikkének (2) bekezdése alapján – egyértelműen meghatározza az adatfeldolgozók jogállását és kötelezettségeit, amelyeket új elemekkel is kiegészít, ideértve azt a rendelkezést, miszerint közös adatkezelőnek kell tekinteni azt az adatfeldolgozót, aki az adatkezelő utasításain túlmenően végez adatfeldolgozást.

A 27. cikk a 95/46/EK irányelv 16. cikkében foglaltakon alapul, és az adatkezelő és adatfeldolgozó felügyelete mellett végzett adatfeldolgozásról rendelkezik.

A 28. cikk bevezeti az adatkezelők és adatfeldolgozók arra irányuló kötelezettségét, hogy a 95/46/EK irányelv 18. cikkének (1) bekezdése és 19. cikke által előírt, a felügyelő hatósággal szemben fennálló általános értesítési kötelezettség helyett dokumentációt vezessenek a felelősségi körükbe tartozó adatfeldolgozási műveletekről.

A 29. cikk az adatkezelők és az adatfeldolgozók felügyelő hatósággal való együttműködési kötelezettséget írja elő.

3.4.4.2. 2. szakasz – Adatbiztonság

A 30. cikk a 95/46/EK irányelv 17. cikkének (1) bekezdése alapján arra kötelezi az adatkezelőt és az adatfeldolgozót, hogy megfelelő intézkedéseket hozzon az adatfeldolgozás biztonsága érdekében, valamint az adatkezelővel kötött szerződéstől függetlenül kiterjeszti ezt a kötelezettséget az adatfeldolgozókra is.

A 31. és 32. cikk a személyes adatok megsértése esetén fennálló értesítési kötelezettséget vezeti be a 2002/58/EK elektronikus hírközlési adatvédelmi irányelv 4. cikkének (3) bekezdése szerinti, a személyes adatok megsértése esetén fennálló bejelentési kötelezettség alapján.

3.4.4.3. 3. szakasz – Adatvédelmi hatásvizsgálat és előzetes engedélyezés

A 33. cikk bevezeti az adatkezelők és adatfeldolgozók arra irányuló kötelezettségét, hogy adatvédelmi hatásvizsgálatot végezzenek a kockázatos adatfeldolgozási műveletek előtt.

A 34. cikk azokkal az esetekkel foglalkozik, amelyekben az adatfeldolgozást megelőzően kötelező beszerezni a felügyelő hatóság engedélyét, illetve kötelező egyeztetni a felügyelő hatósággal, amely rendelkezés a 95/46/EK irányelv 20. cikkében szabályozott előzetes ellenőrzés koncepcióján alapul.

3.4.4.4. 4. szakasz – Az adatvédelmi tisztviselő

A 35. cikk adatvédelmi tisztviselő kötelező kijelölését írja elő egyrészről a közszféra, másrészről – a magánszektoron belül – a nagyvállalkozások vagy olyan esetek tekintetében, amikor az adatkezelő vagy adatfeldolgozó fő tevékenységi köre rendszeres és szisztematikus ellenőrzést igénylő adatfeldolgozási műveletekből áll. Ez a rendelkezés a 95/46/EK irányelv 18. cikkének (2) bekezdésén alapul, amely lehetővé tette a tagállamok számára, hogy az általános értesítési kötelezettség helyett ilyen előírást vezessenek be.

A 36. cikk meghatározza az adatvédelmi tisztviselő jogállását.

A 37. cikk megállapítja az adatvédelmi tisztviselő alapvető feladatait.

3.4.4.5. 5. szakasz – Eljárási szabályzat és tanúsítás

A 38. cikk az eljárási szabályzattal kapcsolatos rendelkezéseket tartalmazza a 95/46/EK irányelv 27. cikkének (1) bekezdésében foglalt koncepció alapulvételével, és tisztázza a szabályzatok tartalmát és az eljárásokat, valamint feljogosítja a Bizottságot, hogy döntsön az eljárási szabályzatok általános érvényességéről.

A 39. cikk újonnan bevezeti a tanúsítási mechanizmusok és adatvédelmi címkék és jelzők létrehozásának lehetőségét.

3.4.5. V. FEJEZET – A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

A 40. cikk általános elvként rögzíti, hogy az e fejezet szerinti kötelezettségek betartása kötelező a harmadik országokba vagy nemzetközi szervezetek részére történő bármely személyesadat-továbbítás esetén, beleértve az adatok továbbadását is.

A 41. cikk a 95/46/EK irányelv 25. cikke alapján meghatározza azokat a szempontokat, feltételeket és eljárásokat, amelyek alapján a Bizottság megfelelőségi határozatot hoz. Azok a szempontok, amelyek figyelembevételével a Bizottság értékeli a védelem szintjének megfelelő, illetve nem megfelelő mivoltát, kifejezetten magukban foglalják a jogállamiságot, a bírósági jogorvoslatot és a független felügyeletet. A cikk immár kifejezetten megerősíti a Bizottság azon lehetőségét, hogy értékelje a valamely harmadik országbeli terület vagy adatfeldolgozási ágazat által biztosított védelmi szintet.

A 42. cikk megfelelő biztosítékok nyújtását írja elő a harmadik országokba irányuló adattovábbítás tekintetében, amennyiben a Bizottság nem hozott megfelelőségi határozatot, különös tekintettel az egységes adatvédelmi feltételekre, a kötelező erejű vállalati szabályokra és szerződési feltételekre. A Bizottság egységes adatvédelmi feltételeinek felhasználási lehetősége a 95/46/EK irányelv 26. cikkének (4) bekezdésén alapul. Új elemként jelenik meg, hogy ilyen egységes adatvédelmi feltételeket a felügyelő hatóság is elfogadhat, és a Bizottság általános érvényűnek nyilváníthatja ezeket. A jogszabály szövege kifejezetten utal a kötelező erejű vállalati szabályokra. A szerződési feltételek választásának lehetősége bizonyos fokú rugalmasságot biztosít az adatkezelő vagy adatfeldolgozó számára, alkalmazásuk azonban a felügyelő hatóság előzetes engedélyéhez kötött.

A 43. cikk a jelenlegi gyakorlat és a felügyelő hatóságok elvárásai alapulvételével tovább részletezi a kötelező erejű vállalati szabályok alapján történő adattovábbítás feltételeit.

A 44. cikk a 95/46/EK irányelv 26. cikkében foglalt meglévő rendelkezések alapján kimondja és egyértelműen meghatározza az adattovábbítás tekintetében lehetséges eltéréseket. Ez különösen a fontos közérdekből szükséges adattovábbításokra érvényes, például a versenyhatóságok, adó- és vámhivatalok, vagy a társadalombiztosítási, illetve halászati gazdálkodási ügyekben illetékes szolgáltatók közötti nemzetközi adattovábbítások esetében. Ezen túlmenően, az adattovábbítást bizonyos korlátozott körülmények között indokolhatja az adatkezelő vagy adatfeldolgozó jogos érdeke, de csak azt követően, hogy a kérdéses adattovábbítási művelet körülményeit megvizsgálták és dokumentálták.

A 45. cikk kifejezetten rendelkezik a személyes adatok védelmét szolgáló, a Bizottság és harmadik országok felügyelő hatóságai közötti nemzetközi együttműködési mechanizmusokról, különös tekintettel azokra a harmadik országokra, amelyekről megállapítást nyer, hogy – figyelemmel a Gazdasági Együttműködési és Fejlesztési Szervezetnek (OECD) a magánélet védelmét szolgáló jogszabályok alkalmazása során megvalósuló határokon átnyúló együttműködésről szóló, 2007. június 12-i ajánlására – megfelelő szintű védelmet biztosítanak.

3.4.6. VI. FEJEZET – FÜGGETLEN FELÜGYELŐ HATÓSÁGOK 3.4.6.1. 1. szakasz – Független jogállás

A 46. cikk felügyelő hatóságok létrehozására kötelezi a tagállamokat a 95/46/EK irányelv 28. cikkének (1) bekezdése alapján, valamint a felügyelő hatóságok feladatkörét kiterjeszti az egymással és a Bizottsággal való együttműködési kötelezettségre is.

A 47. cikk az Európai Unió Bíróságának ítélkezési gyakorlatát[34] átültetve és többek között felhasználva a 45/2001/EK rendelet[35] 44. cikkének rendelkezéseit is, egyértelműen meghatározza a felügyelő hatóságok függetlenségének feltételeit.

A 48. cikk az irányadó ítélkezési gyakorlatot[36] átültetve és a 45/2001/EK rendelet 42. cikkének (2)–(6) bekezdését figyelembe véve meghatározza a felügyelő hatóság tagjaira vonatkozó általános feltételeket.

A 49. cikk meghatározza azokat a szabályokat, amelyek alapján a tagállamoknak jogszabályban kell létrehozniuk a felügyelő hatóságot.

Az 50. cikk a 95/46/EK irányelv 28. cikkének (7) bekezdése alapján meghatározza a felügyelő hatóság tagjaira és személyzetére vonatkozó szakmai titoktartás szabályait.

3.4.6.2. 2. szakasz – Feladat- és hatáskörök

Az 51. cikk meghatározza a felügyelő hatóságok illetékességét. Az egységes alkalmazás („one-stop shop”) biztosítása érdekében a 95/46/EK irányelv 28. cikkének (6) bekezdésén alapuló főszabályt (illetékesség a saját tagállama területén) kiegészíti a fő hatóságot megillető új illetékességgel abban az esetben, amikor az adatkezelő vagy adatfeldolgozó több tagállamban telepedett le. A bíróságok igazságszolgáltatási hatáskörükben eljárva mentesülnek a felügyelő hatóság ellenőrzése alól, az adatvédelemre vonatkozó anyagi jogszabályok alkalmazása alól azonban nem.

Az 52. cikk a felügyelő hatóság feladatait rögzíti, beleértve a panaszok kezelését és azok kivizsgálását, valamint a közvélemény tudatosságának növelését a kockázatok, szabályok, biztosítékok és jogok tekintetében.

Az 53. cikk a felügyelő hatóság hatásköreit határozza meg részben a 95/46/EK irányelv 28. cikkének (3) bekezdése és a 45/2001/EK rendelet 47. cikke alapján, valamint bevezet néhány új elemet, ideértve a közigazgatási szabálysértések szankcionálására vonatkozó jogosultságot.

Az 54. cikk a 95/46/EK irányelv 28. cikkének (5) bekezdése alapján arra kötelezi a felügyelő hatóságokat, hogy tevékenységükről éves jelentéseket készítsenek.

3.4.7. VII. FEJEZET – EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG 3.4.7.1. 1. szakasz – Együttműködés

Az 55. cikk a 95/46/EK irányelv 28. cikke (6) bekezdésének második albekezdése alapján kifejezett szabályokat vezet be a kötelező kölcsönös segítségnyújtásra vonatkozóan, beleértve a valamely másik felügyelő hatóság megkeresésének elutasításából fakadó következményeket is.

Az 56. cikk a közös műveletekre vonatkozó szabályokat vezeti be a 2008/615/IB tanácsi kerethatározat[37] 17. cikke nyomán, beleértve a felügyelő hatóságok ilyen műveletekben való részvételének jogát.

3.4.7.2. 2. szakasz – Egységesség

Az 57. cikk a több tagállam érintettjeire vonatkozó adatfeldolgozási műveletek tekintetében egységességi mechanizmust vezet be az egységes alkalmazás biztosítása érdekében.

Az 58. cikk meghatározza az Európai Adatvédelmi Testület véleményadásához szükséges eljárásokat és feltételeket.

Az 59. cikk a Bizottságnak az egységességi mechanizmus keretén belül kezelt ügyekkel kapcsolatos – az Európai Adatvédelmi Testület véleményét megerősítő vagy attól eltérő – véleményével, illetve a felügyelő hatóság tervezett intézkedésével kapcsolatos véleményével foglalkozik. Amennyiben a kérdést az 58. cikk (3) bekezdése alapján az Európai Adatvédelmi Testület terjesztette elő, várható, hogy a Bizottság élni fog mérlegelési jogkörével, és szükség esetén véleményt terjeszt elő.

A 60. cikk a Bizottság azon határozataival foglalkozik, amelyek az illetékes hatóságot a tervezett intézkedés felfüggesztésére kötelezik, amennyiben a rendelet megfelelő alkalmazása érdekében az szükséges.

A 61. cikk lehetőséget teremt átmeneti intézkedések elfogadására sürgősségi eljárásban.

A 62. cikk meghatározza a Bizottságnak az egységességi mechanizmus keretében hozott végrehajtási aktusainak követelményeit.

A 63. cikk minden érintett tagállam tekintetében megállapítja a felügyelő hatóság által hozott intézkedések végrehajtásának kötelezettségét, és megállapítja, hogy az egységességi mechanizmus alkalmazása a kérdéses intézkedés jogi érvényességének és végrehajtásának előfeltételét képezi.

3.4.7.3. 3. szakasz – Az Európai Adatvédelmi Testület

A 64. cikk létrehozza az Európai Adatvédelmi Testületet, amely valamennyi tagállam felügyelő hatóságának vezetőiből, valamint az európai adatvédelmi biztosból áll. Az Európai Adatvédelmi Testület felváltja a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoportot, amelyet a 95/46/EK irányelv 29. cikke hozott létre. A rendelkezésből kiderül, hogy a Bizottság nem tagja az Európai Adatvédelmi Testületnek, azonban a tevékenységekben jogában áll részt venni, és képviseltetheti magát.

A 65. cikk hangsúlyozza és részletezi az Európai Adatvédelmi Testület függetlenségét.

A 66. cikk rögzíti az Európai Adatvédelmi Testület feladatait a 95/46/EK irányelv 30. cikkének (1) bekezdése alapján, valamint további elemeket vezet be, amelyek az Európai Adatvédelmi Testület megnövekedett tevékenységi körét jelzik mind az Unióban, mind azon kívül. A sürgős helyzetekre való reagálás érdekében biztosítja a Bizottság számára annak lehetőségét, hogy meghatározott határidőn belül véleményt kérjen.

A 67. cikk a 95/46/EK irányelv 30. cikkének (6) bekezdése alapján előírja az Európai Adatvédelmi Testület számára, hogy tevékenységeiről évente jelentést készítsen.

A 68. cikk meghatározza az Európai Adatvédelmi Testület döntéshozatali eljárását, beleértve a működési szabályokra is kiterjedő eljárási szabályzat elfogadásának kötelezettségét is.

A 69. cikk az Európai Adatvédelmi Testület elnökére és elnökhelyetteseire vonatkozó rendelkezéseket tartalmazza.

A 70. cikk az elnök feladatait határozza meg.

A 71. cikk kimondja, hogy az Európai Adatvédelmi Testület titkárságát az európai adatvédelmi biztos bocsátja rendelkezésre, valamint meghatározza a titkárság feladatait.

A 72. cikk meghatározza a titoktartásra vonatkozó szabályokat.

3.4.8. VIII. FEJEZET – JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

A 73. cikk a 95/46/EK irányelv 28. cikkének (4) bekezdése alapján bármely érintett számára biztosítja azt a jogot, hogy panaszt terjesszen elő a felügyelő hatósághoz. Azokat a szerveket, szervezeteket és egyesületeket is meghatározza, amelyek az érintett nevében, vagy – személyes adatok megsértése esetén – az érintett panaszától függetlenül panaszt terjeszthetnek elő.

A 74. cikk a felügyelő hatósággal szemben kezdeményezhető bírósági jogorvoslathoz való jogról rendelkezik. A 95/46/EK irányelv 28. cikkének (3) bekezdésében foglalt általános rendelkezésen alapul. Kifejezetten biztosítja a felügyelő hatóság arra irányuló kötelezésére irányuló jogorvoslatot, hogy panasz esetén eljárjon, valamint egyértelműen meghatározza a felügyelő hatóságok székhelye szerinti tagállamok bíróságainak illetékességét. Előírja továbbá azt a lehetőséget, hogy az érintett lakóhelye szerinti tagállam felügyelő hatósága az érintett nevében az illetékes felügyelő hatóság szerinti másik tagállam bíróságai előtt indítsa meg az eljárást.

A 75. cikk az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jogról rendelkezik a 95/46/EK irányelv 22. cikke alapján, felkínálva annak lehetőségét, hogy az alperes telephelye vagy az érintett lakóhelye szerinti tagállam bíróságához forduljanak. Amennyiben az egységességi mechanizmus keretén belül azonos tárgyú eljárások folynak, a bíróság – a sürgősség kivételével – felfüggesztheti az eljárását.

A 76. cikk rögzíti a bírósági eljárások közös szabályait, beleértve a szervek, szervezetek vagy egyesületek arra vonatkozó jogát, hogy az érintetteket a bíróság előtt képviseljék, a felügyelő hatóságok arra vonatkozó jogát, hogy részt vegyenek a bírósági eljárásokban, a bíróságok tájékoztatását a más tagállamban párhuzamosan folyó eljárásokról, valamint a bíróság azon lehetőségét, hogy ilyen esetben felfüggessze az eljárást[38]. A tagállamoknak biztosítaniuk kell a gyors bírósági intézkedéseket[39].

A 77. cikk a kártérítéshez való jogról és a felelősségről rendelkezik. A 95/46/EK irányelv 23. cikkét veszi alapul, és kiterjeszti ezt a jogot az adatfeldolgozók által okozott károkra is, valamint egyértelművé teszi a közös adatkezelők és közös adatfeldolgozók felelősségét.

A 78. cikk a szankciók szabályainak megállapítására, e rendelet megsértésének szankcionálására, valamint azok végrehajtására kötelezi a tagállamokat.

A 79. cikk valamennyi felügyelő hatóságot arra kötelezi, hogy szankcionálja az e rendelkezésben meghatározott jegyzékben felsorolt közigazgatási szabálysértéseket, és az egyedi eset összes körülményeire tekintettel alkalmazza a legfeljebb a maximum összegekig terjedően megállapított mértékű bírságot.

3.4.9. IX. FEJEZET – AZ ADATFELDOLGOZÁS KÜLÖNÖS ESETEIRE VONATKOZÓ RENDELKEZÉSEK

A 80. cikk arra kötelezi a tagállamokat, hogy a személyes adatok védelmére vonatkozó jog és a szabad véleménynyilvánításhoz való jog összhangba hozása érdekében szükség esetén kivételeket és eltéréseket fogadjanak el a rendelet különös rendelkezései alól. Ez a rendelkezés a 95/46/EK irányelvnek az Európai Unió Bírósága által értelmezett[40] 9. cikkén alapul.

A 81. cikk arra kötelezi a tagállamokat, hogy – a különleges adatkategóriákra vonatkozó feltételeken túlmenően – különös biztosítékokról gondoskodjanak az egészségügyi célú adatfeldolgozások tekintetében.

A 82. cikk biztosítja a tagállamok számára azt a jogot, hogy különös jogszabályokat fogadjanak el a személyes adatok foglalkoztatással összefüggő feldolgozására.

A 83. cikk meghatározza a személyes adatok történelmi, statisztikai, és tudományos kutatás céljából történő feldolgozásának különös feltételeit.

A 84. cikk feljogosítja a tagállamokat arra, hogy különös szabályokat fogadjanak el a felügyelő hatóságok azon személyes adatokhoz való hozzáférése, valamint azon létesítményekbe való belépési joga tekintetében, amelyek tekintetében az adatkezelőket titoktartási kötelezettség terheli.

A 85. cikk az Európai Unió működéséről szóló szerződés 17. cikkének fényében lehetővé teszi a létező átfogó egyházi adatvédelmi szabályok továbbalkalmazását, amennyiben azokat összhangba hozzák a jelen rendelettel.

3.4.10. X. FEJEZET – FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

A 86. cikk az EUMSZ 290. cikkel összhangban a felhatalmazás gyakorlására vonatkozó általános rendelkezéseket tartalmazza. Ez lehetővé teszi a jogalkotó számára, hogy általános hatályú nem jogalkotási aktusok elfogadására hatalmazza fel a Bizottságot a jogalkotási aktusok egyes nem alapvető fontosságú elemeinek kiegészítése vagy módosítása érdekében („kvázi-jogalkotási” aktusok).

A 87. cikk a végrehajtási hatásköröknek a Bizottságra történő átruházásához szükséges bizottsági eljárásról rendelkezik azokban az esetekben, amelyekben az EUMSZ 291. cikkel összhangban valamely kötelező erejű uniós jogi aktus végrehajtásának egységes feltételek szerint kell történnie. A vizsgálóbizottsági eljárás alkalmazandó.

3.4.11. XI. FEJEZET – ZÁRÓ RENDELKEZÉSEK

A 88. cikk hatályon kívül helyezi a 95/46/EK irányelvet.

A 89. cikk módosítja a 2002/58/EK elektronikus hírközlési adatvédelmi irányelvet, és tisztázza a rendelet és ezen irányelv kapcsolatát.

A 90. cikk a rendelet értékelésére és kapcsolódó jelentés benyújtására kötelezi a Bizottságot.

A 91. cikk meghatározza a rendelet hatálybalépésének időpontját, alkalmazásának kezdő időpontját tekintve pedig egy átmeneti időszakot jelöl ki.

4.           KÖLTSÉGVETÉSI VONZATOK

A javaslat különös költségvetési vonzatai az európai adatvédelmi biztos feladataihoz kapcsolódnak, amelyeket a jelen javaslatot kísérő pénzügyi kimutatás tartalmaz. E vonzatok a pénzügyi terv 5. fejezetének újratervezését igénylik.

A javaslat nem jár működési kiadási vonzatokkal.

Az e rendeletre vonatkozó javaslatot kísérő pénzügyi kimutatás az e rendelet és a rendőrségi és igazságügyi vonatkozású adatvédelemről szóló irányelv költségvetési vonzatait is tartalmazza.

Javaslat

AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet)

(EGT vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre, és különösen annak 16. cikke (2) bekezdésére, valamint 114. cikke (1) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezetének a nemzeti parlamentek részére való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére[41],

az európai adatvédelmi biztossal folytatott konzultációt követően[42],

rendes jogalkotási eljárás keretében,

mivel:

(1) A természetes személyeknek a személyes adataik feldolgozásával kapcsolatban nyújtott védelem alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és a Szerződés 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2) A személyes adatok feldolgozásának célja az emberek szolgálata; a személyes adataik feldolgozása vonatkozásában az egyének védelméhez kapcsolódó elveknek és szabályoknak a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen személyes adataik védelméhez való jogukat. Ennek hozzá kell járulnia a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint az egyének jólétéhez.

(3) A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv[43] célja a feldolgozási tevékenységek tekintetében a természetes személyek alapvető jogai és szabadságai védelmének harmonizálása, valamint a személyes adatok tagállamok közötti szabad áramlásának biztosítása.

(4) A belső piac működéséből eredő gazdasági és társadalmi integráció lényegesen megnövelte a határokon keresztüli áramlást. Az Unión belül megnövekedett a gazdasági és a társadalmi, az állami és a piaci szereplők közötti adatcsere. A tagállamok nemzeti hatóságai az uniós jog értelmében kötelesek olyan mértékben együttműködni és személyes adatokat cserélni, ami lehetővé teszi számukra feladataik ellátását, vagy a fellépést egy másik tagállam hatósága nevében.

(5) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatmegosztás és -gyűjtés mértéke ugrásszerűen megnőtt. A technológia a magánvállalatok és a hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel. Az egyének egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes információkat. A technológia egyaránt megváltoztatta a gazdaságot és a társadalmi életet, szükségessé téve az Unión belüli szabad adatáramlás és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás egyszerűbbé tételét, biztosítva egyúttal a személyes adatok magas szintű védelmét.

(6) E fejlemények szükségessé teszik egy olyan szilárd és következetesebb uniós adatvédelmi keret kialakítását, amely mögött erős kikényszeríthetőség áll, hiszen fontos megteremteni azt a bizalmat, amely lehetővé teszi a digitális gazdaság belső piaci fejlődését. Az egyéneknek ellenőrzést kell gyakorolniuk saját személyes adataik felett, és erősíteni kell a jogbiztonságot és a gyakorlat biztonságát az egyének, gazdasági szereplők és hatóságok tekintetében.

(7) A 95/46/EK irányelv célkitűzései és elvei továbbra is fontosak, de nem akadályozták meg az adatvédelem uniós végrehajtásának széttagoltságát, a jogbiztonság hiányát és azt a széles körben elterjedt közfelfogást, hogy különösen az online tevékenységgel összefüggésben lényeges kockázatok jelentkeznek az egyének védelme tekintetében. Az egyes tagállamokban végzett személyesadat-feldolgozás terén az egyének jogai és szabadságai, különösen a személyes adatok védelméhez való jog védelmének szintjei közötti eltérések akadályozhatják a személyes adatok Unióban történő továbbítását. Ebből eredően ezek az eltérések akadályt jelentenek számos uniós szintű gazdasági tevékenység elvégzésében, torzítják a versenyt, és hátráltatják a hatóságokat az uniós jog szerinti feladataik teljesítésében. A védelmi szintek közötti ezen eltérés a 95/46/EK irányelv végrehajtásában és alkalmazásában fennálló eltéréseknek tulajdonítható.

(8) Az egyének következetes és magas szintű védelmének biztosítása és a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmi szintjének az ilyen adatok feldolgozása vonatkozásában azonosnak kell lennie minden tagállamban. A természetes személyeknek a személyes adataik feldolgozásához kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell.

(9) A személyes adatoknak az Unió egész területén biztosított hatékony védelme megköveteli az érdekeltek jogainak, valamint a személyes adatok feldolgozását végző és a feldolgozást meghatározó személyek kötelezettségeinek megszilárdítását és részletes meghatározását, de ugyanakkor azt is, hogy a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzését és biztosítását azonos hatáskörben és a jogsértőkre azonos szankciót kiszabva lássák el a tagállamokban.

(10) A Szerződés 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályok megállapítására.

(11) Az egyének egységes szintű védelmének az Unió egész területén való biztosítása, valamint az adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére, beleértve a mikro-, kis- és középvállalkozásokat, valamint az egyének részére a jogi úton érvényesíthető jogoknak és az adatkezelők és -feldolgozók kötelezettségeinek és felelősségének valamennyi tagállamban azonos szintjét, a személyes adatok feldolgozásának következetes nyomon követését és azt, hogy minden tagállamban rendelkezésre álljanak a megfelelő szankciók és a különböző tagállamok felügyelő hatóságai hatékonyan együttműködjenek. A rendelet számos eltérést tartalmaz annak érdekében, hogy figyelembe vegye a mikro-, kis- és középvállalkozások sajátos helyzetét. Emellett az uniós intézményeket és szervezeteket, a tagállamokat és felügyelő hatóságaikat arra ösztönzik, hogy e rendelet alkalmazása során vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit. A mikro-, kis- és középvállalkozások fogalmát a kis- és közepes méretű vállalkozások meghatározásáról szóló, 2003. május 6-i 2003/361/EK bizottsági ajánlás alapján kell meghatározni.

(12) Az e rendelet által nyújtott védelem a természetes személyeket a személyes adatok feldolgozása tekintetében nemzetiségtől és lakóhelytől függetlenül illeti meg. Olyan adatfeldolgozás tekintetében, amely jogi személyeket érint, és különösen olyan vállalkozásokat, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat, senki nem igényelheti a jelen rendelet szerinti védelmet. Ez vonatkozik arra az esetre is, ha a jogi személy egy vagy több természetes személy nevét tartalmazza.

(13) Az egyének védelmének technológiailag semlegesnek kell lennie, és az nem függhet a felhasznált technológiáktól; különben komoly megkerülési kockázatot teremtene. Az egyének védelme az automatizált eszközök útján végzett személyesadat-feldolgozás mellett a kézi feldolgozásra is vonatkozik, amennyiben az adatokat egy nyilvántartási rendszerben tárolják, vagy kívánják tárolni. A meghatározott szempontok szerint nem rendszerezett iratok, illetve iratok csoportjai, és azok borítóoldalai nem tartoznak e rendelet hatálya alá.

(14) E rendeletnek nem tárgya az olyan tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelme vagy adatok szabad áramlása, amelyek az uniós jog hatályán kívül esnek, és nem tartozik a rendelet hatálya alá az uniós intézmények, szervek, hatóságok és ügynökségek 45/2001/EK rendelet[44] alkalmazási körébe tartozó személyesadat-feldolgozása, vagy a tagállamok által végzett személyesadat-feldolgozás, ha a tevékenységeket az Unió közös kül- és biztonságpolitikájával összefüggésben végzik.

(15) A rendelet nem alkalmazandó továbbá a természetes személyek által végzett adatfeldolgozásra, amennyiben azt kizárólag személyes vagy házi használatra, például levelezés vagy címjegyzékek vezetése során végzik, és amely nélkülöz minden haszonszerzési célt, és nem kapcsolódik kereskedelmi vagy szakmai tevékenységhez. A kivétel nem alkalmazandó továbbá azokra az adatkezelőkre vagy -feldolgozókra, akik ilyen személyes vagy házi használatra szolgáló személyesadat-feldolgozáshoz biztosítanak eszközöket.

(16) A személyes adatok felelős hatóságok általi, bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő feldolgozása vonatkozásában az egyének védelme és az ilyen adatok szabad áramlása uniós szintű különös jogi eszköz tárgya. A rendelet ennek értelmében nem alkalmazandó az e célok érdekében végzett feldolgozási tevékenységekre. Ugyanakkor a hatóságok által a jelen rendelet alapján végzett adatfeldolgozást, amennyiben azokat bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljára használják fel, uniós szinten külön jogi aktus (XX/YYY irányelv) szabályozza.

(17) E rendeletet a 2000/31/EK irányelv, különösen az említett irányelv 12–15. cikke szerinti, a közvetítő szolgáltatók felelősségére vonatkozó szabályok alkalmazásának a sérelme nélkül kell alkalmazni.

(18) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét a rendelettel megállapított rendelkezések alkalmazása során.

(19) A tagállam területén az adatkezelő vagy -feldolgozó valamely szervezete tevékenységének keretében végzett bármely személyesadat-feldolgozást e rendelettel összhangban kell végezni tekintet nélkül arra, hogy maga az adatfeldolgozás az Unió területén történik-e vagy sem. A letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel. E letelepedések – legyen akár fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező.

(20) Annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre e rendelet értelmében jogosultak, a nem az Unióban letelepedett adatkezelő által az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozását akkor kell a rendelet betartásával végezni, ha a feldolgozási tevékenység termékek vagy szolgáltatások ilyen érintettek számára történő nyújtására, vagy az ilyen érintettek viselkedésének nyomon követésére szolgál.

(21) Annak meghatározása érdekében, hogy a feldolgozás az érintett „viselkedésének nyomon követésére” szolgál-e, azt kell megvizsgálni, hogy az egyéneket nyomon követik-e az interneten, vagy az egyén profiljának megalkotását is magában foglaló adatfeldolgozási technikákat alkalmaznak-e, különösen az egyénre vonatkozó döntések meghozatala vagy személyes igényeinek, viselkedésének vagy beállítottságának elemzése vagy előrejelzése érdekében.

(22) Amennyiben a nemzetközi közjog értelmében valamely tagállam nemzeti jogát kell alkalmazni, e rendelet alkalmazandó a nem az Unióban letelepedett adatkezelőre is, például a tagállam diplomáciai vagy konzuli képviseleteire.

(23) A védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű módon felhasználhat az egyén azonosítására. A védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, hogy az érintett a továbbiakban nem azonosítható.

(24) Az online szolgáltatások igénybe vétele során az egyének a berendezéseik, alkalmazásaik, eszközeik és szabványos protokolljaik által rendelkezésre bocsátott online azonosítókhoz kapcsolódnak, mint például az IP-cím vagy a cookie-azonosítók. Mivel ez olyan nyomokat hagy maga után, amely az egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal együtt felhasználható az egyének profiljának létrehozásához és az azonosításukhoz. Ebből következik, hogy az azonosítószámokat, tartózkodási helyre utaló adatokat, online azonosítókat vagy egyéb sajátos tényezőket nem szükségképpen kell minden körülmények között személyes adatnak tekinteni.

(25) A hozzájárulást kifejezetten kell megadni bármely olyan megfelelő eljárással – nyilatkozattal vagy egyértelmű megerősítő cselekedettel –, amely lehetővé teszi az érintett nyilatkozatára vagy egyértelmű beleegyező aktusára alapozva az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítását, biztosítva azt, hogy az egyének tudatában legyenek annak, hogy személyesadat-feldolgozáshoz adják beleegyezésüknek, beleértve az internetes honlap látogatása során egy négyzet megjelölését és bármely egyéb nyilatkozatot vagy beleegyezést, amely egyértelműen jelzi ezzel összefüggésben az érintett hozzájárulását személyes adatainak tervezett feldolgozásához. A hallgatás vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás lehetővé tesz minden olyan feldolgozási tevékenységet, amelyet ugyanazon cél vagy célok érdekében végeznek. Amennyiben az érintett hozzájárulását elektronikus igénylés alapján adja meg, az igénylésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában kérik.

(26) Az egészségre vonatkozó személyes adatok közé tartozik különösen minden olyan adat, amely az érintett egészségi állapotára vonatkozik; az egyén egészségügyi szolgáltatásnyújtás érdekében történő nyilvántartása; az egészségügyi ellátásért teljesített fizetések és az arra való jogosultság az egyén vonatkozásában; olyan adott egyénhez rendelt szám, szimbólum vagy adat, amelynek célja, hogy egészségügyi szempontból kizárólagosan azonosítsa a személyt; az egyénnel kapcsolatban a neki nyújtott egészségügyi szolgáltatás során gyűjtött bármilyen információ; testrész vagy testet alkotó anyag – beleértve a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; egy személy azonosítása, aki egészségügyi szolgáltatást nyújt az egyénnek; bármilyen többek között az érintett betegséggel, fogyatékossággal, betegségkockázattal, kórtörténettel, klinikai kezeléssel vagy az érintett aktuális fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, mint például orvos vagy egyéb egészségügyi dolgozó, kórház, orvosi berendezés vagy in vitro diagnosztikai teszt.

(27) Az adatkezelő Unión belüli fő szervezet helyét objektív feltételek alapján kell meghatározni, és annak magában kell foglalnia a feldolgozás céljára, feltételeire és módjára vonatkozó fő döntéseket meghatározó igazgatási tevékenység tényleges, tartós jellegű gyakorlását. E feltétel azonban független attól, hogy a személyesadat-feldolgozásra ténylegesen ezen a helyen kerül-e sor; a személyes adatok feldolgozásához vagy a feldolgozási tevékenységekhez kapcsolódó technikai eszközök és technológiák jelenléte és használata önmagában nem hoz létre ilyen fő szervezetet, ezért nem meghatározó feltétel a fő szervezet helye szempontjából. Az adatfeldolgozó fő szervezete az Unión belüli központi igazgatásának helye.

(28) Az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások vállalkozáscsoportot alkotnak, minek körében az ellenőrző vállalkozás az a vállalkozás, amely például tulajdonosi jogok, pénzügyi részesedés vagy az arra vonatkozó szabályok, vagy a személyes adatok védelmére vonatkozó szabályok végrehajtására való jogosultság révén meghatározó befolyást gyakorol a többi vállalkozás felett.

(29) A gyermekeknek személyes adataik tekintetében különös védelmet kell biztosítani, mivel ők kevésbé lehetnek tisztában a személyes adatok feldolgozásának kockázataival, következményeivel és az ahhoz kapcsolódó biztosítékokkal és jogosultságokkal. Az egyén gyermekként történő meghatározásához e rendelet átveszi a gyermekek jogairól szóló ENSZ-egyezmény fogalommeghatározását.

(30) A személyes adatok feldolgozásának törvényesnek, tisztességesnek és átláthatónak kell lennie az érintett egyének vonatkozásában. Az adatfeldolgozás sajátos céljainak különösen kifejezetten megfogalmazottaknak és jogszerűeknek, valamint az adatgyűjtés időpontjában meghatározottaknak kell lenniük. Az adatoknak megfelelőnek és relevánsnak kell lenniük, valamint az adatok feldolgozásának céljához szükséges legkisebb mértékre kell korlátozódniuk; ez elsősorban annak biztosítását igényli, hogy az összegyűjtött adatok ne legyenek túlzott mértékűek, az adattárolás időtartama pedig a lehető legkisebb mértékűre korlátozódjon. A személyes adatokat csak abban az esetben lehet feldolgozni, ha a feldolgozás célját egyéb eszközzel nem lehetséges elérni. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek. Annak biztosítása érdekében, hogy az adatokat csak a szükséges ideig tárolják, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.

(31) A feldolgozás jogszerűsége érdekében a személyes adatok az érintett személy hozzájárulása vagy akár az e rendeletben, akár az e rendelet által hivatkozott egyéb uniós vagy tagállami jogszabályban meghatározott más jogalap alapján dolgozhatók fel.

(32) Amennyiben a feldolgozás az érintett hozzájárulásán alapul, az adatkezelőnek kell bizonyítania, hogy az érintett hozzájárult a feldolgozási művelethez. Különösen a más ügyben tett írásos nyilatkozattal összefüggésben biztosítékokkal kell biztosítani azt, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, valamint azzal, hogy milyen mértékben tette ezt.

(33) A szabad akaratból tett hozzájárulás biztosítása érdekében egyértelművé kell tenni, hogy a hozzájárulás jelent érvényes jogalapot, amennyiben az egyén nem rendelkezik egyéni és szabad választással, és később nem tagadhatja meg vagy vonhatja vissza hátrányok nélkül a hozzájárulását.

(34) A hozzájárulás nem hoz létre érvényes jogalapot a személyes adatok feldolgozására, amennyiben egyértelmű kiegyensúlyozatlanság áll fenn az érintett és az adatkezelő között. Ez különösen fennáll, ha az érintett függő viszonyban van az adatkezelőtől, többek között, amikor a munkavállaló személyes adatait a munkáltató a munkaviszonnyal összefüggésben dolgozza fel. Amennyiben az adatfeldolgozó hatóság, csak akkor áll fenn kiegyensúlyozatlanság a konkrét adatfeldolgozási műveletek tekintetében, ha a hatóság a vonatkozó közhatalmi jogosítványai alapján kötelezettséget írhat elő, és a hozzájárulás nem tekinthető szabadon, az érintett érdekére figyelemmel megadottnak.

(35) A feldolgozás jogszerű akkor is, ha arra valamely szerződés vagy valamely megkötendő szerződés keretében van szükség.

(36) Ha a feldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy közérdekű feladat végrehajtásához, illetve hivatali hatáskör gyakorlásához szükséges, a feldolgozásnak olyan uniós vagy nemzeti jogi jogalappal kell rendelkeznie, amely megfelel az Európai Unió Alapjogi Chartájában foglalt, a jogok és szabadságok korlátozására vonatkozó követelménynek. Az uniós vagy a nemzeti jog feladata annak meghatározása is, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelő közigazgatási szerv vagy a közjog, illetve a magánjog hatálya alá tartozó egyéb természetes vagy jogi személy, például szakmai szövetség legyen-e.

(37) A feldolgozást hasonlóan jogszerűnek kell tekinteni akkor, ha azt az érintett élete szempontjából alapvető fontosságú érdek védelme céljából végzik.

(38) Az adatkezelő jogos érdeke jogalapot teremthet a feldolgozáshoz, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Ezt különösen akkor kell vizsgálni, ha az érintett gyermek, mivel a gyermekeknek különös védelmet kell biztosítani. Az érintettnek joga van tiltakozni a feldolgozás ellen egyedi helyzetével kapcsolatos indokok alapján, és térítésmentesen. Az átláthatóság biztosítása érdekében az adatkezelőt kötelezni kell arra, hogy kifejezetten tájékoztassa az érintettet az alapul szolgáló jogos érdekről és a tiltakozáshoz való jogról, és igazolnia kell e jogos érdekeket. Mivel a jogalkotó feladata jogszabályokban meghatározni a hatóságok adatfeldolgozásának jogalapját, e jogi indokolás nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra.

(39) Az érintett adatfeldolgozó jogos érdekét jelenti a hálózati és informatikai biztonság biztosításához szigorúan szükséges mértékű adatfeldolgozás, vagyis az érintett hálózat vagy információs rendszer adott megbízhatósági szintű ellenállási képessége a szóban forgó hálózatokon és rendszereken tárolt vagy továbbított adatok és az általuk nyújtott vagy rajtuk keresztül – a hatóságok, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT), hálózatbiztonsági incidenskezelő csoportok (CSIRT), elektronikus hírközlési hálózatok és szolgáltatások szolgáltatói, valamint biztonságtechnológiai szolgáltatók számára – elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát veszélyeztető véletlen eseményekkel, illetve jogellenes vagy rosszindulatú tevékenységgel szemben. Ez magában foglalhatja például az elektronikus hírközlési hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú kódkiosztás megakadályozását, a hozzáférés megtagadásával (denial of service) járó támadások, valamint a számítógépes és elektronikus hírközlési rendszerekben való károkozás megakadályozását.

(40) A személyes adatok egyéb célú feldolgozása csak akkor megengedett, ha a feldolgozás az adatgyűjtés eredeti céljaival is összeegyeztethető, különösen, ha a feldolgozásra történelmi, statisztikai vagy tudományos kutatás céljából van szükség. Az adatgyűjtés eredeti céljával összeegyeztethetetlen egyéb cél esetén az adatkezelőnek a jogszerű adatfeldolgozás érdekében be kell szereznie az érintett ezen egyéb célhoz való hozzájárulását, vagy más jogszerű indokra kell alapítania a feldolgozást, különösen ha az uniós jog vagy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, így rendelkezik. Minden esetben biztosítani kell az e rendeletben rögzített elvek alkalmazását, valamint különösen az érintett ezen egyéb célokról történő tájékoztatását.

(41) Az alapvető jogokkal és a magánélettel kapcsolatos, jellegüknél fogva különösen érzékeny és visszaélésre alkalmas személyes adatok különleges védelmet érdemelnek. Az ilyen adatok feldolgozása csak az érintett kifejezett hozzájárulásával végezhető. Az ilyen tilalomtól való eltérésről azonban különleges esetekre tekintettel kifejezetten rendelkezni kell, különösen amennyiben az adatfeldolgozást olyan egyesületek, illetve alapítványok végzik, amelyek célja – jogszerű tevékenységük keretében – az alapvető szabadságok gyakorlásának lehetővé tétele.

(42) Megfelelő biztosítékok és a személyes adatok és más alapvető jogok védelme mellett jogszabály útján is el lehet térni az adatok érzékeny kategóriái feldolgozásának tilalmától, amennyiben ezt közérdekű okok indokolják különösen egészségügyi célból, beleértve a közegészségügyet és a szociális védelmet, valamint az egészségügyi szolgáltatások igazgatását, elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek, vagy történelmi, statisztikai és tudományos kutatási célból.

(43) Ezenfelül csak közérdekből lehetséges a személyes adatok hatóságok általi feldolgozása a hivatalosan elismert vallási szervezetek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében.

(44) A választással kapcsolatos tevékenységek során egyes tagállamokban a demokratikus rendszer működése megkívánja, hogy a politikai pártok adatokat gyűjtsenek az emberek politikai véleményéről; az ilyen adatok feldolgozása csak közérdekből lehetséges, feltéve hogy megfelelő biztosítékokat hoznak létre.

(45) Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, akkor az adatkezelő nem köteles további információkat szerezni az érintett azonosítása érdekében, kizárólag abból a célból, hogy megfeleljen e rendelet bármely rendelkezésének. Hozzáférés iránti kérelem esetén az adatkezelő jogosult az érintettől további adatokat kérni annak érdekében, hogy az adatkezelő azonosíthassa azokat a személyes adatokat, amelyeket az érintett igényel.

(46) Az átláthatóság elve megköveteli, hogy a nyilvánosság vagy az érintett tájékoztatása könnyen hozzáférhető és érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg. Ez különösen akkor fontos, amikor az online reklámozáshoz hasonló helyzetek során a szereplők nagy száma és a gyakorlatok technológiai összetettsége megnehezíti az érintett számára annak felismerését és megértését, hogy személyes adatai feldolgozásra kerülnek-e, valamint hogy ki által és milyen célra. Mivel a gyermekeket különös védelemben kell részesíteni, ezért a kifejezetten gyermekekre vonatkozó feldolgozás során minden információt és közleményt olyan világos és közérthető nyelven kell megfogalmazni, hogy a gyermek könnyen megértse.

(47) Az érintettek e rendeletben biztosított jogainak gyakorlását egyszerűbbé tevő eljárásokat – ideértve az adatok vonatkozásában kérelemre és térítésmentesen biztosított hozzáférés, helyesbítés és törlés, valamint a tiltakozáshoz való jog gyakorlásának mechanizmusait – kell létrehozni. Az adatkezelőnek kötelesnek kell lennie arra, hogy az érintett kérelmére meghatározott határidőn belül válaszoljon, valamint hogy megindokolja, ha nem ad helyt az érintett kérelmének.

(48) A tisztességes és átlátható adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, az adatok tárolásának időtartamáról, a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár.

(49) Az érintettre vonatkozó személyes adatok feldolgozásával kapcsolatos tájékoztatást az adatgyűjtés időpontjában kell rendelkezésére bocsátani, illetve, abban az esetben, ha az adatokat nem az érintettől gyűjtötték be, ésszerű határidőn belül, az ügy körülményeire tekintettel. Ha az adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor tájékoztatni kell az érintettet.

(50) Mindazonáltal nem szükséges e kötelezettség előírása, ha az érintett már rendelkezik az említett tájékoztatással, vagy ha az adat rögzítését, illetve közlését jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Utóbbi helyzet állhat fenn különösen történelmi, statisztikai, vagy tudományos célból történő feldolgozás esetén; e tekintetben figyelembe vehető az érintettek száma, az adatok kora és az elfogadott kárpótló intézkedések.

(51) Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait, időtartamát, az adatok címzettjeit, az adatok feldolgozásának logikáját, valamint azt, hogy az ilyen adatfeldolgozás, legalábbis amennyiben az profilalkotásra épül, milyen következményekkel jár, és hogy tájékoztatást kapjon minderről. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy szellemi tulajdont és különösen a szoftvert védelemben részesítő szerzői jogot. E megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak.

(52) Az adatkezelőnek minden ésszerű intézkedést meg kell tennie a hozzáférést kérő érintett személyazonosságának megállapítására, különösen az online szolgáltatásokkal és online azonosítókkal összefüggésben. Az adatkezelő nem őrizheti meg a személyes adatokat kizárólag azért, hogy megválaszolhassa az esetleges kérelmeket.

(53) Minden személynek joga van a rá vonatkozó személyes adatok helyesbítéséhez és „a személyes adatok tárolásának megszüntetéséhez”, amennyiben az ilyen adatok megőrzése nem felel meg e rendeletnek. Az érintetteknek különösen ahhoz van joga, hogy személyes adataikat töröljék, és ne dolgozzák fel akkor, ha az adatokra azok gyűjtése vagy más módon való feldolgozása céljának tekintetében már nincs szükség, ha az érintettek visszavonták a feldolgozáshoz adott hozzájárulásukat, vagy ha megtiltják a rájuk vonatkozó személyes adatok feldolgozását, vagy ha személyes adataik feldolgozása egyébként nem áll összhangban e rendelettel. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta hozzájárulását, amikor nem volt teljes mértékben tisztában a feldolgozás kockázataival, később pedig el akarja távolítani az ilyen személyes adatokat, különösen az internetről. Mindazonáltal az adatok továbbra is visszatarthatóak, ha ez történelmi, statisztikai vagy tudományos kutatási célokból, a közegészségügy területén közérdekből vagy a véleménynyilvánítás jogának gyakorlásához szükséges, ha jogszabály előírja, vagy ha az adat feldolgozásának korlátozása indokoltabb a törlésénél.

(54) A személyes adatok tárolásának megszüntetéséhez való jog online környezetben való erősítése érdekében a törléshez való jogot is ki kell terjeszteni oly módon, hogy a személyes adatokat nyilvánosságra hozó adatkezelőnek tájékoztatnia kell az ilyen adatokat feldolgozó harmadik feleket arról, hogy az érintett kérte e személyes adatokra mutató linkek, vagy e személyes adatok másolatának, illetve másodpéldányának törlését. E tájékoztatás biztosítása érdekében az adatkezelőnek minden ésszerű lépést meg kell tennie – beleértve a műszaki intézkedéseket is – az adatkezelő felelősségi körébe tartozó közléssel érintett adatok tekintetében. A személyes adatok harmadik fél általi közlése tekintetében az adatkezelő felel a nyilvánosságra hozatalért, amennyiben a harmadik fél általi közlést az adatkezelő engedélyezte.

(55) A saját adataik feletti ellenőrzés és a hozzáférési jog gyakorlásának további erősítése érdekében az érintetteknek joga van a személyes adatok elektronikus úton történő feldolgozása során az őket érintő adatokról strukturált és széles körben elterjedt elektronikus formátumban másolatot kérni. Az érintettnek lehetősége van a rendelkezésre bocsátott adatok továbbítására is, az egyik automatizált alkalmazástól – például a közösségi hálózatról – a másikhoz. Ez alkalmazandó akkor is, ha az érintett az adatot a hozzájárulása alapján vagy szerződés teljesítése keretében bocsátotta az automatizált feldolgozó rendszer rendelkezésére.

(56) Amennyiben a személyes adatokat jogszerűen dolgozhatják fel az érintett alapvető érdekeinek védelme érdekében vagy közérdekű, illetve hatósági indokok vagy az adatkezelő jogos érdekei alapján, ugyanakkor minden érintettnek jogot kell biztosítani a rá vonatkozó adatok feldolgozásának kifogásolására. Az adatkezelőre hárul annak bizonyítása, hogy az ő jogos érdeke elsőbbséget élvez az érintett alapvető jogaival és szabadságaival szemben.

(57) Ha az adatokat közvetlen üzletszerzés érdekében dolgozzák fel, az érintett jogosult térítésmentesen, valamint könnyen és hatékonyan kifogásolni az ilyen feldolgozást.

(58) Minden természetes személyt megillet a jog, hogy ne legyen automatizált adatfeldolgozási eszközökkel végzett profilalkotáson alapuló intézkedés alanya Az ilyen intézkedések mindazonáltal megengedhetőek akkor, ha azt jogszabály kifejezetten előírja, ha valamely szerződés megkötése vagy telesítése során végzik, vagy ha az érintett hozzájárult. Az ilyen feldolgozásra minden esetben megfelelő biztosítékok mellett kerülhet sor, beleértve az érintett külön tájékoztatását és az emberi beavatkozás kérésének jogát, és az ilyen intézkedés nem vonatkozhat gyermekekre.

(59) Az uniós és a tagállami jog korlátozhatja az egyes alapelveket, az információhoz való jogot, a betekintési, módosítási és törlési jogot, az adathordozhatósághoz fűződő jogot, a kifogásolási jogot, valamint a profilalkotáson alapuló intézkedések és a személyes adatokkal való jogsértés érintettel történő közlését, amennyiben ez egy demokratikus társadalomban a közbiztonság védelméhez szükséges és arányos, beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, bűncselekmények vagy a szabályozott szakmák etikai szabályainak megsértései megelőzését, nyomozását és üldözését, az egyéb uniós vagy tagállami közérdeket, különösen az Unió vagy egy tagállam fontos gazdasági vagy pénzügyi érdekét, vagy az érintett, illetve mások jogainak és szabadságainak védelmét. E korlátozásoknak összhangban kell állniuk az Európai Unió Alapjogi Chartájával, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel.

(60) A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét. Az adatkezelőnek biztosítania és kötelezettségének megfelelően bizonyítania kell, hogy valamennyi adatfeldolgozási művelet összhangban áll e rendelettel.

(61) A rendelet követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg mind az adatfeldolgozás megtervezésének mind magának az adatfeldolgozásnak az időpontjában. Az adatkezelő az e rendelettel való összhang biztosítása és bizonyítása érdekében belső szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz.

(62) Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége a felügyelő hatóságok ellenőrzése és intézkedései tekintetében is megköveteli az e rendelet szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, feltételeit és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet.

(63) Amennyiben az Unióban lakóhellyel rendelkező érintettek személyes adatait az Unióban nem letelepedett olyan adatkezelő dolgozza fel, akinek adatfeldolgozási tevékenysége termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához vagy az ilyen érintettek viselkedésének nyomon követéséhez kapcsolódik, az adatkezelőnek képviselőt kell kijelölnie, kivéve ha az adatkezelő egy megfelelő szintű védelmet biztosító harmadik országban telepedett le, vagy az adatkezelő kis- vagy középvállalkozás, vagy hatóság vagy állami szerv, vagy ha az adatkezelő csak alkalmi jelleggel kínál termékeket és szolgáltatásokat ezen érintetteknek. A képviselő az adatkezelő nevében jár el, és bármelyik felügyelő hatóság megkeresheti.

(64) Annak megállapítása érdekében, hogy az adatkezelő csupán alkalmi jelleggel kínál-e termékeket és szolgáltatásokat az Unióban lakóhellyel rendelkező érintetteknek, azt kell megvizsgálni, hogy az adatkezelő tevékenységeinek összességéből kitűnik-e az, hogy a termékek és szolgáltatások ilyen érintettek számára történő nyújtása kiegészítő jelleggel bír-e a fő tevékenységekhez képest.

(65) Az adatkezelőnek vagy -feldolgozónak az e rendelettel való összhang igazolása érdekében dokumentálnia kell minden adatfeldolgozási tevékenységet. Minden adatkezelő vagy -feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt – kérésre – hozzáférhetővé tenni az adatfeldolgozási műveletek esetleges ellenőrzése céljából.

(66) A biztonság fenntartása és a jelen rendelettel ellentétes adatfeldolgozás megelőzése érdekében az adatkezelőnek vagy -feldolgozónak értékelnie kell az adatfeldolgozás természetéből fakadó kockázatokat, és meg kell tennie az e kockázatok csökkentésére alkalmas intézkedéseket. Ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, a védendő személyes adatok jellegével és a belőlük fakadó kockázatokkal kapcsolatban figyelembe véve a technika állását és alkalmazásuk költségeit. Az adatfeldolgozás biztonságát biztosító technikai szabványok és szervezeti intézkedések kialakítása során a Bizottságnak elő kell mozdítania a technológiai semlegességet, az átjárhatóságot és az innovációt, valamint adott esetben együtt kell működnie harmadik országokkal.

(67) A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – jelentős gazdasági veszteséget és társadalmi kárt okozhat – a személyazonossággal való visszaélést is beleértve – az érintett egyén számára. Az adatkezelőnek ezért haladéktalanul, amennyiben lehetséges, az ilyen adatsértésről való tudomásszerzést követő 24 órán belül értesítenie kell a felügyelő hatóságot. Ha ez 24 órán belül nem tehető meg, az értesítéshez csatolni kell a késedelem indokainak ismertetését. A szükséges óvintézkedések lehetővé tétele érdekében haladéktalanul értesíteni kell azokat az egyéneket, akiknek személyes adatait a jogsértés hátrányosan befolyásolhatja. Az érintett személyes adatait vagy magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, fizikai károkozáshoz, súlyos sértéshez vagy hírnévrontáshoz vezet. Az értesítésnek tartalmaznia kell a személyes adatokat érintő jogsértés jellegének leírását, valamint az érintett egyénnek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintetteknek szóló tájékoztatást az ésszerűség keretei között a lehető leghamarabb meg kell tenni, szorosan együttműködve a felügyelő hatósággal, és az az által vagy más releváns hatóságok (például bűnüldöző hatóságok) által nyújtott iránymutatást betartva. Például ha annak a lehetősége, hogy az érintettek enyhíthetik a kár közvetlen veszélyét, az érintettek sürgős értesítését igényelné, míg az adatsértés folytatásával vagy hasonló adatsértés elkövetésével szemben alkalmazott megfelelő intézkedések hosszabb időtartamot indokolhatnak.

(68) Annak meghatározása érdekében, hogy a személyes adatok megsértéséről haladéktalanul értesítették-e a felügyelő hatóságot, valamint az érintettet, meg kell vizsgálni, hogy az adatkezelő megfelelő technológiai védelmet, illetve szervezeti intézkedéseket vezetett-e be és alkalmazott-e annak haladéktalan megállapítása érdekében, hogy sor került-e a személyes adatok megsértésére, valamint annak érdekében, hogy haladéktalanul tájékoztassa a felügyelőt hatóságot és az érintettet a személyes és gazdasági érdekek sérelmének bekövetkezését megelőzően, figyelemmel különösen a személyes adatok megsértésének jellegére és súlyosságára, valamint annak következményeire, illetve az adatsértésnek az érintettre gyakorolt hátrányos hatásaira.

(69) A személyes adatok megsértéséről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor megfelelő figyelmet kell fordítani az adatsértés körülményeire, beleértve azt is, hogy a személyes adatokat védték‑e olyan megfelelő műszaki védelmi intézkedésekkel, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti feltárás szükségtelenül veszélyeztethetné az adatsértés körülményeinek kivizsgálását.

(70) A 95/46/EK irányelv általános jelleggel előírta, hogy értesíteni kell a felügyelő hatóságot a személyes adatok feldolgozásáról. Ez a kötelezettség igazgatási és költségvetési terhekkel jár, azonban nem minden esetben járul hozzá a személyes adatok védelmének javításához. Ezért az ilyen megkülönböztetés nélküli általános értesítési kötelezettséget meg kell szüntetni, és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek inkább az érintettek alapvető jogait és szabadságait jellegüknél, alkalmazási területüknél és céljuknál fogva valószínűsíthetően veszélyeztető feldolgozási műveletekre összpontosítanak. Ilyen esetekben az adatkezelőnek vagy -feldolgozónak adatvédelmi hatásvizsgálatot kell végeznie az adatfeldolgozás előtt, amelynek kifejezetten tartalmaznia kell a személyes adatok védelmét biztosító tervezett intézkedéseket, biztosítékokat és mechanizmusokat, valamint az e rendelettel való összhang bizonyítását.

(71) Ez különösen vonatkozik azokra az újonnan létrehozott nagyméretű személyesadat-nyilvántartó rendszerekre, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű feldolgozását hivatottak biztosítani, és amelyek jelentős számú érintettre gyakorolhatnak hatást.

(72) Bizonyos körülmények között ésszerűnek és gazdaságosnak bizonyulhat az adatvédelmi hatásvizsgálat nem egyetlen projekt tekintetében történő lefolytatása, például amennyiben a hatóságok vagy állami szervek közös alkalmazást vagy adatfeldolgozási felületet kívánnak létrehozni, vagy ha több adatkezelő közös alkalmazást vagy feldolgozási környezetet kíván bevezetni valamely ipari ágazat vagy terület, illetve egy széles körben használt horizontális tevékenység tekintetében.

(73) Az adatvédelmi hatásvizsgálatot hatóságnak vagy állami szervnek kell elvégeznie, amennyiben ilyen hatásvizsgálatra még nem került sor azon nemzeti jogszabály elfogadásával összefüggésben, amelyen a hatóság vagy állami szerv feladatainak elvégzése alapul, és amely szabályozza a szóban forgó sajátos feldolgozási műveletet vagy műveleteket.

(74) Amennyiben egy adatvédelmi hatásvizsgálat azt jelzi, hogy az adatfeldolgozó műveletek valószínűleg magas szintű, különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, mint például kizárhatják az egyéneket a jogaik gyakorlásából vagy különleges új technológiákat alkalmaznak, a műveletek megkezdése előtt konzultálni kell a felügyelő hatósággal arról a kockázatos feldolgozásról, amely esetlegesen nem áll összhangban e rendelettel, és javaslatokat készíteni e helyzet orvoslására. Ezt a konzultációt egyaránt el kell végezni a nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése során.

(75) Amennyiben a feldolgozásra a közszférában kerül sor, vagy amennyiben a magánszférában a feldolgozást nagyvállalkozás végzi, vagy amennyiben fő tevékenységei között a vállalkozás méretétől függetlenül szerepel olyan feldolgozási művelet, amely rendszeres és rendszerszerű nyomon követést igényel, az adatkezelőt vagy -feldolgozót az e rendelettel való belső összhang nyomon követése során egy személynek kell segítenie. Az ilyen adatvédelmi tisztviselők függetlenül látják el kötelezettségeiket és feladataikat, akár az adatkezelő alkalmazásában állnak, akár nem.

(76) A szövetségeket vagy az adatkezelők kategóriáit képviselő más szerveket ösztönözni kell eljárási szabályzat létrehozására e rendelet keretein belül annak érdekében, hogy megkönnyítsék e rendelet hatékony alkalmazását, figyelembe véve a meghatározott ágazatokban végzett feldolgozás sajátos jellegzetességeit.

(77) Az átláthatóság és az e rendelettel való összhang elősegítése érdekében ösztönözni kell olyan tanúsítási mechanizmusok, adatvédelmi címkék és jelzők létrehozását, amelyek lehetővé teszik az érintetteknek az adott termékek és szolgáltatások adatvédelmi szintjének gyors felmérését.

(78) A személyes adatok határokon átnyúló áramlására szükség van a nemzetközi kereskedelem és együttműködés bővüléséhez. Ezen áramlások növekedése új kihívásokat és aggodalmakat támasztott a személyes adatok védelme tekintetében. Mindazonáltal a személyes adatok Unióból valamely harmadik államba vagy nemzetközi szervezetek részére történő továbbítása esetén nem sérülhet az egyéneknek az Unióban e rendelettel biztosított védelem szintje. A harmadik országokba irányuló továbbítás csak e rendelet tagállamok általi teljes betartásával lehetséges.

(79) E rendelet nem sérti az Unió és harmadik országok között kötött, a személyes adatok továbbításáról – beleértve az érintetteknek szolgáltatott megfelelő biztosítékokat is – szóló nemzetközi megállapodásokat.

(80) A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ezekben az esetekben a személyes adatok az említett országokba további engedély beszerzése nélkül is továbbíthatók.

(81) A Bizottságnak – az Uniót megalapozó alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik ország vizsgálata során figyelembe kell vennie, hogy az adott harmadik országban mennyire tisztelik a jogállamiságot, a bírói igazságszolgáltatáshoz való jogot valamint a nemzetközi emberi jogi normákat és előírásokat.

(82) A Bizottságnak hasonlóképpen felismerheti, hogy az adott harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani. Ebben az esetben rendelkezni kell a Bizottság és ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról.

(83) Megfelelőségi határozat hiányában az adatkezelő vagy -feldolgozó intézkedéseket hoz a védelem harmadik országban fellépő hiányosságainak ellensúlyozására, az érintett számára megfelelő biztosítékok rendelkezésre bocsátása útján. Ezek a megfelelő biztosítékok magukban foglalják a kötelező erejű vállalati szabályok, a Bizottság által elfogadott egységes adatvédelmi feltételek, a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek vagy a felügyelő hatóság által engedélyezett szerződési feltételek vagy olyan egyéb megfelelő és arányos intézkedések alkalmazását, amelyek az adattovábbítási művelet vagy az adattovábbítási műveletek csoportjának összes körülménye fényében igazolhatók, amennyiben a felügyelő hatóság engedélyezi.

(84) Az a lehetőség, miszerint az adatkezelő vagy -feldolgozó alkalmazhatja a Bizottság vagy a felügyelő hatóság által elfogadott egységes adatvédelmi feltételeket, nem zárja ki sem azt, hogy az adatkezelő vagy -feldolgozó szélesebb körű szerződésben alkalmazza ezen egységes adatvédelmi feltételeket, sem a további feltételek hozzáadását, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyelő hatóság által elfogadott egységes szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait.

(85) Az adott vállalkozáscsoport alkalmazhatja a jóváhagyott kötelező erejű vállalati szabályokat az Unióból az ugyanazon vállalkozáscsoporton belüli szervezetekhez irányuló nemzetközi adattovábbítások során, amennyiben e vállalati szabályok a személyes adatok továbbítása kategóriái megfelelő biztosítékainak biztosítására szolgáló lényeges alapelveket és érvényesíthető jogokat tartalmaznak.

(86) Rendelkezni kell a továbbítás lehetőségéről bizonyos körülmények esetében, ha az érintett hozzájárulását adta, ha a továbbítás szerződés vagy jogi igény érvényesítése keretében szükséges, ha a fontos közérdek uniós vagy tagállami jogban szereplő védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánossággal vagy a jogos érdekkel rendelkező személyekkel való konzultáció. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő adatok vagy adatkategóriák összességére, és amennyiben a nyilvántartás célja a jogos érdekkel rendelkező személyekkel való konzultáció, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek.

(87) Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyelő hatóságok vagy társadalombiztosítási ügyekért felelős hivatalok közötti, illetve a bűncselekmények megelőzésére, nyomozására, felderítésére vagy üldözésére hatáskörrel rendelkező hatóságok felé irányuló nemzetközi adattovábbítás esetében.

(88) Az adattovábbítás összes körülményének mérlegelése alapján a gyakorinak vagy tömegesnek nem minősülő továbbítások is az adatkezelő vagy -feldolgozó jogos érdekének tekinthetők. A történelmi, statisztikai és tudományos kutatási célú feldolgozás esetében figyelembe kell venni a társadalom tudásnövelésre irányuló jogos érdekét.

(89) Amennyiben a Bizottság nem határozott a harmadik országbeli védelem megfelelő szintjéről, az adatkezelő vagy -feldolgozó olyan megoldásokat alkalmaz, amely adattovábbítás esetében is biztosítja, hogy az érintettek hozzájussanak az Unió területén történő adatfeldolgozás tekintetében élvezett alapvető jogokhoz és biztosítékhoz.

(90) Néhány harmadik ország olyan törvényeket, rendeleteket és más jogalkotási eszközöket alkalmaz, amelyek közvetlenül szabályozzák a tagállamok természetes vagy jogi személyei által végzett adatfeldolgozási tevékenységet. E törvények, rendeletek és más jogalkotási eszközök országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja az egyéneknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, amennyiben az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor áll fenn, ha a közlés olyan, az uniós jogban vagy azon tagállam jogában elismert fontos közérdekből szükséges, amelynek hatálya alá az adatkezelő tartozik. A Bizottságnak felhatalmazáson alapuló jogi aktusban kell részletesen meghatároznia a fontos közérdek megvalósulásának feltételeit.

(91) Amennyiben a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy az egyének nem képesek gyakorolni adatvédelmi jogaikat, különösen az említett adatok jogellenes felhasználása vagy nyilvánosságra hozatala elleni védelem érdekében. Ezzel egyidejűleg a felügyelő hatóságok megállapíthatják, hogy képtelenek a panaszok érvényesítésére vagy vizsgálat lefolytatására a határaikon kívül folyó tevékenységek tekintetében. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, az egymásnak ellentmondó jogi rendszerek, valamint gyakorlatban felmerülő olyan akadályok, mint a források korlátozottsága. Ezért elő kell mozdítani az adatvédelmi felügyelő hatóságok közötti szorosabb együttműködést az információcsere és a külföldi partnerekkel folytatott vizsgálatok elősegítése érdekében.

(92) A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok létrehozása a tagállamokban alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak.

(93) Amennyiben valamely tagállam több felügyelő hatóságot hoz létre, jogszabályban kell rendelkeznie azokról a mechanizmusokról, amelyek biztosítják e felügyelő hatóságoknak az egységességi mechanizmusban való hatékony részvételét. Az említett tagállam kijelöli különösen azt a felügyelő hatóságot, amely az ezen hatóságok mechanizmusban való hatékony részvétele érdekében egyetlen kapcsolattartóként működik a más felügyelő hatóságokkal, az Európai Adatvédelmi Testülettel és a Bizottsággal való gyors és egyszerű együttműködés érdekében.

(94) Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyelő hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat – hatékony ellátásához szükséges megfelelő anyagi és személyzeti erőforrásokat, helyiségeket és infrastruktúrát.

(95) A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és különösen biztosítani kell azt, hogy az említett tagokat a tagállam parlamentje vagy kormánya nevezze ki, valamint szabályozni kell a tagok szükséges képesítését és beosztását.

(96) A felügyelő hatóságok a természetes személyeknek személyes adataik feldolgozása tekintetében biztosítandó védelem, valamint a személyes adatok belső piacon belüli szabad áramlásának biztosítása érdekében ellenőrzik az e rendelet értelmében elfogadott rendelkezések alkalmazását, és hozzájárulnak azoknak az Unió egész területén történő következetes alkalmazásához. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(97) Amennyiben az adatkezelő vagy -feldolgozó uniós szervezetének tevékenységével összefüggésben végzett adatfeldolgozásra egynél több tagállamban kerül sor, egyetlen felügyelő hatóság lesz illetékes az adatkezelő vagy -feldolgozó egész Unió területén belüli tevékenységeinek nyomon követésére és a kapcsolódó határozatok meghozatalára a következetes alkalmazás elősegítése, a jogbiztonság biztosítása, és az ilyen adatkezelőkre és -feldolgozókra háruló adminisztratív terhek csökkentése érdekében.

(98) Az ilyen egyablakos ügyintézést biztosító illetékes hatóság annak a tagállamnak a felügyelő hatósága, ahol az adatkezelő vagy -feldolgozó fő szervezete található.

(99) Bár e rendelet a tagállami bíróságok tevékenységére is alkalmazandó, a felügyelő hatóságok hatásköre nem terjed ki a személyes adatok feldolgozására, ha a bíróságok igazságszolgáltatási feladatkörükben járnak el, ezzel biztosítva a bírák függetlenségét igazságszolgáltatási feladataik ellátása folyamán. E kivétel azonban szigorúan csak a bírósági ügyekben ellátott valódi igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyekbe a bírákat a nemzeti jognak megfelelően bevonhatják.

(100) E rendelet Unió-szerte következetes ellenőrzésének és érvényesítésének biztosítása érdekében a felügyelő hatóságokat minden tagállamban ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a jogi kötőerővel bíró beavatkozást, határozatokat és szankciókat, különösen az egyéni panaszok esetén, valamint a bírósági eljárásokban való részvétel jogát is. A felügyelő hatóságoknak a helyiségekbe való belépéssel kapcsolatos vizsgálati hatáskörét az uniós joggal és a nemzeti joggal összhangban kell gyakorolni. Ez különösen az előzetes bírósági engedély beszerzésének követelményére vonatkozik.

(101) Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani.

(102) A felügyelő hatóságok nyilvánosságnak szánt figyelemfelkeltő tevékenységei magukban foglalják az adatkezelőknek és -feldolgozóknak – beleértve a mikro-, kis- és középvállalkozásokat –, valamint az érintetteknek címzett konkrét intézkedéseket.

(103) A felügyelő hatóságoknak feladataik ellátása során együtt kell működniük, és kölcsönösen támogatniuk kell egymást annak érdekében, hogy biztosítsák e rendelet következetes alkalmazását és érvényesítését a belső piacon.

(104) Mindegyik felügyelő hatóság jogosult részt venni a felügyelő hatóságok közös műveleteiben. A megkeresett felügyelő hatóság köteles a megkeresésre meghatározott időn belül választ adni.

(105) E rendelet Unió-szerte következetes alkalmazásának biztosítása érdekében létre kell hozni a felügyelő hatóságok egymás közötti és a Bizottsággal való együttműködését szolgáló egységességi mechanizmust. Ezt a mechanizmust különösen akkor kell alkalmazni, amikor valamely felügyelő hatóság olyan feldolgozási műveletekkel kapcsolatban kíván intézkedést hozni, amelyek termékek vagy szolgáltatások különböző tagállamokbeli érintettek számára történő nyújtásához, vagy az ilyen érintettek nyomon követéséhez kapcsolódnak, vagy amelyek lényegesen érinthetik a személyes adatok szabad áramlását. A mechanizmus abban az esetben is alkalmazandó, ha a felügyelő hatóság vagy a Bizottság kéri az ügy egységességi eljárásban való kezelését. E mechanizmust a Bizottság azon intézkedéseinek sérelme nélkül lehet alkalmazni, amelyeket a Szerződések szerinti hatásköreinek gyakorlása során tesz.

(106) Az egységességi eljárás alkalmazása keretében az Európai Adatvédelmi Testület tagjainak egyszerű többséggel hozott döntése alapján, vagy bármely felügyelő hatóság vagy a Bizottság kérésére meghatározott időn belül véleményt bocsát ki.

(107) Az e rendelettel való összhang biztosítása érdekében a Bizottság véleményt fogadhat el e tárggyal kapcsolatban, vagy határozatot hozhat, amelyben felkéri a felügyelő hatóságot a tervezett intézkedés felfüggesztésére.

(108) Az érintettek érdekeinek védelme céljából sürgős intézkedésre is szükség lehet, különösen abban az esetben, amikor a veszély abban áll, hogy jelentősen akadályozzák az érintettet jogainak gyakorlásában. Következésképpen az egységességi mechanizmus alkalmazása során a felügyelő hatóságnak képesnek kell lennie meghatározott érvényességi idejű ideiglenes intézkedések elfogadására.

(109) E mechanizmus alkalmazása a szóban forgó határozat jogi érvényességének és a felügyelő hatóság általi végrehajtásának feltétele. Más, határon átnyúló ügyekben az érintett felügyelő hatóságok az egységességi mechanizmus aktiválása nélkül, két- vagy többoldalú kölcsönös segítséget nyújthatnak és közös vizsgálatot folytathatnak.

(110) Uniós szinten létre kell hozni az Európai Adatvédelmi Testületet. A Testület felváltja a 95/46/EK irányelvvel létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportot. A Testület a tagállamok felügyelő hatóságainak vezetőiből és az európai adatvédelmi biztosból áll. A Bizottság részt vesz a Testület tevékenységében. Az Európai Adatvédelmi Testület az Unió egész területén hozzájárul e rendelet következetes alkalmazásához, ideértve a Bizottság részére történő tanácsadást és a felügyelő hatóságok közötti, Unión belüli együttműködés előmozdítását is. Az Európai Adatvédelmi Testület feladatai ellátása során függetlenül jár el.

(111) Minden érintettnek joga van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joga van a bírósági jogorvoslathoz, ha álláspontja szerint sérültek az e rendelet szerinti jogai, illetve ha a felügyelő hatóság a panaszra nem válaszol vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg.

(112) Az érintetteknek az adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott, a tagállami jognak megfelelően létrehozott valamennyi szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében panaszt emelni a felügyelő hatósággal szemben vagy bírósági jogorvoslatot igénybe venni, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint személyes adatokat sértettek meg.

(113) Valamennyi természetes vagy jogi személyt megilleti a jog, hogy a felügyelő hatóság rá vonatkozó határozata ellen bírósági úton keressen jogorvoslatot. A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt lehet megindítani.

(114) Az érintett bírósági jogvédelmét erősítendő azokban az esetekben, amelyekben az illetékes felügyelő hatóság székhelye nem az érintett lakóhelye szerinti tagállamban van, az érintett az érintettek adataik védelmével kapcsolatos jogainak és érdekeinek védelmével foglalkozó bármely szervtől, szervezettől vagy egyesülettől kérheti, hogy az érintett nevében indítson eljárást a felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt.

(115) Azokban az esetekben, amelyekben a valamely másik tagállamban székhellyel rendelkező illetékes felügyelő hatóság nem jár el, vagy nem megfelelő intézkedéseket tett valamely panasz nyomán, az érintett a szokásos tartózkodási helye szerinti tagállam felügyelő hatóságától kérheti, hogy indítson eljárást e felügyelő hatóssággal szemben a másik tagállam illetékes bírósága előtt. A kérelmet elbíráló felügyelő hatóság – bírósági felülvizsgálat tárgyát képező – határozatban dönthet arról, hogy helyt adhat-e a kérelemnek, vagy sem.

(116) Az adatkezelő vagy -feldolgozó elleni eljárást illetően a felperes választhat, hogy az eljárást annak a tagállamnak a bírósága előtt indítja meg, ahol az adatkezelő vagy -feldolgozó telephellyel rendelkezik, vagy az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő közhatalmi jogosítványait gyakorolva eljáró hatóság.

(117) Amennyiben a jelek arra utalnak, hogy eltérő tagállami bíróságok előtt párhuzamosan folynak eljárások, a bíróságok kötelesek egymással felvenni a kapcsolatot. A bíróságnak lehetőséget kell teremteni arra, hogy egy másik tagállamban folyamatban lévő ügy esetén az eljárást felfüggeszthesse. A tagállamoknak a hatékonyság érdekében biztosítaniuk kell, hogy a bírósági keresetek lehetővé tegyék az e rendelet megsértését orvosló vagy megelőző intézkedések gyors elfogadását.

(118) A jogellenes adatfeldolgozás miatt esetlegesen kárt szenvedett személy kártérítését az adatkezelőnek vagy -feldolgozónak kell állnia, aki/amely akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén.

(119) Szankciót kell kiróni minden olyan személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki/amely nem tesz eleget e rendeletnek. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében.

(120) Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyelő hatóság szankcionálhatja a közigazgatási szabálysértéseket. E rendelet meghatározza e szabálysértéseket, valamint a kapcsolódó közigazgatási bírság felső határát, amelyet minden egyes esetben a konkrét helyzettel arányosan kell meghatározni, kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára. Az egységességi mechanizmus a közigazgatási szankciók alkalmazásában mutatkozó eltérések kezelésére is felhasználható.

(121) Az újságírás, az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás kivételnek számít e rendelet meghatározott rendelkezéseiben szereplő követelmények vonatkozásában, annak érdekében, hogy a személyes adatok védelmét összhangba hozzák a véleménynyilvánítás szabadságával, különösen az információk megismerésének és közlésének jogával, amelyet elsősorban az Európai Unió Alapjogi Chartájának 11. cikke biztosít. Ez alkalmazandó különösen a személyes adatok audiovizuális területen, valamint a hírarchívumokban és sajtókönyvtárakban történő feldolgozására. Következésképpen a tagállamoknak jogalkotási intézkedések elfogadásával kell meghatározni az ezen alapvető jogok közötti egyensúly érdekében szükséges kivételeket és eltéréseket. E kivételeket és eltéréseket a tagállamok az általános elvek, az érintett jogai, az adatkezelő és -feldolgozó, a harmadik országokba vagy nemzetközi szervezetekhez irányuló adattovábbítás, a független felügyelő hatóságok és az együttműködés és a következetesség tekintetében állapítják meg. Ez azonban nem vezethet az e rendelet más rendelkezései alóli kivételek tagállamok általi meghatározásához. Annak érdekében, hogy figyelembe vegyék a véleménynyilvánítás szabadságához való jog jelentőségét minden demokratikus társadalomban, az e szabadsághoz tartozó olyan fogalmakat, mint az újságírás, kiterjesztően kell értelmezni. Ezért a tagállamoknak az e rendelet szerint szabályozandó kivételek és eltérések alkalmazásában „újságírással kapcsolatosnak” kell minősíteniük azokat a tevékenységeket, amely célja a nyilvánosság számára információk, vélemények vagy gondolatok közlése, függetlenül attól a médiumtól, amelyet a közvetítésre felhasználnak. E tevékenységek nem korlátozódhatnak a média-vállalkozásokra, és azok nyereség elérése érdekében vagy nonprofit célból is végezhetők.

(122) A szigorúbb védelmet igénylő különös adatkategóriának minősülő egészségügyi vonatkozású személyes adatok feldolgozását gyakran indokolhatja egy sor, az egyének és a társadalom egészének hasznára vonatkozó jogszerű ok, különösen a határokon átnyúló egészségügyi ellátások folytonosságának biztosításával összefüggésben. Következésképpen e rendelet meghatározza az egészségügyi vonatkozású személyes adatok feldolgozásának harmonizált feltételeit, amelyekre az egyének alapvető jogait és személyes adatait védelemben részesítő különös és megfelelő biztosítékok vonatkoznak. Ez magában foglalja az egyének jogát az egészségükre vonatkozó személyes adataikhoz, például a diagnózist, a vizsgálati eredményeket, a kezelőorvos vizsgálatait és a kezeléseket és beavatkozásokat tartalmazó kórlaphoz való hozzáféréshez.

(123) A népegészség terén az érintett hozzájárulása nélkül is szükséges lehet az egészségügyi vonatkozású személyes adatok közérdekből történő feldolgozása. Ebben az összefüggésben a „népegészség” fogalmát a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról szóló, 2008. december 16-i 1338/2008/EK európai parlamenti és tanácsi rendeletben meghatározottak szerint úgy kell értelmezni, hogy az valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot, beleértve a morbiditást és a fogyatékosságot, az egészségi állapotot befolyásoló tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra kiosztott források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi személyes adatok ilyen közérdekű feldolgozása nem eredményezheti azt, hogy a személyes adatokat más célokból harmadik személyek, így munkáltatók, biztosítók és bankok dolgozzák fel.

(124) A személyes adatok feldolgozása vonatkozásában az egyének védelmére vonatkozó általános alapelveket a foglalkoztatással összefüggésben is alkalmazni kell. Következésképpen a munkavállalók személyes adatainak a munkaviszonnyal összefüggő feldolgozásának szabályozása érdekében a tagállamok e rendelet keretein belül jogszabályban különös szabályokat fogadhatnak el a személyes adatoknak a foglalkoztatási ágazatban való feldolgozására.

(125) A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása akkor jogszerű, ha tiszteletben tartja az egyéb, például a klinikai vizsgálatokat szabályozó vonatkozó jogszabályokat is.

(126) E rendelet alkalmazásában a tudományos kutatás magában foglalja az alapkutatást, az alkalmazott kutatást, valamint a magánfinanszírozású kutatást, emellett figyelembe kell vennie az Európai Unió működéséről szóló szerződés 179. cikke (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést.

(127) A felügyelő hatóságok azon jogköre tekintetében, hogy az adatkezelőtől vagy -feldolgozótól hozzáférést kérjenek a személyes adatokhoz és azok helyiségeihez, a tagállamok e rendelet keretein belül jogszabályban hozhatnak különös rendelkezéseket a szakmai vagy más, azzal egyenértékű titoktartási kötelezettségek biztosítása érdekében, amennyiben a személyes adatok védelmére vonatkozó jogot összhangba kell hozni a szakmai titoktartásra vonatkozó kötelezettséggel.

(128) E rendelet az Európai Unió működéséről szóló szerződés 17. cikke értelmében tiszteletben tartja és nem sérti az egyházak és vallási szervezetek vagy közösségek nemzeti jog szerinti jogállását a tagállamokban. Ennek következtében, amennyiben valamely tagállamban egy egyház a rendelet hatálybalépésének időpontjában átfogó szabályokat alkalmaz a személyek adatfeldolgozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazandók, amennyiben azokat összhangba hozzák e rendelettel. Az ilyen egyházak és vallási szervezetek kötelesek gondoskodni egy teljesen független felügyelő hatóság létrehozásáról.

(129) E rendelet célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen a gyermek hozzájárulásával kapcsolatos szempontok és feltételek meghatározása; az adatok különös kategóriáinak feldolgozása; az egyértelműen túlzó kérelmek feltételeinek megállapítása és az érintett jogainak gyakorlására vonatkozó díjak; az érintett tájékoztatására és a hozzáférési jogra vonatkozó szempontok és követelmények; a személyes adatok tárolásának megszüntetésére és a törlésre vonatkozó jog; a profilalkotáson alapuló intézkedések; az adatkezelő feladataira vonatkozó szempontok és követelmények és a beépített és alapértelmezett adatvédelem; az adatfeldolgozó; a dokumentációra és a feldolgozás biztonságára vonatkozó szempontok és követelmények; a személyes adatok megsértésének megállapítására és a felügyelő hatóság részére történő bejelentésre vonatkozó szempontok és követelmények és azok a körülmények, amelyek fennállása esetén a személyes adatok védelmének megsértése várhatóan hátrányosan érinti az érintettet; az adatvédelmi hatásvizsgálatot igénylő feldolgozási műveletek szempontjai és követelményei; az előzetes konzultációt igénylő magas szintű különös kockázatok meghatározásának szempontjai és követelményei; az adatvédelmi tisztviselő kinevezése és feladatai; az eljárási szabályzatok; a tanúsítási mechanizmusok szempontjai és követelményei; a kötelező erejű vállalati szabályok útján való továbbítás szempontjai és követelményei; a továbbítás eltérései; a közigazgatási szankciók; az egészségügyi célú feldolgozás; a foglalkoztatással összefüggő feldolgozás, valamint a történelmi, statisztikai és tudományos kutatási célú feldolgozás tekintetében. Kiemelten fontos, hogy a Bizottság az előkészítő munka folyamán megfelelő egyeztetéseket folytasson, többek között szakértői szinten is. A felhatalmazáson alapuló jogi aktusok előkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történő egyidejű, időben és megfelelő módon történő eljuttatásáról.

(130) E rendelet egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni a gyermekek személyes adatainak feldolgozására vonatkozó egységes űrlapok; az érintettek jogainak gyakorlására vonatkozó egységes eljárások és űrlapok; az érintett tájékoztatására vonatkozó egységes formanyomtatványok és eljárások; a hozzáférési jogra és az adathordozási jogra vonatkozó egységes formanyomtatványok és eljárások; az adatkezelőnek a beépített és alapértelmezett adatvédelem és a dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok; az adatfeldolgozás biztonságára vonatkozó sajátos előírások; a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésére és a személyes adatok megsértésének érintettel való közlésére vonatkozó egységes formátumok és eljárások; az adatvédelmi hatásvizsgálat szabványai és eljárásai; az előzetes engedélyezésre és előzetes konzultációra szolgáló formanyomtatványok és eljárások; a tanúsítás technikai szabványai és mechanizmusai; a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlések; a kölcsönös segítségnyújtás; a közös műveletek; az egységességi mechanizmus keretében hozott határozatok tekintetében. Az említett hatásköröket a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i 182/2011/EU európai parlamenti és tanácsi rendeletnek[45] megfelelően kell gyakorolni. Ezzel összefüggésben a Bizottságnak sajátos intézkedések alkalmazását mérlegeli a mikro-, ki- és középvállalkozások tekintetében.

(131) Vizsgálóbizottsági eljárást kell alkalmazni a gyermekek hozzájárulására vonatkozó egységes formanyomtatványok; az érintettek jogainak gyakorlására vonatkozó különös egységes eljárások és formanyomtatványok, az érintett tájékoztatására szolgáló egységes formanyomtatványok; a hozzáférési jogra vonatkozó egységes formanyomtatványok és eljárások; az adathordozhatóság joga; az adatkezelő beépített és alapértelmezett adatvédelem és dokumentáció tekintetében fennálló felelősségére vonatkozó egységes formanyomtatványok és eljárások; az adatfeldolgozás biztonságára vonatkozó különös követelmények; a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésének egységes formanyomtatványa és eljárásai és a személyes adatok megsértésének érintettel való közlése; az adatvédelmi hatásvizsgálat követelményei és eljárásai; az előzetes engedélyezés és előzetes konzultáció formanyomtatványai és eljárásai; a tanúsítás műszaki követelményei és mechanizmusai; a harmadik ország, vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint; az uniós jog által nem engedélyezett közlés; a kölcsönös segítségnyújtás; a közös műveletek és az egységességi eljárás szerinti határozatok elfogadására, feltéve hogy az említett jogi aktusok általános hatállyal bírnak.

(132) A Bizottságnak azonnal alkalmazandó végrehajtási aktusokat kell elfogadnia az olyan kellően indokolt esetekben, amennyiben valamely harmadik ország, vagy annak régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít megfelelő védelmi szintet, továbbá a felügyelő hatóság által az egységességi mechanizmus keretében közölt tények esetében a rendkívüli sürgősség ezt megköveteli.

(133) Mivel e rendelet célkitűzéseit, vagyis az egyének megfelelő szintű védelmét, valamint az adatok Unión belüli szabad áramlását a tagállamok nem tudják kielégítően megvalósítani, és ezért azok – a fellépés léptéke vagy hatásai miatt – uniós szinten jobban megvalósíthatók, az Unió intézkedéseket fogadhat el az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően e rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

(134) E rendelet hatályon kívül helyezi a 95/46/EK irányelvet. Mindazonáltal a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyelő hatóságok által kiadott engedélyek továbbra is hatályban maradnak.

(135) E rendeletet kell alkalmazni a személyes adatok feldolgozása vonatkozásában az alapvető jogok és szabadságok védelmét érintő minden olyan esetben, amelyre nem vonatkoznak a 2002/58/EK irányelv céljával azonos célú sajátos kötelezettségek, ideértve az adatkezelő kötelezettségeit és az egyének jogait. Az e rendelet és a 2002/58/EK irányelv közötti kapcsolat egyértelművé tétele érdekében ez utóbbi irányelvet ennek megfelelően módosítani kell.

(136) Izland és Norvégia tekintetében e rendelet az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás[46] értelmében vett schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(137) Svájc tekintetében e rendelet az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás[47] értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(138) Liechtenstein tekintetében e rendelet az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség között a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról aláírt jegyzőkönyv[48] értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi, amennyiben a személyes adatok hatóságok általi feldolgozására e vívmányok végrehajtása érdekében kerül sor.

(139) Figyelemmel arra, hogy – amint az Európai Unió Bírósága hangsúlyozta – a személyes adatok védelme nem abszolút jog, hanem azt a társadalomban betöltött szerepe alapján kell vizsgálni, és az arányosság elvével összhangban egyensúlyba kell hozni más alapvető jogokkal, e rendelet tiszteletben tart minden alapvető jogot és betartja az Európai Unió Alapjogi Chartája által elismert, a Szerződésekben rögzített elveket, nevezetesen a magán- és a családi élet, valamint az otthon és a kapcsolattartás tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a gondolat-, lelkiismeret- és vallásszabadsághoz való jogot, a véleménynyilvánításhoz és a tájékoztatáshoz való jogot, a vállalkozás szabadságát, a kulturális, vallási és nyelvi sokféleséget és a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot, továbbá a kulturális, vallási és nyelvi sokféleséget.

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk Tárgy és célkitűzések

(1)          Ez a rendelet a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályokat állapítja meg.

(2)          E rendelet védi a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogot.

(3)          A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a személyes adatok feldolgozása vonatkozásában az egyének védelmével összefüggő okokból.

2. cikk Tárgyi hatály

(1)          E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon történő feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)          E rendelet nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

a)       az uniós jog hatályán kívül eső, így különösen a nemzetbiztonságot érintő tevékenységek során végzett adatfeldolgozás;

b)      az Unió intézményei, szervei, hivatalai és ügynökségei által végzett adatfeldolgozás;

c)      a tagállamok által az Európai Unióról szóló szerződés 2. fejezetének hatálya alá tartozó tevékenységek során végzett adatfeldolgozás;

d)      a természetes személy által haszonszerzési cél nélkül kizárólag saját személyes célra vagy háztartási tevékenysége keretében végzett adatfeldolgozás;

e)      az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett adatfeldolgozás.

(3)     E rendelet nem sérti a 2000/31/EK irányelv alkalmazását, különösen az irányelv 12–15. cikkébe foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat.

3. cikk Területi hatály

(1)          E rendeletet kell alkalmazni az Unióban letelepedett adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben végzett személyesadat-feldolgozásra.

(2)          E rendeletet kell alkalmazni a nem az Unióban letelepedett adatkezelő által végzett, az Unióban lakóhellyel rendelkező érintettek személyes adatainak feldolgozására, ha a feldolgozási tevékenységek

a)      termékek vagy szolgáltatások ilyen érintettek számára történő nyújtásához kapcsolódnak; vagy

b)      viselkedésük nyomon követéséhez kapcsolódnak.

(3)          E rendeletet kell alkalmazni a nem az Unióban, hanem olyan helyen letelepedett adatkezelő által végzett személyesadat-feldolgozásra, ahol a nemzetközi közjog értelmében valamely tagállam nemzeti joga alkalmazandó.

4. cikk Fogalommeghatározások

E rendelet alkalmazásában:

(1) „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy;

(2) „személyes adat”: az érintettre vonatkozó bármely információ;

(3) „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

(4) „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;

(5) „adatkezelő”: az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; ha a célokat, feltételeket és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki;

(6) „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

(7) „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják;

(8) „az érintett hozzájárulása”: az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok feldolgozásához;

(9) „személyes adatok megsértése”: a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

(10) „genetikai adat”: az egyén jellemzőire vonatkozó bármely olyan adat, amelyet a születés előtti korai fejlődés során örökölt vagy szerzett;

(11) „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzőjére vonatkozó adat, amely lehetővé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

(12) „egészségügyi adat”: minden olyan adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik;

(13) „fő szervezet”: az adatkezelő vonatkozásában a letelepedés azon helye az Unióban, ahol a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket meghozzák; amennyiben a személyes adatok feldolgozásának céljaira, feltételeire és módjaira vonatkozó fő döntéseket nem az Unióban hozzák meg, a fő szervezet az a hely, ahol az Unióban létrehozott adatkezelő tevékenységeivel összefüggésben a fő feldolgozási tevékenységeket végzik. A feldolgozó vonatkozásában a „fő szervezet” a központi ügyvezetés helye az Unióban;

(14) „képviselő”: az az Unióban letelepedett természetes vagy jogi személy, aki, illetve amely az adatkezelő kifejezett szándékának megfelelően tevékenykedik, és akit, illetve amelyet az adatkezelőre e rendelet értelmében háruló kötelezettségek vonatkozásában a felügyelő hatóság vagy az Unió más szerve az adatkezelő helyett megkeres;

(15) „vállalkozás”: gazdasági tevékenységet folytató jogalany, függetlenül a jogi formájától, ideértve különösen a rendszeres gazdasági tevékenységet folytató természetes és jogi személyeket, partnerségeket és egyesületeket;

(16) „vállalkozáscsoport”: az ellenőrző vállalkozás és az ellenőrzése alatt álló vállalkozások;

(17) „kötelező erejű vállalati szabályok”: az Unió valamelyik tagállamában letelepedett adatkezelő vagy feldolgozó által kidolgozott személyesadat-védelmi politikák a személyes adatok adatkezelő vagy feldolgozó részére, vállalkozáscsoporton belüli, egy vagy több harmadik államba történő továbbítása vagy továbbítássorozata tekintetében;

(18) „gyermek”: bármely 18 évesnél fiatalabb személy;

(19) „felügyelő hatóság”: a tagállam által a 46. cikk értelmében létrehozott hatóság.

II. FEJEZET

ALAPELVEK

5. cikk A személyes adatok feldolgozására vonatkozó alapelvek

A személyes adatok:

a)      feldolgozását jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;

b)      gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal ellentétesen;

c)      megfelelőek, relevánsak, és nem haladják meg a feldolgozás céljához szükséges legkisebb mértéket, és csak akkor és addig dolgozhatók fel, amikor és ameddig e célok nem érhetők el olyan információ feldolgozásával, amely nem vonatkozik személyes adatokra;

d)      pontosak és naprakész állapotban kell azokat tartani; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, tekintettel feldolgozásuk céljaira, haladéktalanul törlésre vagy helyesbítésre kerüljenek;

e)      tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok további tárolására csak annyiban kerülhet sor, amennyiben az adatokat kizárólag történelmi, statisztikai vagy tudományos kutatási célból, a 83. cikk szerinti szabályokkal és feltételekkel összhangban dolgozzák fel, és amennyiben időszakos felülvizsgálatot végeznek a tárolás további szükségességének vizsgálata érdekében;

f)       feldolgozása az adatkezelő felelősségére történik, akinek minden feldolgozási művelet tekintetében biztosítania és igazolnia kell az e rendelet rendelkezéseivel való összhangot.

6. cikk Az adatfeldolgozás jogszerűsége

(1)          A személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az alábbiak valamelyike teljesül:

a)      az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő feldolgozásához;

b)      az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)      az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)      az adatfeldolgozás az érintett létfontosságú érdekének védelme miatt szükséges;

e)      az adatfeldolgozás közérdekű feladat végrehajtásához vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásához szükséges;

f)       az adatfeldolgozás az adatkezelő jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ez nem alkalmazható a hatóságok által feladataik ellátása során végzett feldolgozásra.

(2)          A személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozása a 83. cikk szerinti feltételek és biztosítékok fennállása esetében jogszerű.

(3)          Az (1) bekezdés c) és e) pontja szerinti adatfeldolgozás alapjáról:

a)      uniós jogszabályban vagy

b)       az adatkezelőre irányadó tagállami jogszabályban kell rendelkezni.

A tagállami jogszabálynak közérdekű célt vagy mások jogainak és szabadságának védelmét kell szolgálnia, tiszteletben kell tartania a személyes adatok védelméhez való jog lényegét, és arányosnak kell lennie a kitűzött jogszerű céllal.

(4)          Amennyiben a további feldolgozás célja nem egyeztethető össze a személyes adatok gyűjtésének céljával, a feldolgozás jogalapjának mindenképpen az (1) bekezdés a)‑e) pontja valamelyikének kell lennie. Ez különösen az általános szerződési feltételek módosítására alkalmazandó.

(5)          A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés f) pontja szerinti különös ágazatokra és adatfeldolgozási helyzetekre ‑ beleértve a gyermekekre vonatkozó személyes adatok feldolgozását ‑ vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

7. cikk A hozzájárulás feltételei

(1)          Az adatkezelőre hárul annak bizonyítása, hogy az érintett hozzájárult személyes adatainak konkrét célokból történő feldolgozásához.

(2)          Amennyiben az érintett hozzájárulását valamely más ügyre is vonatkozó írásos nyilatkozattal összefüggésben kell megadni, a hozzájárulás kérésének megjelenésében megkülönböztethetőnek kell lennie ettől a más ügytől.

(3)          Az érintett bármikor visszavonhatja hozzájárulását. A hozzájárulás visszavonása nem érinti a visszavonás előtti hozzájáruláson alapuló feldolgozás jogszerűségét.

(4)          A hozzájárulás nem teremt jogalapot a feldolgozásra, ha jelentős egyenlőtlenség áll fenn az érintett és az adatkezelő helyzete között.

8. cikk Gyermekek személyes adatainak feldolgozása

(1)          E rendelet alkalmazásában, a közvetlenül gyermekeknek nyújtott információs társadalommal összefüggő szolgáltatásokkal összefüggésben a 13 év alatti gyermekek személyes adatainak feldolgozása csak akkor és olyan mértékben jogszerű, ha a gyermek szülője vagy gyámja ahhoz hozzájárult vagy engedélyezte. Az adatkezelő ésszerű erőfeszítéseket tesz, hogy ellenőrizhető hozzájárulást szerezzen be, figyelemmel az elérhető technológiára.

(2)          Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, mint például a gyermekkel kapcsolatos szerződés érvényességére, formájára vagy hatályára vonatkozó szabályokat.

(3)          A Bizottság a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadhat el annak érdekében, hogy részletesen meghatározza az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésének módszereire vonatkozó szempontokat és előírásokat. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében.

(4)          A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdésben szereplő ellenőrizhető hozzájárulás beszerzésére vonatkozó sajátos módszerek esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

9. cikk A személyes adatok különleges kategóriáinak feldolgozása

(1)          Tilos a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, az egészségügyi adatok vagy a szexuális életre, büntetőítéletekre, illetve az ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok feldolgozása.

(2)          Az (1) bekezdés nem alkalmazható abban az esetben, ha:

a)      az érintett a 7. és 8. cikk szerinti feltételeknek megfelelően hozzájárulását adta az említett személyes adatok feldolgozásához, kivéve, ha az uniós vagy nemzeti jog úgy rendelkezik, hogy az érintett nem mentesíthet az (1) bekezdésben említett tilalom alól; vagy

b)      az adatfeldolgozás az adatkezelő különös kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben a megfelelő biztosítékokról rendelkező uniós vagy nemzeti jogszabályok ezt lehetővé teszik; vagy

c)      az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, amennyiben az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni; vagy

d)      az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szervezet céljainak megfelelően, és az adatok nem adhatók ki az érintettek hozzájárulása nélkül; vagy

e)      az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott; vagy

f)       az adatfeldolgozás olyan személyes adatokra vonatkozik, amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek; vagy

g)      az adatfeldolgozás közérdekű feladat ellátásához szükséges olyan uniós jogszabály vagy nemzeti jogszabály alapján, amely az érintett jogos érdekeinek biztosítására megfelelő intézkedéseket ír elő; vagy

h)      az egészségügyi adatok feldolgozása egészségügyi célból szükséges, a 81. cikk szerinti feltételek és biztosítékok mellett; vagy

i)       az adatfeldolgozás történelmi, statisztikai, vagy tudományos kutatási célból szükséges, a 83. cikk szerinti feltételek és biztosítékok mellett; vagy

j)       a büntetőítéletekre vagy kapcsolódó biztonsági intézkedésekre vonatkozó adatok feldolgozása vagy a hatóság ellenőrzése mellett történik, vagy ha az adatfeldolgozásra olyan jogszabályi vagy szabályozási kötelezettségnek való megfelelés érdekében kerül sor, amelynek az adatfeldolgozó a hatálya alá tartozik, illetve fontos közérdek miatt végzett feladat teljesítése érdekében, amennyiben azt megfelelő biztosítékokat nyújtó uniós vagy tagállami jogszabály teszi lehetővé. A büntetőítéletekről csak a hatóság ellenőrzésével vezethető teljes körű nyilvántartás.

(3)          A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) bekezdés szerinti különleges kategóriáinak feldolgozására és a (2) bekezdésben meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

10. cikk Az azonosítást lehetővé nem tevő adatfeldolgozás

Amennyiben az adatkezelő által feldolgozott adatok nem teszik lehetővé az adatkezelő számára, hogy azonosítson egy természetes személyt, az adatkezelő nem köteles kiegészítő információkat beszerezni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendelet valamelyik rendelkezésének.

III. FEJEZET

AZ ÉRINTETT JOGAI

1. SZAKASZ ÁTLÁTHATÓSÁG ÉS SZABÁLYOZÁS

11. cikk Átlátható tájékoztatás és kommunikáció

(1)          Az adatkezelőnek a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében átlátható és könnyen hozzáférhető politikákkal kell rendelkeznie.

(2)          Az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést, különösen a kifejezetten gyermekeknek szóló tájékoztatást, az érintett részére érthető formában, az érintett befogadóképességének megfelelő, világos és közérthető nyelven nyújtja.

12. cikk Az érintett jogainak gyakorlására vonatkozó eljárások és mechanizmusok

(1)          Az adatkezelő kialakítja a 14. cikk szerinti tájékoztatáshoz, valamint az érintettek 13. cikkben és 15–19. cikkben említett jogainak gyakorlásához szükséges eljárásokat. Az adatkezelő különösen a 13. cikkben és a 15–19. cikkben említett tevékenységek iránti kérelmek megkönnyítésére szolgáló mechanizmusokat biztosítja. Amennyiben a személyes adatokat automatizált módon dolgozzák fel, az adatkezelő biztosítja továbbá a kérelmek elektronikus úton történő benyújtásának lehetőségét is.

(2)          Az adatkezelő késedelem nélkül és legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet arról, hogy történt-e a 13. cikk és a 15–19. cikk szerinti intézkedés, valamint szolgáltatja a kért információt. E határidő egy hónappal meghosszabbítható, ha több érintett gyakorolja jogait, és együttműködésük ésszerű mértékben szükséges az adatkezelő szükségtelen és aránytalan törekvésének megakadályozása szempontjából. Ezt a tájékoztatást írásban kell nyújtani. Amennyiben az érintett elektronikus formában nyújtotta be a kérelmet, az értesítést elektronikus formában kell közölni, kivéve, ha az érintett eltérően igényli.

(3)          Amennyiben az adatkezelő megtagadja, hogy az érintett kérelme nyomán intézkedéseket hozzon, tájékoztatja az érintettet az elutasítás okairól, valamint a felügyelő hatósághoz címzett panasz és a bírósági jogorvoslati kérelem lehetőségéről.

(4)          Az (1) bekezdés szerinti tájékoztatás és a kérelemre tett intézkedések térítésmentesek. Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, az adatkezelő díjat számíthat fel a tájékoztatásért vagy a kért intézkedés megtételéért, vagy visszautasíthatja a kért intézkedés megtételét. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen túlzó jellegének bizonyítása .

(5)          A Bizottság felhatalmazást kap arra, hogy a (4) bekezdés szerinti egyértelműen túlzó kérelmekre és díjakra vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)          A Bizottság egységes formanyomtatványokat és eljárásokat határozhat meg a (2) bekezdésben említett értesítés esetében, ideértve az elektronikus formátum megállapítását is. Ennek során a Bizottság megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

13. cikk A címzettekhez kapcsolódó jogok

Az adatkezelő minden olyan címzettet tájékoztat a 16. és 17. cikk értelmében végzett valamennyi törlésről vagy zárolásról, akivel/amellyel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

2. SZAKASZ TÁJÉKOZTATÁS ÉS AZ ADATOKHOZ VALÓ HOZZÁFÉRÉS

14. cikk Az érintett tájékoztatása

(1)          Az érintettre vonatkozó személyes adatok gyűjtése során az adatkezelőnek legalább az alábbiakról tájékoztatnia kell az érintettet:

a)      az adatkezelő, és – ha van ilyen – az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a személyazonossága és részletes elérhetősége;

b)      az adatfeldolgozás céljai, amelyekre a személyes adatok szolgálnak, beleértve a szerződési feltételeket és az általános feltételeket a 6. cikk (1) bekezdésének b) pontja szerinti feldolgozás esetén, és az adatkezelő jogos érdekeit a 6. cikk (1) bekezdésének f) pontja szerinti feldolgozás esetén;

c)      a személyes adatok tárolásának időtartama;

d)      azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokba való betekintést, azok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását;

e)      a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

f)       a személyes adatok címzettjei, illetve a címzettek kategóriái;

g)      az adatkezelő harmadik országba vagy nemzetközi szervezet részére történő adattovábbítási szándéka esetén az e harmadik ország vagy nemzetközi szervezet által biztosított védelem szintje, a Bizottság megfelelőségi határozatára való hivatkozás mellett;

h)      az érintett vonatkozásában a tisztességes feldolgozás biztosításához szükséges minden további tájékoztatás, tekintettel a személyes adatok gyűjtésének különös körülményeire.

(2)          Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy önkéntes jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről.

(3)          Amennyiben a személyes adatot nem az érintettől szerezte be, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet arról, hogy milyen forrásból származnak a személyes adatok.

(4)          Az adatkezelő az (1), (2) és (3) bekezdés szerinti tájékoztatást akkor nyújtja:

a)      amikor a személyes adatot az érintettől beszerzi, vagy

b)      ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés vagy -feldolgozás különös körülményeire tekintettel az adatgyűjtést követő ésszerű időtartamon belül, illetve, ha az adatokat más címzetthez kívánják továbbítani, legkésőbb az adatok első közlésekor.

(5)          Az (1)–(4) bekezdés nem alkalmazható, ha:

a)      az érintett már rendelkezik az (1), (2) és (3) bekezdés szerinti információkkal; vagy

b)      az adatot nem az érintettől szerezték be, és a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel; vagy

c)      az adatot nem az érintettől szerezték be, és a rögzítést vagy a közlést jogszabály kifejezetten előírja; vagy

d)      az adatot nem az érintettől szerezték be, és az ilyen tájékoztatás nyújtása sérti másoknak az uniós jogban vagy a tagállam jogában a 21. cikkel összhangban meghatározott jogait és szabadságait.

(6)          Az (5) bekezdés b) pontja szerinti esetben az adatkezelő megteszi a megfelelő intézkedéseket az érintett jogos érdekeinek védelme érdekében.

(7)          A Bizottság felhatalmazást kap arra, hogy az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el: az (1) bekezdés f) pontja szerinti címzettek kategóriáira vonatkozó feltételek, az (1) bekezdés g) pontja szerinti esetleges adattovábbításról szóló értesítésre vonatkozó követelmények, a különös ágazatok és helyzetek esetében az (1) bekezdés h) pontja szerint szükséges további tájékoztatásra vonatkozó feltételek, valamint az (5) bekezdés b) pontjában meghatározott kivételekre vonatkozó feltételek és megfelelő biztosítékok. Ennek során a Bizottság mérlegeli megfelelő intézkedéseket tesz a mikro-, kis- és középvállalkozások tekintetében.

(8)          A Bizottság a különböző ágazatok és adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel – szükség esetén – egységes formanyomtatványokat határozhat meg az (1)–(3) bekezdés szerinti tájékoztatásnyújtás esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

15. cikk Az érintett hozzáférési joga

(1)          Az érintett erre irányuló kérelem benyújtásával jogosult az adatkezelőtől bármikor megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e. Az ilyen személyes adatok feldolgozása esetén az adatkezelő az alábbiakról nyújt tájékoztatást:

a)      az adatfeldolgozás céljai;

b)      az érintett személyesadat-kategóriák;

c)      a címzettek vagy a címzettek kategóriái, akik számára az adatokat ki kívánják adni vagy kiadták, ideértve különösen a harmadik országokbeli címzetteket;

d)      a személyes adatok tárolásának időtartama;

e)      azon jog megléte, hogy az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését vagy törlését, vagy kifogásolhatja az ilyen személyes adatok feldolgozását;

f)       a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

g)      értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról;

h)      az ilyen feldolgozás jelentősége és várható következményei, legalább a 20. cikkben említett intézkedések esetében.

(2)          Az érintettnek joga van az adatkezelőtől a feldolgozás alatt álló személyes adatok közlését kérni. Amennyiben az érintett a kérést elektronikus formában terjeszti elő, az információt elektronikus formában kell megadni, kivéve, ha az érintett eltérően igényli.

(3)          A Bizottság felhatalmazást kap arra, hogy a 86. cikkel összhangban az érintettnek a személyes adatok tartalmáról szóló, az (1) bekezdés g) pontja szerinti értesítésére vonatkozó feltételek és követelmények további meghatározása érdekében felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)          A Bizottság a különböző ágazatok adatfeldolgozási helyzetek sajátos jellegére és szükségleteire tekintettel egységes formanyomtatványokat és eljárásokat határozhat meg az (1) bekezdés szerinti tájékoztatás-kérés és nyújtás esetében, beleértve az érintett személyazonosságának ellenőrzését és a személyes adatok érintettel való közlését. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

HELYESBÍTÉS ÉS TÖRLÉS

16. cikk A helyesbítési jog

Az érintett jogosult az adatkezelőtől a rá vonatkozó pontatlan személyes adatok helyesbítését kérni. Az érintett jogosult a hiányos személyes adatok kiegészítését kérni, ideértve a helyesbítő nyilatkozat igénybevételét.

17. cikk A személyes adatok tárolásának megszüntetéséhez és a törléshez való jog

(1)          Az érintett kérheti az adatkezelőtől a rá vonatkozó személyes adatok törlését, valamint az ilyen adatok további terjesztésétől való tartózkodást, különösen az érintett által gyermekkorában elérhetővé tett személyes adatok vonatkozásában, ha:

a)      az adatokra már nincs szükség az adatgyűjtés vagy más módon történő feldolgozás céljából; vagy

b)      az érintett visszavonta a 6. cikk (1) bekezdésének a) pontja értelmében a feldolgozás alapját képező hozzájárulását, vagy lejárt az engedélyezett adattárolási időtartam, vagy a személyes adatok feldolgozásának nincs más jogalapja; vagy

c)      az érintett a 19. cikk értelmében kifogásolja a személyes adatok feldolgozását; vagy

d)      az adatfeldolgozás egyéb okokból nem áll összhangban e rendelettel.

(2)          Amennyiben az (1) bekezdés szerinti adatkezelő nyilvánosságra hozza a személyes adatokat, a technikai intézkedéseket is beleértve megtesz minden ésszerű lépést, hogy – azon adatok vonatkozásában, amelyek nyilvánosságra hozatala az adatkezelő felelősségi körébe tartozik – értesítse az ilyen adatokat feldolgozó harmadik felet arról, hogy az érintett kérte a személyes adat bármely nyilvános internetes linkjének, másolatának vagy másodpéldányának törlését. Amennyiben az adatkezelő harmadik felet hatalmazott fel a személyes adatok nyilvánosságra hozatalára, az adatkezelő felelősséggel tartozik e nyilvánosságra hozatalért.

(3)          Az adatkezelő késedelem nélkül elvégzi a törlést, kivéve, amennyiben a személyes adat megőrzése az alábbi okokból szükséges:

a)      a 80. cikkel összhangban a véleménynyilvánítás szabadságának gyakorlása;

b)      a 81. cikkel összhangban a népegészség területén közérdekből;

c)      a 83. cikkel összhangban álló történelmi, statisztikai vagy tudományos célú kutatási célok;

d)      az adatkezelőre vonatkozó uniós vagy nemzeti jogszabályba foglalt, a személyes adat megőrzésére vonatkozó jogi kötelezettség; a nemzeti jogszabályok közérdekű célt szolgálnak, tiszteletben tartják a személyes adatok védelméhez való jogot, és arányosak a kitűzött jogszerű céllal;

e)      a (4) bekezdés szerinti esetekben.

(4)          Az adatkezelő a személyes adatok törlése helyett korlátozza azok feldolgozását, ha:

a)      az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát;

b)      az adatkezelőnek feladata ellátásához már nincs szüksége a személyes adatokra, de bizonyítási célból meg kell tartania az adatokat;

c)      a feldolgozás jogellenes, és az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri;

d)      az érintett a 18. cikk (2) bekezdése értelmében kéri a személyes adatok más automatizált feldolgozó rendszerbe történő továbbítását.

(5)          A (4) bekezdés szerinti személyes adatok a tárolás kivételével csak bizonyítás céljára vagy az érintett hozzájárulásával vagy más természetes vagy jogi személy jogainak védelme, illetve közérdekű cél érdekében dolgozhatók fel.

(6)          Amennyiben a személyes adatok feldolgozása a (4) bekezdés értelmében korlátozott, az adatkezelő a feldolgozás korlátozásának feloldása előtt tájékoztatja az érintettet.

(7)          Az adatkezelő olyan mechanizmusokat vezet be, amelyek biztosítják a személyes adatok törlésére és/vagy az adattárolás szükségességének időszakos felülvizsgálatára meghatározott határidő tiszteletben tartását.

(8)          A törlést követően az adatkezelő a továbbiakban nem dolgozhat fel más módon ilyen személyes adatokat.

(9)          A Bizottság felhatalmazást kap arra, hogy az alábbiak további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el:

a)      konkrét ágazatok és különleges adatfeldolgozási helyzetek esetében az (1) bekezdés alkalmazására vonatkozó feltételek;

b)      a személyes adat linkje, másolata vagy másodpéldánya nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő – (2) bekezdésben említett – törlésének feltételei;

c)      a személyesadat-feldolgozás (4) bekezdésben említett korlátozására vonatkozó szempontok és feltételek.

18. cikk Az adathordozhatósághoz való jog

(1)          A személyes adatok strukturált és széles körben használt formátumban történő elektronikus feldolgozása esetén az érintettnek joga van arra, hogy kérje az adatkezelőtől a feldolgozás alatt álló adatok széles körben használt elektronikus és strukturált formátumú másolatát, amely lehetővé teszi az érintett általi további használatot.

(2)          Amennyiben a személyes adatokat az érintett bocsátotta rendelkezésre, és a feldolgozás hozzájáruláson vagy szerződésen alapul, az érintett jogosult arra, hogy ezeket a személyes adatokat és az érintett által rendelkezésre bocsátott, automatizált feldolgozó rendszerben tárolt bármely egyéb információt széles körben használt elektronikus formátumban egy másik rendszerbe továbbítson, anélkül hogy akadályozná a személyes adatok visszavonásával érintett adatkezelőt.

(3)          A Bizottság meghatározhatja az (1) bekezdés szerinti elektronikus formátumot, valamint a személyes adatok (2) bekezdés szerinti továbbításához használt technikai szabványokat, módokat és eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

4. SZAKASZ

A KIFOGÁSOLÁSHOZ VALÓ JOG ÉS PROFILALKOTÁS

19. cikk A kifogásoláshoz való jog

(1)          Az érintett egyedi helyzetével kapcsolatos indokok alapján bármikor kifogásolhatja személyes adatainak a 6. cikk (1) bekezdésének d), e) és f) pontján alapuló feldolgozását, kivéve, ha az adatkezelő igazolja, hogy a feldolgozást olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.

(2)          Ha a személyes adatokat közvetlen üzletszerzés érdekében dolgozzák fel, az érintett térítésmentesen kifogásolhatja személyes adatainak ilyen üzletszerzés érdekében való feldolgozását. E jogra kifejezetten, érthető módon fel kell hívni az érintett figyelmét, és a felhívásnak egyértelműen megkülönböztethetőnek kell lennie minden más információtól.

(3)          Az (1) és (2) bekezdés szerinti kifogásolás esetében az adatkezelő a továbbiakban nem használhatja vagy dolgozhatja fel más módon az érintett személyes adatokat.

20. cikk Profilalkotáson alapuló intézkedések

(1)          Minden természetes személynek joga van ahhoz, hogy ne terjedhessen ki rá olyan intézkedés hatálya, amely e természetes személyre nézve jogi hatással járna, vagy őt jelentős mértékben érintené, és amely kizárólag automatizált feldolgozáson alapul, és amelynek célja a természetes személyre vonatkozó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy előrejelzése.

(2)          E rendelet egyéb rendelkezéseire figyelemmel, valamely személyre csak abban az esetben vonatkozhat az (1) bekezdés szerinti intézkedés, ha a feldolgozást:

a)      valamely szerződés megkötése vagy teljesítése során végzik, ha a szerződés érintett kérelmére történő megkötése vagy teljesítése teljesül, vagy ha biztosítják az érintett jogos érdekeinek biztosítására alkalmas intézkedéseket, például az emberi beavatkozás kérésére vonatkozó jogot; vagy

b)      olyan uniós vagy nemzeti jogszabály írja elő kifejezetten, amely rendelkezik az érintett jogos érdekeinek biztosítására alkalmas intézkedésekről is; vagy

c)      az érintett hozzájárulása alapján végzik, a 7. cikkben megállapított feltételek és a megfelelő biztosítékok mellett.

(3)          A valamely természetes személlyel kapcsolatos egyes személyes szempontok értékelését célzó automatizált személyesadat-feldolgozás nem alapulhat kizárólag a személyes adatok 9. cikkben említett különleges kategóriáin.

(4)          A (2) bekezdésben említett esetekben az adatkezelő által a 14. cikk alapján nyújtandó tájékoztatás felöleli az (1) bekezdés szerinti intézkedés céljából történő feldolgozás megvalósulására, és az ilyen feldolgozásnak az érintett tekintetében várható hatásaira vonatkozó információkat.

(5)          A Bizottság felhatalmazást kap arra, hogy az érintett (2) bekezdés szerinti jogos érdekeinek biztosítására alkalmas intézkedésekre vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

5. SZAKASZ

KORLÁTOZÁSOK

21. cikk Korlátozások

(1)          Az uniós vagy a tagállami jog jogszabályi intézkedések útján korlátozhatja az 5. cikk a)–e) pontjában, valamint a 11–20. cikkben és a 32. cikkben foglalt jogok és kötelezettségek körét, amennyiben e korlátozás az alábbiak biztosításához szükséges és arányos intézkedésnek minősül a demokratikus társadalomban:

a)      közbiztonság;

b)      bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás lefolytatása;

c)      az Unió vagy a tagállam egyéb közérdeke, különösen az Unió vagy a tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, valamint a piac stabilitásának és integritásának védelmét;

d)      a szabályozott foglalkozások esetében az etikai vétségek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

e)      az a), b) c) és d) pontban említett esetekben – akár alkalmanként – a közhatalom gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;

f)       az érintett, vagy mások jogainak és szabadságainak védelme.

(2)          Az (1) bekezdésben említett jogszabályi intézkedések részletes rendelkezéseket tartalmaznak legalább az adatfeldolgozással elérni kívánt célok és az adatkezelő meghatározása tekintetében.

IV. FEJEZET

AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1. SZAKASZ

ÁLTALÁNOS KÖTELEZETTSÉGEK

22. cikk Az adatkezelő felelőssége

(1)          Az adatkezelő elfogadja azokat a politikákat és végrehajtja azokat a megfelelő intézkedéseket, amelyekkel biztosítja és igazolni tudja azt, hogy a személyes adatok feldolgozása e rendelettel összhangban történik.

(2)          Az (1) bekezdés szerinti intézkedések különösen a következőket tartalmazzák:

a)      a 28. cikk szerinti dokumentáció vezetése;

b)      a 30. cikkben rögzített adatvédelmi követelmények érvényesítése;

c)      a 33. cikk szerinti adatvédelmi hatásvizsgálat lefolytatása;

d)      a 34. cikk (1) és (2) bekezdése értelmében a felügyelő hatóság előzetes engedélyezéséhez vagy előzetes konzultációhoz szükséges feltételek teljesítése;

e)      a 35. cikk (1) bekezdése szerinti adatvédelmi tisztviselő kijelölése.

(1)          Az adatkezelő végrehajtja az (1) és (2) bekezdésben említett intézkedések hatékonyságának felülvizsgálatához szükséges mechanizmusokat. Amennyiben ez arányos, a felülvizsgálatot független belső vagy külső ellenőr végzi.

(2)          A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti – a (2) bekezdésben már említettektől eltérő – megfelelő intézkedésekre, a (3) bekezdésben említett felülvizsgálati és ellenőrzési mechanizmusok feltételeire, valamint a (3) bekezdés szerinti arányossági szempontokra vonatkozó további feltételek és követelmények meghatározása érdekében, továbbá különösen a mikro-, kis- és középvállalkozásokra vonatkozó különös intézkedések mérlegelése mellett a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

23. cikk Beépített és alapértelmezett adatvédelem

(1)          Az adatkezelő – a technika állására és végrehajtás költségeire tekintettel – mind az adatfeldolgozás módjának meghatározása, mind a feldolgozás során megfelelő technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen e rendelet követelményeinek, és biztosítsa az érintettek jogainak védelmét.

(2)          Az adatkezelőnek olyan mechanizmusokat kell végrehajtania, amelyek alapértelmezett módon biztosítják azt, hogy kizárólag a feldolgozás egyes konkrét céljaihoz szükséges személyes adatok kerülnek feldolgozásra, és különösen azt, hogy az adatgyűjtés vagy -tárolás során az adatok mennyisége és az adattárolási időtartam tekintetében sem lépik túl az e célokhoz szükséges legkisebb mértéket . Ezeknek a mechanizmusoknak különösen azt kell biztosítaniuk, hogy a személyes adatok alapértelmezett módon ne váljanak határozatlan számú egyén számára hozzáférhetővé.

(3)          A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti megfelelő intézkedésekre és mechanizmusokra, különösen az ágazatokhoz, termékekhez és szolgáltatásokhoz kapcsolódó beépített adatvédelmi követelményekre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)          A Bizottság az (1) és (2) bekezdésben rögzített követelményekre vonatkozó egységes technikai előírásokat állapíthat meg. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

24. cikk Közös adatkezelők

Amennyiben az adatkezelő másokkal együtt határozza meg a személyes adatok feldolgozásának céljait, feltételeit és módját, a közös adatkezelők egymás között megállapodásban szabályozzák az e rendelet szerinti kötelezettségeknek való megfeleléssel kapcsolatos felelősségüket, különösen az érintett jogainak gyakorlásának vonatkozó eljárások és mechanizmusok tekintetében.

25. cikk A nem az Unió területén letelepedett adatkezelők képviselői

(1)          A 3. cikk (2) bekezdése szerinti helyzetben az adatkezelő uniós képviselőt jelöl ki.

(2)          E kötelezettséget nem kell alkalmazni:

a)      a harmadik országban letelepedett adatkezelőre, ha a Bizottság úgy határozott, hogy a harmadik ország a 41. cikk értelmében megfelelő védelmi szintet biztosít; vagy

b)      a 250 főnél kevesebb főt foglalkoztató vállalkozásra; vagy

c)      állami hatóságra vagy szervre; vagy

d)       az Unióban lakóhellyel rendelkező érintetteknek csak alkalmi jelleggel termékeket és szolgáltatásokat kínáló adatkezelőre.

(3)          A képviselőnek azon tagállamok egyikében kell székhellyel/lakóhellyel rendelkeznie, ahol azon érintettek lakóhelye található, akiknek a személyes adatait feldolgozzák a termékek vagy szolgáltatások nyújtása keretében, vagy akiknek a viselkedését nyomon követik.

(4)          A képviselő adatkezelő általi kijelölése nem érinti a magával az adatkezelővel szembeni keresetindításhoz való jogot.

26. cikk Az adatfeldolgozó

(1)          Az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelő technikai és szervezési intézkedések és eljárások tekintetében kellő garanciákat nyújt oly módon, hogy a feldolgozás megfelel e rendelet követelményeinek, és biztosítja az érintett jogainak védelmét, különösen az elvégzendő feldolgozást szabályozó technikai biztonsági és szervezési intézkedések tekintetében, továbbá köteles biztosítani az említett intézkedések teljesítését.

(2)          Az adatfeldolgozó által történő adatfeldolgozást olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában különösen megköveteli, hogy az:

a)      kizárólag az adatkezelő utasítása alapján járjon el, különösen, ha tilos a felhasznált személyes adatok továbbítása;

b)      csak olyan személyeket alkalmazzon, akik titoktartási kötelezettséget vállaltak, vagy törvényes titoktartási kötelezettség alatt állnak;

c)      megtegye a 30. cikk szerinti összes szükséges intézkedést;

d)      másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe;

e)      amennyiben az adatfeldolgozás jellegére tekintettel lehetséges, az adatkezelővel kötött megállapodásban határozza meg az érintett III. fejezet szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolására irányuló adatkezelői kötelezettség teljesítéséhez szükséges technikai és szervezési követelményeket;

f)       támogassa az adatkezelőt a 30–34. cikk szerinti kötelezettségek teljesítésében;

g)      az adatfeldolgozást követően adja át az összes eredményt az adatkezelőnek, és a személyes adatokat más módon ne dolgozza fel;

h)      az e cikkben meghatározott kötelezettségek teljesítésének ellenőrzéséhez szükséges minden tájékoztatást tegyen elérhetővé az adatkezelő és a felügyelő hatóság számára.

(3)          Az adatkezelő és az adatfeldolgozó írásba foglalja az adatkezelő utasításait és az adatfeldolgozó (2) bekezdés szerinti kötelezettségeit.

(4)          Amennyiben valamely adatfeldolgozó az adatkezelő utasításaitól eltérő módon dolgozza fel a személyes adatokat, az adatfeldolgozó e feldolgozás tekintetében adatkezelőnek minősül, és rá a közös adatkezelőkre vonatkozó, a 24. cikkben rögzített szabályokat kell alkalmazni.

(5)          A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti adatfeldolgozó felelősségére, kötelezettségeire és feladataira és a személyes adatoknak a vállalkozáscsoporton belül történő feldolgozásának megkönnyítésére, különösen az ellenőrzésre és jelentéstételre vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

27. cikk Az adatkezelő és az adatfeldolgozó felügyelete mellett végzett feldolgozás

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó felügyelete alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt az uniós vagy nemzeti jog kötelezi.

28. cikk Dokumentáció

(1)          Valamennyi adatkezelő és –feldolgozó, valamint – ha van ilyen – az adatkezelő képviselője dokumentálja a feladatkörébe tartozó összes feldolgozási műveletet.

(2)          A dokumentáció legalább az alábbi információt tartalmazza:

a)      az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó és – ha van ilyen – a képviselő neve és elérhetősége;

b)      az adatvédelmi tisztviselő neve és elérhetősége, ha van ilyen;

c)      az adatfeldolgozás céljai, beleértve az adatkezelő jogos érdekeit, amennyiben a feldolgozás a 6. cikk (1) bekezdésének f) pontján alapul;

d)      az érintettek kategóriáinak, valamint a rájuk vonatkozó személyes adatok kategóriáinak ismertetése;

e)      a személyes adatok címzettjei vagy címzetti kategóriái, beleértve a jogos érdekre hivatkozással a személyes adatokat megszerző adatkezelőket;

f)       adott esetben az adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország és a nemzetközi szervezet azonosítását, valamint a 44. cikk (1) bekezdésének h) pontja szerinti esetekben a megfelelő biztosítékok igazolását;

g)      a különböző adatkategóriák törlésére vonatkozó határidők általános meghatározása;

h)      a 22. cikk (3) bekezdésében említett mechanizmusok leírása.

(3)          Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kérelemre a felügyelő hatóság rendelkezésére bocsátja a dokumentációt.

(4)          Az (1) és (2) bekezdésben szereplő kötelezettségek nem vonatkoznak az alábbi adatkezelőkre és adatfeldolgozókra:

a)       kereskedelmi érdek nélkül személyes adatokat feldolgozó természetes személyek; vagy

b)       a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő tevékenységként dolgoz fel.

(5)          A Bizottság felhatalmazást kap arra, hogy – különösen az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselőjének feladataira tekintettel – az (1) bekezdés szerinti dokumentációra vonatkozó szempontok és követelmények további meghatározása érdekében, a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)          A Bizottság egységes formanyomtatványokat határozhat meg az (1) bekezdés szerinti dokumentáció esetében. E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

29. cikk Együttműködés a felügyelő hatósággal

(1)          Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő képviselője kötelezettségei teljesítése során – kérelemre – együttműködik a felügyelő hatósággal különösen azáltal, hogy rendelkezésre bocsátja az 53. cikk (2) bekezdésének a) pontja szerinti információt, és hozzáférést biztosít az említett bekezdés b) pontjának megfelelően.

(2)          A felügyelő hatóság 53. cikk (2) bekezdése szerinti hatáskörének gyakorlását követően az adatkezelő és az adatfeldolgozó a felügyelő hatóság által meghatározott ésszerű határidőn belül válaszol a felügyelő hatóságnak. A válasz tartalmazza a felügyelő hatóság észrevételeire válaszul meghozott intézkedések ismertetését és az elért eredményeket.

2. SZAKASZ

ADATBIZTONSÁG

30. cikk Az adatfeldolgozás biztonsága

(1)          Az adatkezelő és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, végrehajtja a megfelelő technikai és szervezési intézkedéseket az adatfeldolgozás kockázatainak és a védendő személyes adatok jellegének megfelelő védelmi szint biztosítása érdekében.

(2)          Az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően végrehajtja az (1) bekezdés szerinti intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése elleni védelme, valamint a feldolgozás jogellenes formáinak, különösen a személyes adatok jogosulatlan nyilvánosságra hozatalának, terjesztésének vagy az azokhoz való hozzáférésnek vagy azok megváltoztatásának megelőzése érdekében.

(3)          A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti technikai és szervezeti intézkedésekre ‑ beleértve a technika állásának meghatározását ‑, a konkrét ágazatokra és a különleges adatfeldolgozás helyzeteire vonatkozó feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el, figyelembe véve különösen a technológiai fejlődést és a beépített és az alapértelmezett adatvédelmi megoldásokat, kivéve ha a (4) bekezdést kell alkalmazni.

(4)          A Bizottság a szükséges esetekben végrehajtási jogi aktusok útján pontosan meghatározhatja az (1) és (2) bekezdés szerinti követelményeket a különböző helyzetek, így különösen:

a)      a személyes adatokhoz való jogosulatlan hozzáférés megelőzése;

b)      a személyes adatok jogosulatlan közlésének, olvasásának, másolásának, módosításának, törlésének vagy eltávolításának megelőzése;

c)      a feldolgozási műveletek törvényességi felülvizsgálatának biztosítása

tekintetében.

E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

31. cikk A felügyelő hatóság értesítése a személyes adatok megsértéséről

(1)          Az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül, amennyiben lehetséges a személyes adatok megsértéséről való tudomásszerzéstől számított 24 órán belül értesíti a felügyelő hatóságot a személyes adatok megsértéséről. A felügyelő hatóság értesítését írásbeli indokolással kell ellátni, amennyiben arra nem 24 órán belül került sor.

(2)          Az adatfeldolgozó a 26. cikk (2) bekezdése f) pontjának megfelelően a személyes adatok megsértésének megállapítását követően azonnal figyelmezteti és tájékoztatja az adatkezelőt.

(3)          Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza:

a)      a személyes adatok megsértésének ismertetése, beleértve az érintettek kategóriáit és számát, valamint az érintett adatok kategóriáit és számát;

b)      az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése;

c)      a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat;

d)      a személyes adatok megsértéséből fakadó következmények ismertetése;

e)      az adatkezelő által a személyes adatok megsértésének orvoslására javasolt vagy tett intézkedések ismertetése.

(4)          Az adatkezelő dokumentál minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével. E dokumentációnak lehetővé kell tennie a felügyelő hatóság számára az e cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza.

(5)          A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdésben említett adatsértés megállapítására és az adatkezelő és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)          A Bizottság meghatározhatja a felügyelő hatóságok ilyen értesítésének egységes formanyomtatványait, az értesítési követelmény teljesítése során alkalmazandó eljárásokat, valamint a (4) bekezdés szerinti dokumentáció formáját és szabályait, beleértve az abban tárolt információk törlésére vonatkozó határidőket is. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

32. cikk Az érintett értesítése a személyes adatok megsértéséről

(1)          Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak vagy magánéletének védelmét, az adatkezelő a 31. cikk szerinti értesítést követően indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértéséről.

(2)          Az érintett (1) bekezdés szerinti értesítésének ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 31. cikk (3) bekezdésének b) és c) pontjában előírt tájékoztatást és javaslatokat.

(3)          A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták az adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára.

(4)          Amennyiben az adatkezelő az érintettet még nem értesítette a személyes adatok megsértéséről, a felügyelő hatóság – az adatkezelő azon kötelezettségének sérelme nélkül, hogy az érintettet a személyes adatok megsértéséről értesítse – az adatsértés esetleges hátrányos hatásait mérlegelve felszólíthatja ennek megtételére.

(5)          A Bizottság felhatalmazást kap arra, hogy az személyes adatokat várhatóan hátrányosan érintő, az (1) bekezdés szerinti jogsértés körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)          A Bizottság meghatározhatja az érintett számára nyújtandó, az (1) bekezdés szerinti értesítés formátumát, valamint az említett értesítés alkalmazására vonatkozó eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES ENGEDÉLYEZÉS

33. cikk Adatvédelmi hatásvizsgálat

(1)          Amennyiben az adatfeldolgozási műveletek jellegük, alkalmazási területük vagy céljaik tekintetében különleges kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó elvégzi e tervezett adatfeldolgozási műveletek személyes adatok védelme tekintetében várható hatásának vizsgálatát.

(2)          Az (1) bekezdés szerinti különleges kockázatokat különösen a következő feldolgozási műveletek jelentik:

a)      a természetes személyre vonatkozó egyes személyes szempontok olyan módszeres és átfogó értékelése vagy különösen a természetes személy gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének olyan elemzése vagy előrejelzése, amelyre automatizált feldolgozáson alapul, és amelyre az érintett személy tekintetében joghatással bíró vagy az egyént jelentős mértékben érintő intézkedések épülnek;

b)      a szexuális életre, egészségre, fajra vagy etnikai származásra vagy az egészségügyi ellátás nyújtására, járványügyi kutatásokra vagy mentális vagy fertőző betegségekre irányuló felmérésekre vonatkozó információk, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor;

c)      a nyilvánosság számára hozzáférhető területek nyomon követése, különösen optikai-elektronikus eszközök nagyarányú alkalmazásával (videomegfigyelés);

d)      a gyermekekre, genetikus vagy biometrikus adatokra vonatkozó széleskörű nyilvántartási rendszerekben tárolt személyes adatok;

e)      egyéb olyan feldolgozási műveletek, amelyek vonatkozásában a 34. cikk (2) bekezdésének b) pontja értelmében konzultálni kell a felügyelő hatósággal.

(3)          A vizsgálat legalább a tervezett adatfeldolgozási műveletek általános leírását, az érintettek jogaira és szabadságaira vonatkozó kockázatok vizsgálatát, a kockázatok kezelésére tervezett intézkedéseket, a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló biztosítékokat, biztonsági intézkedéseket és mechanizmusokat tartalmazza, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit.

(4)          Az adatkezelő a kereskedelmi érdekek vagy a közérdek védelme vagy a feldolgozási műveletek biztonságának sérelme nélkül kikéri az érintettek vagy képviselőik véleményét a tervezett adatfeldolgozásról.

(5)          Amennyiben az adatkezelő hatóság vagy szerv, és a feldolgozás a feldolgozási műveletek szabályairól és eljárásairól rendelkező 6. cikk (1) bekezdésének c) pontja szerinti jogi kötelezettségből következik, és azt az uniós jog szabályozza, az (1)–(4) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok szükségesnek tartják ilyen hatásvizsgálat elvégzését a feldolgozási tevékenységet megelőzően.

(6)          A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdés szerinti, valószínűleg különleges kockázatokat jelentő feldolgozási műveletekre és a (3) bekezdés szerinti vizsgálat követelményeire – köztük a méretezhetőség, a felülvizsgálat és az ellenőrizhetőség követelményére – vonatkozó szempontok és feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el. Ennek során a Bizottság mérlegeli sajátos intézkedések elfogadását a mikro-, kis- és középvállalkozások tekintetében

(7)          A Bizottság meghatározhatja a (3) bekezdés szerinti vizsgálat elvégzésére, felülvizsgálatára és ellenőrzésére vonatkozó egységes előírásokat és eljárásokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

34. cikk Előzetes engedélyezés és előzetes konzultáció

(1)          A tervezett feldolgozás e rendelettel való összhangjának biztosítása érdekében a személyes adatok feldolgozását megelőzően az adatkezelő vagy az adatfeldolgozó kéri a felügyelő hatóság engedélyét, különösen az érintettekre vonatkozó kockázatok csökkentése érdekében, ha az adatkezelő vagy az adatfeldolgozó a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeket alkalmaz, vagy a 42. cikk (5) bekezdésnek megfelelően nem nyújt megfelelő biztosítékokat egy jogilag kötelező eszközben a személyes adatok harmadik országokba vagy valamely nemzetközi szervezet részére történő továbbítása esetén.

(2)          Az adatkezelő vagy az adatkezelő nevében eljáró adatfeldolgozó a tervezett adatfeldolgozás és az e rendelet közötti összhang biztosítása, valamint különösen az érintettekre vonatkozó kockázatok csökkentése érdekében a személyes adatok feldolgozását megelőzően konzultál a felügyelő hatósággal, amennyiben:

a)      a 33. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a feldolgozási műveletek jellegüknél, alkalmazási területüknél vagy céljaiknál fogva várhatóan magas szintű különleges kockázatot jelentenek; vagy

b)      a felügyelő hatóság szükségesnek tartja az olyan – a (4) bekezdés szerint meghatározott – adatfeldolgozási műveletekről szóló előzetes konzultációt, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva valószínűleg különleges kockázatot jelentenek az érintettek jogai és szabadságai tekintetében.

(3)          Amennyiben a felügyelő hatóság véleménye szerint a tervezett adatfeldolgozás nem áll összhangban e rendelettel, különösen, ha a kockázatokat elégtelen módon azonosították vagy csökkentették, megtiltja a tervezett adatfeldolgozást, és megfelelő javaslatot tesz az összhang helyreállítására.

(4)          A felügyelő hatóság megállapítja és nyilvánosságra hozza a (2) bekezdés b) pontja szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét. A felügyelő hatóság az említett jegyzéket közli az Európai Adatvédelmi Testülettel is.

(5)          Amennyiben a (4) bekezdés szerinti jegyzék olyan feldolgozási tevékenységeket foglal magában, amelyek termékek és szolgáltatások több tagállam érintettjei számára történő nyújtásához vagy viselkedésük nyomon követéséhez kapcsolódik, vagy lényeges hatással járhat a személyes adatok Unión belüli szabad áramlására, a felügyelő hatóság a jegyzék elfogadását megelőzően alkalmazza az 57. cikk szerinti egységességi mechanizmust.

(6)          Az adatkezelő vagy -feldolgozó a felügyelő hatóság rendelkezésére bocsátja a 33. cikk által előírt adatvédelmi hatásvizsgálatot, valamint – kérelemre – az összes olyan egyéb információt, amely lehetővé teszi a felügyelő hatóság számára az adatfeldolgozás, valamint elsősorban az érintett személyes adatainak védelméhez fűződő kockázatok és a kapcsolódó biztosítékok közötti összhang vizsgálatát.

(7)          A tervezett adatfeldolgozás e rendelettel való összhangjának biztosítása és különösen az érintettekhez kapcsolódó kockázatok csökkentése érdekében a tagállamok konzultálnak a felügyelő hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedés előkészítése vagy az adatfeldolgozás jellegét meghatározó ilyen jogalkotási intézkedésen alapuló intézkedés előkészítése során.

(8)          A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés a) pontja szerinti különleges kockázatok magas szintjének meghatározására vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9)          A Bizottság egységes formanyomtatványokat és eljárásokat állapíthat meg az (1) és (2) bekezdés szerinti előzetes engedélyek és konzultációk, valamint a felügyelő hatóságok (6) bekezdés szerinti tájékoztatása esetében. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

4. SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

35. cikk Az adatvédelmi tisztviselő kijelölése

(1)          Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)      a feldolgozást hatóság vagy állami szerv végzi; vagy

b)      a feldolgozást legalább 250 alkalmazottat foglalkoztató vállalkozás végzi; vagy

c)      az adatkezelő vagy -feldolgozó fő tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű nyomon követését igénylik.

(2)          Az (1) bekezdés b) pontja szerinti esetben a vállalkozások társulásai egy adatvédelmi tisztviselőt jelölhetnek ki.

(3)          Amennyiben az adatkezelő vagy az adatfeldolgozó hatóság vagy állami szerv, az adatvédelmi tisztviselő több ilyen jogalany számára is kijelölhető, figyelemmel a hatóság vagy állami szerv szervezeti felépítésére.

(4)          Az (1) bekezdés szerintiektől eltérő esetekben az adatkezelő vagy -feldolgozó vagy az adatkezelők vagy -feldolgozók kategóriáit képviselő egyesületek és más szervek adatvédelmi tisztviselőt jelölhetnek ki.

(5)          Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 37. cikkben említett feladatok ellátására való alkalmasság alapján jelöli ki. A szakértői ismeretek szükséges szintjét kifejezetten az adatkezelő vagy -feldolgozó által végzett adatfeldolgozás, valamint az általuk feldolgozott személyes adatok tekintetében megkövetelt védelem határozza meg.

(6)          Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő minden egyéb szakmai kötelezettsége összeegyeztethető legyen az adott személy adatvédelmi tisztviselőként ellátandó feladataival és kötelezettségeivel, és nem eredményez összeférhetetlenséget.

(7)          Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább 2 éves időtartamra jelöli ki. Az adatvédelmi tisztviselő további időtartamra ismételten kijelölhető. Az adatvédelmi tisztviselőt hivatali ideje alatt csak akkor lehet felmenteni, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek.

(8)          Az adatvédelmi tisztviselő az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait.

(9)          Az adatkezelő vagy -feldolgozó közli az adatvédelmi tisztviselő nevét és elérhetőségét a felügyelő hatósággal és a nyilvánossággal.

(10)        Az érintettek az adataik feldolgozásához kapcsolódó valamennyi ügyben jogosultak kapcsolatba lépni az adatvédelmi tisztviselővel, és az e rendelet szerinti jogok gyakorlását kérni.

(11)        A Bizottság felhatalmazást kap arra, hogy az adatkezelő vagy -feldolgozó (1) bekezdés c) pontja szerinti fő tevékenységeire vonatkozó szempontok és követelmények, valamint az (5) bekezdés szerinti adatvédelmi tisztviselő szakképzettségével kapcsolatos feltételek további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

36. cikk Az adatvédelmi tisztviselő jogállása

(1)          Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelően és időben bekapcsolódjon.

(2)          Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatokat és kötelezettségeket függetlenül látja el, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy -feldolgozó vezetésének tesz jelentést.

(3)          Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt támogatja feladatai ellátásában, és biztosítja számára a 37. cikk szerinti feladatok és kötelezettségek végrehajtásához szükséges személyzetet, helyiségeket, felszerelést és egyéb forrásokat.

37. cikk Az adatvédelmi tisztviselő feladatai

(1)          Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg:

a)      az adatkezelő vagy –feldolgozó részére e rendeletnek megfelelő kötelezettségekkel kapcsolatos tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása;

b)      a személyes adatok védelmével kapcsolatos adatkezelői vagy -feldolgozói politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben résztvevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is;

c)      e rendelet végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az e rendelet szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében;

d)      a 28. cikk szerinti dokumentálás biztosítása;

e)      a személyes adatok megsértéséről szóló, a 31. és 32. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése;

f)       az adatkezelő vagy -feldolgozó által végzett adatvédelmi hatásvizsgálat és – szükség esetén – a 33. és 34. cikk szerinti előzetes engedélyezés vagy előzetes konzultáció alkalmazásának ellenőrzése;

g)      a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy az adatvédelmi tisztviselő saját kezdeményezésre – történő együttműködés;

h)      az adatfeldolgozással kapcsolatos ügyekben kapcsolattartás a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció.

(2)          A Bizottság felhatalmazást kap arra, hogy az adatvédelmi tisztviselő (1) bekezdés szerinti feladataira, képesítésére, jogállására, hatáskörére és forrásaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

5. SZAKASZ

ELJÁRÁSI SZABÁLYZATOK ÉS TANÚSÍTÁS

38. cikk Eljárási szabályzatok

(1)          A tagállamok, a felügyelő hatóságok és a Bizottság ösztönzik az e rendelet helyes végrehajtásának elősegítésére szánt eljárási szabályzatok kidolgozását, figyelembe véve a különböző adatfeldolgozási ágazatok egyedi jellemzőit, különösen az alábbiak tekintetében:

a)      tisztességes és átlátható adatfeldolgozás;

b)      az adatgyűjtés;

c)      a nyilvánosság és az érintettek tájékoztatása;

d)      az érintettek jogainak gyakorlása során előterjesztett kérelmek;

e)      a gyermekek tájékoztatása és védelme;

f)       harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítás;

g)      az adatkezelőre vonatkozó szabályzatokkal való összhang nyomon követésére és biztosítására irányuló mechanizmusok;

h)      a személyes adatok vonatkozásában az adatkezelő és az érintettek közötti érdekellentétek megoldására irányuló peren kívüli eljárások és egyéb jogvita-rendezési eljárások, az érintettek 73. és 75. cikk szerinti jogainak sérelme nélkül.

(2)          Az eljárási szabályzatokat létrehozni vagy meglévő eljárási szabályzatokat módosítani szándékozó, az adatkezelők vagy -feldolgozók kategóriáit a tagállamok egyikében képviselő szövetségek vagy egyéb szervek véleményezésre előterjeszthetik azokat e tagállam felügyelő hatóságához. A felügyelő hatóság véleményt adhat az eljárási szabályzat tervezetének vagy módosításának e rendelettel való összhangjáról. A felügyelő hatóság kikéri az érintettek vagy képviselőik e tervezetekkel kapcsolatos véleményét.

(3)          Az adatkezelők kategóriáit több tagállamban képviselő szövetségek vagy egyéb szervek a Bizottság elé terjeszthetik eljárási szabályzatok tervezeteit és a létező eljárási szabályzatok módosításait vagy bővítéseit.

(4)          A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá a (3) bekezdés szerint előterjesztett eljárási szabályzatok és a létező eljárási szabályzatok módosításai vagy bővítése általános érvénnyel bírnak az Unió területén. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5)          A Bizottság gondoskodik a (4) bekezdés szerint általánosan érvényesként elismert szabályzatok megfelelő nyilvánosságáról.

39. cikk Tanúsítás

(1)          A tagállamok, valamint a Bizottság – különösen európai szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok és adatvédelmi címkék és jelzők létrehozását, amelyek segítségével az érintettek gyorsan fel tudják mérni az adatkezelő és az adatfeldolgozó által biztosított adatvédelem szintjét. Az adatvédelmi tanúsítási mechanizmusok hozzájárulnak e rendelet helyes alkalmazásához, figyelembe véve a különböző ágazatok és a különböző feldolgozási műveletek sajátos jellemzőit.

(2)          A Bizottság felhatalmazást kap arra, hogy az (1) bekezdés szerinti adatvédelmi tanúsítási mechanizmusokra vonatkozó szempontok és követelmények – beleértve az odaítélés és a megvonás feltételeire, valamint az Unión belül és harmadik országokban való elismerés követelményeire vonatkozó feltételeket is ‑ további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(3)          A Bizottság meghatározhatja a tanúsítási mechanizmusok és az adatvédelmi címkék és jelzők technikai szabványait, valamint a tanúsítási mechanizmusokat és az adatvédelmi címkéket és jelzőket ösztönző és elismerő mechanizmusokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

V. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

40. cikk Az adattovábbításra vonatkozó általános elv

A feldolgozásra kerülő vagy a harmadik országokba vagy nemzetközi szervezet részére történő továbbítás után feldolgozásra szánt személyes adatok továbbítása csak abban az esetben megengedett, ha – e rendelet egyéb rendelkezéseire is figyelemmel – az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket, köztük a személyes adatoknak a harmadik országból vagy nemzetközi szervezettől egy további harmadik ország vagy további nemzetközi szervezet részére történő továbbítására vonatkozó feltételeket is.

41. cikk Adattovábbítás megfelelőségi határozat alapján

(1)          Akkor kerülhet sor adattovábbításra, ha a Bizottság megállapítja, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges további engedély.

(2)          A védelmi szint megfelelőségét a Bizottság a következő tényezők figyelembevételével mérlegeli:

a)      a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, foglalkozási szabályok, valamint az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések; továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai;

b)      a szóban forgó harmadik országban vagy nemzetközi szervezetben az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá

c)      a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai.

(3)          A Bizottság határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

(4)          A végrehajtási jogi aktus pontosan rögzíti saját földrajzi és ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot.

(5)          A Bizottság határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon, az Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással vagy – az egyének vonatkozásában személyes adatok védelméhez való jogukra tekintettel rendkívüli sürgősséget igénylő esetekben – a 87. cikk (3) bekezdése szerinti eljárással összhangban kell elfogadni.

(6)          Amennyiben a Bizottság az (5) bekezdés szerint határoz, úgy a 42–44. cikk sérelme nélkül tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére. A Bizottság megfelelő időben konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására.

(7)          A Bizottság az Európai Unió Hivatalos Lapjában közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított.

(8)          A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése vagy 26. cikkének (4) bekezdése alapján elfogadott határozatok továbbra is hatályban maradnak azoknak a Bizottság általi módosításáig, felváltásáig vagy hatályon kívül helyezéséig.

42. cikk Adattovábbítás megfelelő biztosítékok alapján

(1)          Amennyiben a Bizottság nem hoz a 41. cikk értelmében határozatot, az adatkezelő vagy -feldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a személyes adatok védelme tekintetében az adatkezelő vagy -feldolgozó megfelelő biztosítékokat nyújt jogilag kötelező eszköz útján.

(2)          Az (1) bekezdés szerinti megfelelő biztosítékokat különösen az alábbiak jelentik:

a)      a 43. cikk szerinti kötelező erejű vállalati szabályok; vagy

b)      a Bizottság által elfogadott általános adatvédelmi előírások. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni; vagy

c)      az 57. cikk szerinti egységességi mechanizmusnak megfelelően a felügyelő hatóság által elfogadott egységes adatvédelmi feltételek, amennyiben azokat a Bizottság a 62. cikk (1) bekezdésének b) pontja szerint általánosan érvényesnek nyilvánítja; vagy

d)      az adatkezelő vagy -feldolgozó és az adat címzettje között létrejött, a felügyelő hatóság által a (4) bekezdéssel összhangban engedélyezett szerződéses feltételek.

(3)          A (2) bekezdés a), b) vagy c) pontja szerinti egységes adatvédelmi feltételeken vagy kötelező erejű vállalati szabályokon alapuló továbbítás esetében nincs szükség további engedélyre.

(4)          Amennyiben a továbbítás az e cikk (2) bekezdésének d) pontja szerinti szerződéses feltételeken alapul, az adatkezelő vagy -feldolgozó a 34. cikk (1) bekezdésének a) pontja értelmében előzetesen engedélyezteti a szerződéses feltételeket a felügyelő hatósággal. Amennyiben a továbbítás más tagállam vagy tagállamok érintettjeire vonatkozó feldolgozási tevékenyéghez kapcsolódik, vagy lényegesen érinti a személyes adatok Unión belüli szabad áramlását, a felügyelő hatóság alkalmazza az 57. cikk szerinti egységességi mechanizmust.

(5)          Amennyiben a személyes adatok védelmére jogilag kötelező eszközben nem nyújtanak megfelelő biztosítékokat, az adatkezelőnek vagy -feldolgozónak előzetes engedélyt kell szerezni az adattovábbításra, adattovábbításokra vagy azon rendelkezésekre vonatkozóan, amelyeket az ilyen adattovábbítás alapját képező közigazgatási megállapodásba kell iktatni. A felügyelő hatóság ilyen engedélyének meg kell felelnie a 34. cikk (1) bekezdése a) pontjának. Amennyiben az adattovábbítás olyan feldolgozási tevékenységekkel kapcsolatos, amelyek másik tagállamban vagy tagállamokban található érintettekre vonatkoznak, vagy lényegesen érintik a személyes adatok szabad mozgását az Unióban, a felügyelő hatóság az 57. cikk szerinti egységességi mechanizmust alkalmazza. A felügyelő hatóságnak a 95/46/EK irányelv 26. cikkének (2) bekezdésén alapuló engedélyei hatályban maradnak mindaddig, amíg azokat a felügyelő hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

43. cikk Adattovábbítás kötelező erejű vállalati szabályok alapján

(1)          A felügyelő hatóság az 58. cikkben meghatározott egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, feltéve hogy azok

a)      jogilag kötelező érvényűek, és az adatkezelő vagy -feldolgozó vállalkozáscsoportjának minden tagjára tekintettel alkalmazandók és végrehajthatók, beleértve az alkalmazottakat is;

b)      kifejezetten elismerik az érintettek érvényesíthető jogait;

c)      megfelelnek a (2) bekezdés szerinti követelményeknek.

(2)          A kötelező erejű vállalati szabályok meghatározzák legalább az alábbiakat:

a)      a vállalkozáscsoport és tagjai struktúrája és elérhetősége;

b)      az adatok továbbítása vagy továbbítássorozata, beleértve a személyes adatok kategóriáit, a feldolgozás fajtáját és céljait, az érintettek fajtáit és a kérdéses harmadik ország vagy országok azonosítását;

c)      belső és külső tekintetben jogilag kötelező jellegük;

d)      az általános adatvédelmi elvek, különösen a célhoz kötöttség, az adatminőség, a feldolgozás jogalapja, az érzékeny személyes adatok feldolgozása, az adatbiztonságot biztosító intézkedések; valamint az olyan szervezetekhez irányuló továbbítás feltételei, amelyeket nem kötnek a politikák;

e)      az érintettek jogai és e jogok gyakorlásának módjai, beleértve a 20. cikk szerinti profilalkotáson alapuló intézkedések alóli mentesülés jogát, a 75. cikk értelmében vett panasz benyújtásának jogát a hatáskörrel rendelkező felügyelő hatósághoz és a tagállamok illetékes bíróságaihoz, és a jogorvoslathoz való jogot, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogot;

f)       a valamely tagállamban létrehozott adatkezelő vagy -feldolgozó felelősségének elismerése a kötelező erejű vállalati szabályoknak a vállalkozáscsoport nem az Unióban létrehozott bármely tagja által történő megsértéséért; az adatkezelő vagy az adatfeldolgozó részben vagy egészben kizárólag abban az esetben mentesül e felelősség alól, ha bizonyítja, hogy az érintett tag a kárt okozó eseményért nem felelős;

g)      a 11. cikk értelmében miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokról, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekről szóló információt;

h)      a 35. cikk érelmében kijelölt adatvédelmi tisztviselő feladatai, beleértve a vállalkozáscsoporton belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követését;

i)       a vállalkozáscsoporton belül a kötelező erejű vállalati szabályokkal való összhang ellenőrzésének biztosítására irányuló mechanizmusok;

j)       a politikák változásainak jelentésére és rögzítésére és e változások felügyelő hatóság felé történő bejelentésére irányuló mechanizmusok;

k)      a felügyelő hatósággal való együttműködés mechanizmusai a vállalkozáscsoport bármely tagjával való összhang biztosítása érdekében, különösen azáltal, hogy a felügyelő hatóság számára elérhetővé teszik az e bekezdés i) pontja szerinti intézkedések ellenőrzésének eredményeit.

(3)          A Bizottság felhatalmazást kap arra, hogy az e cikk szerinti kötelező erejű vállalati szabályokra – különösen azok elfogadására, a (2) bekezdés b), d), e) és f) pontjának az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokra történő alkalmazására és az érintettek személyes adatai védelmének biztosítására ‑ vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(4)          A Bizottság meghatározhatja az adatkezelők, feldolgozók és felügyelő hatóságok között az e cikk szerinti kötelező erejű vállalati szabályokra vonatkozó, elektronikus formában történő információcsere formátumát és eljárásait. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

44. cikk Eltérések

(1)          A 41. cikk értelmében vett megfelelőségi határozat, illetve a 42. cikk szerinti megfelelő biztosítékok hiányában a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy továbbítássorozatára csak azzal a feltétellel kerülhet sor, hogy:

a)      az érintett hozzájárulását adta a tervezett továbbításhoz, miután tájékoztatták az ilyen továbbításnak a megfelelőségről szóló határozat és a megfelelő biztosítékok hiányából fakadó kockázatairól; vagy

b)      a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy

c)      a továbbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy

d)      a továbbítás fontos közérdekből szükséges; vagy

e)      a továbbítás jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges; vagy

f)       a továbbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy

g)      a továbbítást olyan nyilvántartásból végzik, amely az uniós vagy nemzeti jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben az uniós vagy nemzeti jog által a betekintésre megállapított feltételek az adott esetben teljesülnek; vagy

h)      a továbbítás az adatkezelő vagy -feldolgozó jogos érdekében szükséges, amely nem minősíthető gyakorinak vagy tömegesnek, amennyiben az adatkezelő vagy -feldolgozó az adattovábbítás vagy az adattovábbítás-sorozat minden körülményét megvizsgálta, és e vizsgálat alapján szükség szerint megfelelő biztosítékokat hozott létre a személyes adatokra tekintettel.

(2)          Az (1) bekezdés g) pontja szerinti továbbítás nem érinti a nyilvántartásban szereplő személyes adatok összességét vagy a személyes adatok kategóriáinak összességét. Amennyiben a nyilvántartás a jogos érdekkel rendelkező személyekkel való egyeztetésre szolgál, a továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy ha ők a címzettek.

(3)          Amennyiben a feldolgozás az (1) bekezdés h) pontján alapul, az adatkezelő vagy -feldolgozó különös figyelmet fordít az adatok jellegére, a tervezett feldolgozási művelet vagy műveletek céljára és időtartamára, valamint a kiindulási ország, a harmadik ország és a célország szerinti helyzetre, valamint szükség szerint a személyes adatok védelme tekintetében biztosított megfelelő biztosítékokra.

(4)          Az (1) bekezdés b), c) és h) pontja nem alkalmazható a hatóságok által közhatalmi jogosultságaik gyakorlása során végzett tevékenységekre.

(5)          Az (1) bekezdés d) pontjában hivatkozott közérdeket el kell ismernie az uniós jognak vagy azon tagállam jogának, amely az adatkezelőre vonatkozik.

(6)          Az adatkezelő vagy -feldolgozó a 28. cikk szerinti dokumentációban dokumentálja a vizsgálatot és az e cikk (1) bekezdésének h) pontja szerinti, létrehozott megfelelő biztosítékokat, és a továbbításról értesíti a felügyelő hatóságot.

(7)          A Bizottság felhatalmazást kap arra, hogy a „fontos közérdek” (1) bekezdés d) pontja szerinti fogalma, valamint az (1) bekezdés h) pontja szerinti megfelelő biztosítékokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

45. cikk A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

(1)          A Bizottság és a felügyelő hatóságok megfelelő lépéseket tesznek a harmadik országok és nemzetközi szervezetek tekintetében, annak érdekében, hogy:

a)      a személyes adatok védelméről szóló jogszabályok érvényesítésének egyszerűsítését célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)      a személyes adatok védelméről szóló jogszabályok érvényesítésében – a személyes adatok védelme és a többi alapvető jog és szabadság megfelelő biztosítása mellett –, többek között értesítés, panaszok kivizsgálása, vizsgálati segítségnyújtás és információátadás útján biztosítsák a kölcsönös nemzetközi segítségnyújtást;

c)      az érintett érdekelteket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítésében további együttműködést célzó párbeszédbe és tevékenységekbe;

d)      előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását.

(2)          Az (1) bekezdés céljai érdekében a Bizottság megfelelő lépéseket tesz a harmadik országokkal és nemzetközi szervezetekkel – különösen azok felügyelő hatóságaival – való kapcsolat fejlesztésére, amennyiben úgy határozott, hogy azok a 41. cikk (3) bekezdése értelmében megfelelő védelmi szintet biztosítanak.

VI. FEJEZET

FÜGGETLEN FELÜGYELŐ HATÓSÁGOK

1. SZAKASZ FÜGGETLEN JOGÁLLÁS

46. cikk A felügyelő hatóság

(1)          Minden tagállam rendelkezik arról, hogy a természetes személyeket személyes adataik feldolgozásával kapcsolatban megillető alapvető jogok és szabadságok védelme, valamint a személyes adatok Unión belüli szabad áramlásának egyszerűsítése érdekében egy vagy több hatóság feladata, hogy e rendelet alkalmazását ellenőrizze és azok következetes alkalmazásához az Unió egész területén hozzájáruljon. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(2)          Amennyiben valamely tagállamban egynél több felügyelő hatóságot hoznak létre, ez a tagállam kijelöli azt a felügyelő hatóságot, amelyik az e hatóságok Európai Adatvédelmi Testületben való hatékony részvétele érdekében egyedüli kapcsolattartóként működik, és létrehozza azokat a mechanizmusokat, amelyek az 57. cikk szerinti egységességi mechanizmusra vonatkozó szabályokkal együtt biztosítják az összhangot a többi hatósággal.

(3)          A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik a Bizottságot az e fejezet szerint elfogadott nemzeti jogi rendelkezésekről, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

47. cikk Függetlenség

(1)          A felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlása során teljesen függetlenül jár el.

(2)          A felügyelő hatóság tagjai feladatkörük ellátása során senkitől nem kérhetnek, és nem fogadhatnak el utasítást.

(3)          A felügyelő hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt nem vállalhatnak egyéb – akár kereső, akár ingyenesen végzett – összeférhetetlen szakmai tevékenységet.

(4)          A felügyelő hatóság tagjai hivatali idejük leteltét követően a kinevezések és előnyök elfogadása tekintetében feddhetetlenül és tartózkodóan járnak el.

(5)          Minden tagállam biztosítja, hogy a felügyelő hatóság számára rendelkezésre bocsátja a feladat- és hatáskörei, köztük a kölcsönös segítségnyújtás, együttműködés és az Európai Adatvédelmi Testületben való részvétel ellátásához szükséges megfelelő emberi, műszaki és pénzügyi forrásokat, helyiségeket és infrastruktúrát.

(6)          Minden tagállam biztosítja, hogy a felügyelő hatóság saját személyzettel rendelkezzen, amelyet a felügyelő hatóság vezetése nevez ki és irányít.

(7)          A tagállamok biztosítják, hogy a felügyelő hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy a felügyelő hatóság elkülönített éves költségvetéssel rendelkezik. A költségvetést közzé kell tenni.

48. cikk A felügyelő hatóság tagjaira vonatkozó általános feltételek

(1)          A tagállamok előírják, hogy a felügyelő hatóság tagjait az érintett tagállam parlamentje vagy kormánya nevezi ki.

(2)          A tagokat olyan személyek közül kell kiválasztani, akiknek függetlenségéhez nem fér kétség, és akik már bizonyították a személyesadat-védelem területén ellátandó feladatkörhöz szükséges tapasztalataikat és képességeiket.

(3)          A tag feladatköre a hivatali idő lejártával, lemondással vagy felmentéssel szűnik meg, az (5) bekezdésnek megfelelően.

(4)          A tagot az illetékes nemzeti bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(5)          Amennyiben a hivatali idő lejár, vagy a tag lemond, a tag mindaddig ellátja feladatköreit, amíg új tagot nem neveznek ki.

49. cikk A felügyelő hatóság létrehozására vonatkozó szabályok

E rendelet keretein belül valamennyi tagállam jogszabályban rendelkezik a következőkről:

a)      a felügyelő hatóság létrehozása és jogállása;

b)      a felügyelő hatóság tagjai feladatköreinek ellátásához szükséges végzettség, tapasztalat és készségek;

c)      a felügyelő hatóság tagjainak kinevezésére vonatkozó szabályok és eljárások, valamint a hivatali feladatkörökkel összeférhetetlen tevékenységekre és foglalkozásokra vonatkozó szabályok;

d)      a felügyelő hatóság tagjai megbízatásának időtartama, amely legalább négy év, kivéve az e rendelet hatálybalépését követő első kinevezést, amely rövidebb ideig tarthat, amennyiben ez a felügyelő hatóság függetlenségének lépcsőzetes kinevezési eljárás révén aló megőrzéséhez szükséges;

e)      a felügyelő hatóság tagjainak esetleges ismételt kinevezhetősége;

f)       a felügyelő hatóság tagjainak és alkalmazottainak feladatköreire vonatkozó szabályok és általános feltételek;

g)      a felügyelő hatóság tagjai megbízatásának megszűnésére vonatkozó szabályok és eljárások, beleértve azt az esetet, ha már nem tesznek eleget a kötelezettségek végrehajtásához szükséges feltételeknek, vagy ha súlyos kötelezettségszegést követtek el.

50. cikk Szakmai titoktartás

A felügyelő hatóság tagjait és személyzetét a hivatalos feladataik ellátása során tudomásukra jutott bármely bizalmas információk tekintetében hivatali idejük alatt és annak leteltét követően is szakmai titoktartási kötelezettség terheli.

2. SZAKASZ FELADATOK ÉS HATÁSKÖRÖK

51. cikk Illetékesség

(1)          A felügyelő hatóságok a rájuk ruházott hatásköröket a tagállamuk területén e rendeletnek megfelelően gyakorolják.

(2)          Amennyiben a személyes adatok feldolgozására az Unióban létrehozott adatkezelő vagy -feldolgozó tevékenységeivel összefüggésben kerül sor, és az adatkezelő vagy -feldolgozó egynél több tagállamban telepedett le, az adatkezelő vagy -feldolgozó minden tagállamban végzett feldolgozási tevékenységének felügyeletére az adatkezelő vagy -feldolgozó fő szervezete szerinti felügyelő hatóság illetékes, az e rendelet VII. fejezetében foglalt rendelkezések sérelme nélkül.

(3)          A felügyelő hatóság hatásköre nem terjed ki a bíróságok által igazságszolgáltatási feladataik körében végzett adatfeldolgozási műveletek felügyeletére.

52. cikk Feladatkörök

(1)          A felügyelő hatóság:

a)      ellenőrzi és biztosítja e rendelet alkalmazását;

b)      foglalkozik az érintett vagy az érintetteket képviselő szervezet által a 74. cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve a szervezetet ésszerű időn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekről és eredményekről, különösen ha további vizsgálat vagy egy másik felügyelő hatósággal való együttműködés válik szükségessé;

c)      megosztja az információkat más felügyelő hatóságokkal, kölcsönös segítséget nyújt más felügyelő hatóságok számára, és biztosítja e rendelet következetes alkalmazását és érvényesítését;

d)      saját kezdeményezés, panasz vagy egy másik felügyelő hatóság megkeresése alapján vizsgálatot folytat le, és ésszerű határidőn belül tájékoztatja a vizsgálat eredményéről, amennyiben az emelt panaszt a felügyelő hatóság előtt;

e)      figyelemmel kíséri a személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információtechnológia és a hírközlési technológia, valamint a kereskedelmi gyakorlatok fejlődését;

f)       egyeztet a tagállami intézményekkel és szervekkel a személyes adatok feldolgozásához fűződő egyéni jogok és szabadságok védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

g)      engedélyezi a 34. cikk szerinti feldolgozási műveleteket, és konzultál azokról;

h)      véleményezi a 38. cikk (2) bekezdése szerinti eljárási szabályzatok tervezeteit;

i)       jóváhagyja a 43. cikk szerinti kötelező erejű vállalati szabályokat;

j)       részt vesz az Európai Adatvédelmi Testület tevékenységeiben.

(2)          Valamennyi felügyelő hatóság előmozdítja a polgárok tudatosságát a személyes adatok védelmére vonatkozó kockázatok, szabályok, biztosítékok és jogok tekintetében. Különös figyelmet kell fordítani a különösen a gyermekekre irányuló tevékenységekre.

(3)          A felügyelő hatóság kérelemre valamennyi érintettnek tanácsokat ad az e rendelet szerinti jogaik gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyelő hatóságaival.

(4)          Az (1) bekezdés b) pontja szerinti panaszok vonatkozásában a felügyelő hatóság – a kommunikáció más módjainak kizárása nélkül – a panasz benyújtásához szükséges, elektronikus úton kitölthető formanyomtatványt bocsát rendelkezésre.

(5)          A felügyelő hatóság az érintett vonatkozásában térítésmentesen látja el feladatait.

(6)          Amennyiben a kérelmek egyértelműen túlzóak, különösen ismétlődő jellegük miatt, a felügyelő hatóság díjat számíthat fel, vagy visszautasíthatja az érintett által kért intézkedés megtételét. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem egyértelműen túlzó.

53. cikk Hatáskörök

(1)          Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy:

a)      a személyesadat-feldolgozást szabályozó rendelkezések állítólagos megsértése esetén értesítse az adatkezelőt vagy az adatfeldolgozót, és szükség esetén felhívja az adatkezelőt vagy -feldolgozót a rendelkezés megsértésének orvoslására, különös esetben pedig az érintettek védelmének javítására;

b)      elrendelje az érintett e rendelet szerinti jogainak gyakorlására vonatkozó kérelmének adatkezelő vagy adatfeldolgozó általi teljesítését;

c)      felhívja az adatkezelőt és az adatfeldolgozót, és – szükség esetén – a képviselőt a feladatai gyakorlásához szükséges tájékoztatás nyújtására;

d)      biztosítsa a 34. cikk szerinti előzetes engedélyezéssel és előzetes konzultációval való összhangot;

e)      figyelmeztesse vagy elmarasztalja az adatkezelőt vagy -feldolgozót;

f)       elrendelje bármely adat helyesbítését, törlését vagy megsemmisítését, amennyiben annak feldolgozása e rendelet rendelkezéseinek megsértésével történt, és elrendelje azon harmadik személyek ilyen intézkedésről történő értesítését, akikkel az adatot közölték;

g)      elrendelje az adatfeldolgozás átmeneti vagy végleges tilalmát;

h)      felfüggessze a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlást;

i)       véleményt adjon bármilyen, a személyes adatok védelmével kapcsolatos kérdésről;

j)       tájékoztassa bármilyen, a személyes adatok védelmével kapcsolatos kérdésről a nemzeti parlamenteket, a kormányt vagy más politikai intézményt, valamint a nyilvánosságot.

(2)          Valamennyi felügyelő hatóság vizsgálati hatáskörrel rendelkezik arra, hogy:

a)      az adatkezelőtől vagy -feldolgozótól a feladatainak teljesítéséhez szükséges valamennyi személyes adatba és információba betekintést nyerjen;

b)      az adatkezelő vagy -feldolgozó bármely helyiségébe belépjen, beleértve minden adatfeldolgozó eszközhöz és módhoz való hozzáférést, amennyiben alapos indokok alapján feltételezhető, hogy ott e rendelet megsértésével járó tevékenység zajlik.

A b) pontban meghatározott hatásköröket az uniós joggal és a tagállami joggal összhangban kell gyakorolni.

(3)          Valamennyi felügyelő hatóság hatáskörrel rendelkezik arra, hogy felhívja az igazságszolgáltatási hatóságok figyelmét e rendelet megsértésére, és részt vegyen a bírósági eljárásokban, különösen a 74. cikk (4) bekezdésének és a 75. cikk (2) bekezdésének megfelelően.

(4)          Valamennyi felügyelő hatóság jogkörrel rendelkezik arra, hogy szankciókat alkalmazzon a közigazgatási szabálysértésekkel szemben, különösen a 79. cikk (4), (5) és (6) bekezdése szerinti esetekben.

54. cikk A tevékenységről szóló jelentés

Valamennyi felügyelő hatóságnak éves jelentést kell készítenie a tevékenységéről. A jelentést a nemzeti parlamentnek kell benyújtani és elérhetővé kell tenni a nyilvánosság, a Bizottság és az Európai Adatvédelmi Testület számára.

VII. FEJEZET

EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG

1. SZAKASZ EGYÜTTMŰKÖDÉS

55. cikk Kölcsönös segítségnyújtás

(1)          A felügyelő hatóságok kölcsönösen releváns információkat és segítséget nyújtanak egymásnak e rendelet következetes végrehajtása és alkalmazása érdekében, valamint az egymással való hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsősorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az előzetes engedélyezés, konzultáció és vizsgálat folytatására vonatkozó kérelmek, valamint az ügyek megindításáról és a későbbi fejleményekről való haladéktalan tájékoztatás, amennyiben a feldolgozási műveletek várhatóan több tagállamban letelepedett érintettre is kiterjednek.

(2)          Minden felügyelő hatóság megteszi az összes szükséges intézkedést a valamely másik felügyelő hatóságtól érkezett megkeresés haladéktalan és legkésőbb a megkeresés beérkezésétől számított egy hónapon belüli megválaszolása érdekében. Az ilyen intézkedések kiterjedhetnek különösen a releváns információk továbbítására a vizsgálat során, illetve az e rendelettel ellentétes adatfeldolgozási műveletek megszüntetését vagy tilalmát foganatosító végrehajtási intézkedésekre

(3)          A segítségnyújtás iránti kérelem minden szükséges információt tartalmaz, beleértve a megkeresés célját és indokait. A kicserélt információk kizárólag a kérelemben meghatározott ügy vonatkozásában használhatók fel.

(4)          A segítségnyújtás iránti kérelemmel megkeresett felügyelő hatóság nem tagadhatja meg annak teljesítését, kivéve ha:

a)      nem rendelkezik hatáskörrel a kérelem tekintetében; vagy

b)      a kérelem teljesítése összeegyeztethetetlen e rendelet rendelkezéseivel.

(5)          A megkeresett felügyelő hatóság tájékoztatja a megkereső felügyelő hatóságot az eredményekről, vagy adott esetben az elért előrelépésről vagy a megkereső felügyelő hatóság kérelmének teljesítése érdekében hozott intézkedésekről.

(6)          A felügyelő hatóságok elektronikus úton, a lehető legrövidebb időn belül, egységes formanyomtatvány használatával bocsátják rendelkezésre a más felügyelő hatóságok által kért információt.

(7)          A kölcsönös segítségnyújtás iránti kérelem nyomán megtett intézkedések térítésmentesek.

(8)          Amennyiben valamely felügyelő hatóság a másik felügyelő hatóság megkeresésétől számított egy hónapon belül nem intézkedik, a megkereső felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a saját tagállama területén, és az ügyet az 57. cikkben meghatározott eljárásnak megfelelően az Európai Adatvédelmi Testület elé terjeszti.

(9)          A felügyelő hatóság meghatározza az ilyen ideiglenes intézkedés érvényességi idejét. Ez az időszak nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti ezen intézkedésekről és azok teljes indokolásáról az Európai Adatvédelmi Testületet és a Bizottságot.

(10)        A Bizottság meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formátumát és eljárásait és a felügyelő hatóságok közötti, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus úton történő információcserére vonatkozó szabályokat, továbbá különösen a (6) bekezdésben említett egységes formanyomtatványokat. E végrehajtási jogi aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

56. cikk A felügyelő hatóságok közös műveletei

(1)          Az együttműködés és a kölcsönös segítségnyújtás fokozása érdekében a felügyelő hatóságok közös vizsgálati feladatokat, közös végrehajtási intézkedéseket és egyéb olyan közös műveleteket hajtanak végre, amelyekben egy másik tagállam felügyelő hatóságának kijelölt tagjai vagy munkatársai vesznek részt.

(2)          Amennyiben az adatfeldolgozási műveletek valószínűleg több tagállambeli érintettre hatnak ki, mindegyik szóban forgó tagállam felügyelő hatósága részt vehet – az esettől függően – a közös vizsgálati feladatokban, vagy a közös műveletekben. Az illetékes felügyelő hatóság felkérheti az összes említett tagállam felügyelő hatóságát, hogy vegyenek részt az adott közös vizsgálati feladatokban, vagy a közös műveletekben, valamint haladéktalanul válaszoljanak a felügyelő hatóság műveletekben való részvételre irányuló megkeresésére.

(3)          Fogadó felügyelő hatóságként és saját nemzeti jogával összhangban, valamint a kirendelő felügyelő hatóság engedélyével, minden egyes felügyelő hatóság végrehajtó hatáskörrel – beleértve a vizsgálati feladatokat – ruházhatja fel a kirendelő felügyelő hatóság közös műveletben részt vevő tagját vagy munkatársát, vagy – amennyiben a fogadó felügyelő hatóság joga azt lehetővé teszi – engedélyezheti a kirendelő felügyelő hatóságok tagjai vagy munkatársai számára, hogy gyakorolják végrehajtó hatáskörüket a kirendelő felügyelő hatóság jogának megfelelően. Az ilyen végrehajtó hatáskört kizárólag a fogadó felügyelő hatóság felügyelete mellett és főszabály szerint annak tagjai vagy munkatársai jelenlétében lehet gyakorolni. A kirendelő felügyelő hatóság tagjai vagy munkatársai a fogadó felügyelő hatóság nemzeti jogának hatálya alá tartoznak. A fogadó felügyelő hatóság felelősséggel tartozik tevékenységükért.

(4)          A felügyelő hatóságok meghatározzák a konkrét együttműködési cselekmények gyakorlati szempontjait.

(5)          Amennyiben a felügyelő hatóság egy hónapon belül nem tesz eleget a (2) cikkben meghatározott kötelezettségének, a többi felügyelő hatóság az 51. cikk (1) bekezdése értelmében ideiglenes intézkedést hozhat a tagállamának területén.

(6)          A felügyelő hatóság meghatározza az (5) bekezdés szerinti ideiglenes intézkedés érvényességének időtartamát. Ez az időtartam nem haladhatja meg a három hónapot. A felügyelő hatóság haladéktalanul értesíti ezen intézkedésekről és azok teljes indokolásáról az Európai Adatvédelmi Testületet és a Bizottságot, és előterjeszti az ügyet az 57. cikk szerinti mechanizmus keretében.

2. SZAKASZ EGYSÉGESSÉG

57. cikk Egységességi mechanizmus

A 46. cikk (1) bekezdése céljából a felügyelő hatóságok az e szakaszban meghatározott egységességi eljárás révén együttműködnek egymással és a Bizottsággal.

58. cikk Az Európai Adatvédelmi Testület véleménye

(1)          A (2) bekezdés szerinti intézkedés elfogadását megelőzően a felügyelő hatóság értesíti az Európai Adatvédelmi Testületet és a Bizottságot az intézkedés tervezetéről.

(2)          Az (1) bekezdésben meghatározott kötelezettség olyan, joghatást kiváltó intézkedésekre alkalmazandó, amely:

a)      olyan feldolgozási tevékenységekre vonatkozik, amelyek termékek és szolgáltatások más tagállamok érintettjei részére történő nyújtásához, vagy viselkedésük nyomon követéséhez kapcsolódnak; vagy

b)      lényeges hatással jár a személyes adatok Unión belüli szabad áramlására; vagy

c)      a 34. cikk (5) bekezdése szerinti előzetes konzultáció hatálya alatt álló feldolgozási műveletek jegyzékének elfogadására irányul; vagy

d)      a 42. cikk (2) bekezdésének c) pontja szerinti egységes adatvédelmi feltételek meghatározására irányul; vagy

e)      a 42. cikk (2) bekezdésének d) pontja szerinti szerződéses feltételek engedélyezésére irányul; vagy

f)       a 43. cikk értelmében vett kötelező erejű vállalati szabályok jóváhagyására irányul.

(3)          Bármely felügyelő hatóság vagy az Európai Adatvédelmi Testület kérheti bármely ügy egységességi mechanizmus keretében való kezelését, különösen akkor, ha a felügyelő hatóság nem nyújtja be a (2) bekezdés szerinti intézkedéstervezetet, vagy nem teljesíti az 55. cikk értelmében a kölcsönös segítségnyújtásra vonatkozó kötelezettségét, vagy az 56. cikk értelmében a közös műveletekre vonatkozó kötelezettségét.

(4)          E rendelet helyes és következetes alkalmazásának biztosítása érdekében a Bizottság kérheti bármely ügy egységességi mechanizmus keretében való kezelését.

(5)          A felügyelő hatóságok és a Bizottság elektronikus úton, egységes formanyomtatvány segítségével közli a vonatkozó információkat, beleértve a tények összefoglalását, az intézkedéstervezetet, valamint az ilyen intézkedés elrendelésének szükségességét igazoló indokokat.

(6)          Az Európai Adatvédelmi Testület elnöke elektronikus úton, egységes formanyomtatvány segítségével azonnal értesíti az Európai Adatvédelmi Testület tagjait és a Bizottságot a beérkezett vonatkozó információkról. Az Európai Adatvédelmi Testület elnöke szükség esetén gondoskodik a vonatkozó információk fordításáról.

(7)          Az Európai Adatvédelmi Testület a vonatkozó információk (5) bekezdés szerinti megküldését követő egy héten belül tagjai egyszerű többségével meghozott saját kezdeményezésre vagy valamely felügyelő hatóság vagy a Bizottság kérésére véleményezi az ügyet. A véleményt az Európai Adatvédelmi Testület tagjainak egyszerű többségével kell elfogadni egy hónapon belül. Az Európai Adatvédelmi Testület elnöke haladéktalanul értesíti a véleményről – az esettől függően – az (1) és (3) bekezdésben említett felügyelő hatóságot, a Bizottságot és az 51. cikk szerint illetékes felügyelő hatóságot , és nyilvánosságra hozza azt.

(8)          Az (1) bekezdés szerinti, és az 51. cikk szerint illetékes felügyelő hatóság figyelembe veszi az Európai Adatvédelmi Testület véleményét, és az Európai Adatvédelmi Testület elnökének tájékoztatása vagy a vélemény beérkezését követő két héten belül, elektronikus úton, egységes formanyomtatvány segítségével értesíti az Európai Adatvédelmi Testület elnökét és a Bizottságot az intézkedéstervezet fenntartásáról vagy módosításáról, valamint adott esetben megküldi a módosított intézkedéstervezetet.

59. cikk A Bizottság véleménye

(1)          A kérdés 58. cikk szerinti felmerülésétől számított tíz héten belül, vagy a 61. cikk esetében legkésőbb hat héten belül a Bizottság e rendelet helyes és következetes alkalmazása érdekében véleményt fogadhat el az 58. vagy a 61. cikk értelmében felmerült kérdésekkel kapcsolatban.

(2)          Amennyiben a Bizottság az (1) bekezdés értelmében véleményt fogad el, az érintett felügyelő hatóság a lehető legkiemeltebb figyelmet fordítja a Bizottság véleményére, és értesíti a Bizottságot és az Európai Adatvédelmi Testületet arról, hogy fenntartja vagy módosítja-e az intézkedéstervezetet.

(3)          Az (1) bekezdésben megjelölt időszakban a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet.

(4)          Amennyiben az érintett felügyelő hatóság nem kívánja követni a Bizottság véleményét, az (1) bekezdésben megjelölt időn belül indokolás mellett értesíti erről a Bizottságot és az Európai Adatvédelmi Testületet. Ebben az esetben az intézkedéstervezetet további egy hónapig nem lehet elfogadni.

60. cikk Az intézkedéstervezet felfüggesztése

(1)          Az 59. cikk (4) bekezdése szerinti értesítést követő egy hónapon belül, valamint ha a Bizottság komolyan kételkedik abban, hogy az intézkedés e rendelet helyes alkalmazását szolgálja, vagy más módon vezet következetlen alkalmazáshoz, a Bizottság indokolással ellátott határozatban kötelezheti a felügyelő hatóságot az intézkedéstervezet elfogadásának felfüggesztésére, figyelembe véve az Európai Adatvédelmi Testületnek az 58. cikk (7) bekezdése vagy a 61. cikk (2) bekezdése szerinti véleményét, amennyiben az szükségesnek tűnik az alábbiak szempontjából:

a)      a felügyelő hatóság és az Európai Adatvédelmi Testület ellentmondó álláspontjainak összehangolása, amennyiben ez még lehetséges; vagy

b)      a 62. cikk (1) bekezdésének a) pontja szerinti intézkedés elfogadása.

(2)          A Bizottság meghatározza a felfüggesztés időtartamát, amely nem haladhatja meg a 12 hónapot.

(3)          A (2) bekezdésben megjelölt időszakon belül a felügyelő hatóság nem fogadhatja el az intézkedéstervezetet.

61. cikk Sürgősségi eljárás

(1)          Kivételes körülmények között, amennyiben a felügyelő hatóság megállapítja, hogy sürgős intézkedésre van szükség az érintettek védelme érdekében, különösen amennyiben fennáll a veszélye annak, hogy valamely érintett jogának érvényesítését lényeges mértékben korlátozza a fennálló állapot megváltoztatása, vagy amennyiben lényeges hátrányok merülnek fel, vagy más okok miatt, az 58. cikk szerinti eljárásoktól eltérően azonnal ideiglenes, meghatározott érvényességi idejű intézkedéseket fogad el. A felügyelő hatóság haladéktalanul értesíti a Bizottságot és az Európai Adatvédelmi Testületet az intézkedésekről és azok valamennyi indokáról.

(2)          Amennyiben a felügyelő hatóság az (1) bekezdés szerint intézkedést hozott és megállapítja, hogy sürgősen szükség van végleges intézkedések elfogadására, sürgős véleményt kérhet az Európai Adatvédelmi Testülettől, a vélemény indokainak és a végleges intézkedések sürgősségére vonatkozó indokok bemutatása mellett.

(3)          Az érintettek érdekeinek védelme érdekében – a sürgős véleménykérés indokainak és az intézkedés sürgős szükségességének bemutatása mellett – bármely felügyelő hatóság kérheti vélemény meghozatalát, ha az illetékes felügyelő hatóság nem hozta meg a megfelelő intézkedéseket a sürgős intézkedést igénylő helyzetekben.

(4)          Az 58. cikk (7) bekezdésétől eltérően az e cikk (2) és (3) bekezdésében hivatkozott sürgős véleményt az Európai Adatvédelmi Testület tagjai egyszerű többséggel, két héten belül fogadják el.

62. cikk Végrehajtási jogi aktusok

(1)          A Bizottság végrehajtási aktusokat fogad el:

a)      e rendelet helyes alkalmazásáról való döntés érdekében, összhangban annak céljaival és előírásaival, a felügyelő hatóságok által az 58. vagy a 61. cikk értelmében közölt olyan kérdésekkel kapcsolatban, amelyek vonatkozásában a 60. cikk (1) bekezdése szerinti indokolással ellátott véleményt fogadtak el, vagy olyan kérdésekkel kapcsolatban, amelyek vonatkozásában egy felügyelő hatóság nem terjesztett elő intézkedéstervezetet és e felügyelő hatóság jelezte, hogy nem szándékozik követni a Bizottság 59. cikk alapján elfogadott véleményét;

b)      az 59. cikk (1) bekezdésben megjelölt határidőn belül annak eldöntésére, hogy az 58. cikk (2) bekezdésének d) pontja szerinti egységes adatvédelmi feltételeket általánosan érvényesnek tekinti‑e;

c)      az e szakaszban hivatkozott egységességi mechanizmus alkalmazása formátumának és eljárásainak meghatározása érdekében;

d)      a felügyelő hatóságok, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület közötti elektronikus információcserére, különösen az 58. cikk (5), (6) és (8) bekezdése szerinti egységes formanyomtatványra vonatkozó szabályozás meghatározása érdekében.

E végrehajtási aktusokat a 87. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni, figyelemmel az Európai Adatvédelmi Testület véleményére.

(2)          Az (1) bekezdés a) pontja szerinti, az érintettek érdekeire vonatkozó kellően indokolt rendkívül sürgős esetekben a Bizottság a 87. cikk (3) bekezdése szerinti eljárással összhangban azonnali hatállyal alkalmazandó végrehajtási jogi aktusokat fogad el. E végrehajtási jogi aktusok hatálya nem haladhatja meg a 12 hónapot.

(3)          Az e szakasz szerinti intézkedés hiánya vagy elfogadása nem érinti a Bizottság Szerződések szerinti egyéb intézkedéseit.

63. cikk Végrehajtás

(1)          E rendelet alkalmazásában valamely tagállam felügyelő hatóságának végrehajtható intézkedését minden érintett tagállamban végre kell hajtani.

(2)          Amennyiben valamely felügyelő hatóság az 58. cikk (1)–(5) bekezdésének megsértésével nem nyújt be intézkedéstervezetet az egységességi mechanizmus számára, a felügyelő hatóság intézkedése nem tekinthető jogerősnek és végrehajthatónak.

3. SZAKASZ az Európai Adatvédelmi testület

64. cikk Az Európai Adatvédelmi Testület

(1)          Létrejön az Európai Adatvédelmi Testület.

(2)          Az Európai Adatvédelmi Testület minden tagállam egy felügyelő hatóságának vezetőjéből és az európai adatvédelmi biztosból áll.

(3)          Amennyiben valamely tagállamban egynél több felügyelő hatóság felelős az e rendelet értelmében elfogadott rendelkezések alkalmazásának ellenőrzéséért, közös képviselőként kinevezik e felügyelő hatóságok egyikének vezetőjét.

(4)          A Bizottság részt vehet az Európai Adatvédelmi Testület tevékenységében és ülésein, és képviselőt jelöl ki. Az Európai Adatvédelmi Testület elnöke haladéktalanul értesíti a Bizottságot az Európai Adatvédelmi Testület valamennyi tevékenységéről.

65. cikk Függetlenség

(1)          Az Európai Adatvédelmi Testület a 66. és 67. cikk szerinti feladatainak ellátása során teljes függetlenségben jár el.

(2)          A Bizottság 66. cikk (1) bekezdésének b) pontja és (2) bekezdése szerinti felkéréseinek sérelme nélkül az Európai Adatvédelmi Testület feladatköre ellátása során senkitől nem kérhet, és nem fogadhat el utasítást.

66. cikk Az Európai Adatvédelmi Testület feladatai

(1)          Az Európai Adatvédelmi Testület biztosítja e rendelet következetes alkalmazását. Ennek érdekében az Európai Adatvédelmi Testület saját kezdeményezésére vagy a Bizottság kérésére különösen:

a)      tanáccsal látja el a Bizottságot a személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük e rendelet bármely javasolt módosítása tekintetében;

b)      saját kezdeményezésére, valamely tagja vagy a Bizottság kérésére megvizsgál bármely, e rendelet alkalmazását érintő kérdést, valamint e rendelet következetes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelő hatóságok számára;

c)      felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak;

d)      véleményezi az 57. cikk szerinti egységességi mechanizmus értelmében a felügyelő hatóságok határozattervezeteit;

e)      előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét;

f)       támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat;

g)      előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is.

(2)          Amennyiben a Bizottság tanácsot kér az Európai Adatvédelmi Testülettől, az ügy sürgősségét figyelembe véve meghatározhatja azt a határidőt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia.

(3)          Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és legjobb gyakorlatait továbbítja a Bizottságnak és a 87. cikk szerinti bizottságnak, és nyilvánosságra hozza azokat.

(4)          A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről.

67. cikk Jelentések

(1)          Az Európai Adatvédelmi Testület rendszeresen és megfelelő időben értesíti a Bizottságot tevékenységének eredményeiről. Éves jelentést készít a személyes adatok Unióban és harmadik országokban történő feldolgozása vonatkozásában a természetes személyek védelmének helyzetéről.

A jelentés tartalmazza a 66. cikk (1) bekezdésének c) pontja szerinti iránymutatások, javaslatok és bevált módszerek gyakorlati alkalmazásának felülvizsgálatát.

(2)          A jelentést közzé kell tenni, és továbbítani kell az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.

68. cikk Eljárás

(1)          Az Európai Adatvédelmi Testület határozatait tagjainak egyszerű többségével hozza.

(2)          Az Európai Adatvédelmi Testület elfogadja saját eljárási szabályzatát, és megszervezi saját működési szabályait. Rendelkezik különösen a végrehajtási feladatkörök ellátásának folyamatosságáról valamely tag megbízatásának lejárta vagy lemondása esetén, alcsoportok létrehozataláról a különös kérdések vagy ágazatok tekintetében, valamint az 57. cikk szerinti egységességi mechanizmushoz kapcsolódó eljárásairól.

69. cikk Az elnök

(1)          Az Európai Adatvédelmi Testület tagjai közül elnököt és két elnökhelyettest választ. Az egyik elnökhelyettes az európai adatvédelmi biztos, kivéve, ha őt választják elnöknek.

(2)          Az elnök és az elnökhelyettes megbízatása 5 évre szól, és megújítható.

70. cikk Az elnök feladatai

(1)          Az elnök feladatai a következők:

a)      az Európai Adatvédelmi Testület üléseinek vezetése és napirendjének előkészítése;

b)      az Európai Adatvédelmi Testület feladatai megfelelő időben történő teljesítésének biztosítása, különösen az 57. cikk szerinti egységességi mechanizmus tekintetében.

(2)          Az Európai Adatvédelmi Testület saját eljárási szabályzatában meghatározza az elnök és az elnökhelyettesek közötti feladatmegosztást.

71. cikk A titkárság

(1)          Az Európai Adatvédelmi Testület titkársággal rendelkezik. A titkárságot az európai adatvédelmi biztos biztosítja.

(2)          A titkárság az elnök irányítása alatt elemző, igazgatási és logisztikai támogatást nyújt az Európai Adatvédelmi Testület részére.

(3)          A titkárság felel különösen:

a)      az Európai Adatvédelmi Testület mindennapi működéséért;

b)      az Európai Adatvédelmi Testület tagjai, elnöke és a Bizottság közötti kommunikációért, valamint a más intézményekkel és a nyilvánossággal folytatott kommunikációért;

c)      az elektronikus úton történő belső és külső kommunikációért;

d)      a releváns információk fordításáért;

e)      az Európai Adatvédelmi Testület üléseinek előkészítéséért és nyomon követéséért;

f)       az Európai Adatvédelmi Testület által elfogadott vélemények és más szövegek előkészítéséért, szövegezéséért és közzétételéért.

72. cikk Titoktartás

(1)          Az Európai Adatvédelmi Testület megbeszélései titkosak.

(2)          Az Európai Adatvédelmi Testület tagjainak, szakértőknek és harmadik felek képviselőinek továbbított dokumentumok titkosak, kivéve, ha az 1049/2001/EK rendelet értelmében biztosítják az e dokumentumokhoz való hozzáférést, vagy az Európai Adatvédelmi Testület nyilvánosságra hozza azokat.

(3)          Az Európai Adatvédelmi Testület tagjainak, valamint a szakértőknek és harmadik felek képviselőinek eleget kell tenniük az e cikkben meghatározott titoktartási kötelezettségeknek. Az elnök biztosítja, hogy a szakértők és a harmadik felek képviselői figyelmét felhívják a rájuk vonatkozó titoktartási követelményekre.

VIII. FEJEZET

JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

73. cikk A felügyelő bizottsághoz címzett panasz benyújtásához való jog

(1)          Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül minden érintettnek joga van panaszt emelni bármely tagállam felügyelő hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes e rendelettel.

(2)          Valamennyi olyan szerv, szervezet vagy egyesület, amelynek célja az érintettek személyes adatok védelmére vonatkozó jogainak és érdekeinek védelme, és amelyet valamely tagállam jogának megfelelően hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelő hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak e rendelet szerinti jogait.

(3)          Az érintett panaszától függetlenül a (2) bekezdés szerinti szerv, szervezet vagy egyesület jogosult bármely tagállam felügyelő hatóságánál panaszt emelni, ha megítélése szerint a személyes adatok megsértésére került sor.

74. cikk A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog

(1)          Minden természetes vagy jogi személy jogosult a felügyelő hatóság rá vonatkozó döntései ellen bírósági jogorvoslatot igénybe venni.

(2)          A jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelő hatóság három hónapon belül nem tájékoztatja az érintettet – az 52. cikk (1) bekezdésének b) pontjának megfelelően – a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről, valamennyi érintettnek joga van a felügyelő hatóságot a panasz elbírálására kötelező bírósági jogorvoslathoz.

(3)          A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(4)          Amennyiben az érintettre egy másik tagállam felügyelő hatóságának határozata vonatkozik, mint amelyikben szokásos tartózkodási helye van, az érintett kérheti a szokásos tartózkodási hely szerinti tagállam felügyelő hatóságát, hogy nevében indítson eljárást a másik tagállam felügyelő hatóságával szemben.

(5)          A tagállamok végrehajtják az e cikkben említett jogerős bírósági határozatokat.

75. cikk Az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jog

(1)          A rendelkezésre álló közigazgatási jogorvoslatok – beleértve a felügyelő hatóságnál emelt panaszok benyújtásának 73. cikk szerinti jogát – sérelme nélkül minden természetes személyt megillet a bírósági jogorvoslathoz való jog, ha megítélése szerint a személyes adatainak e rendelettel ellentétes feldolgozása következtében megsértették az e rendelet szerinti jogait.

(2)          Az adatkezelő vagy -feldolgozó elleni eljárást az adatkezelő vagy -feldolgozó telephelye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő közhatalmi jogkörét gyakorló hatóság.

(3)          Amennyiben az eljárások az ugyanazon intézkedésre, határozatra vagy gyakorlatra vonatkozó, az 58. cikkben hivatkozott egységességi mechanizmus érelmében felfüggesztésre kerültek, a bíróság felfüggesztheti az előtte folyamatban lévő eljárást, kivéve ha az érintett jogai védelmének sürgőssége nem teszi lehetővé az egységességi mechanizmus szerinti eljárás eredményének megvárását.

(4)          A tagállamok végrehajtják a jelen cikkben említett jogerős bírósági határozatokat.

76. cikk A bírósági eljárásokra vonatkozó közös szabályok

(1)          A 73. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult a 74. és 75. cikk szerinti jogokat egy vagy több érintett nevében gyakorolni.

(2)          E rendelet rendelkezéseinek végrehajtása, illetve a személyes adatok Unión belüli védelmének következetes biztosítása érdekében valamennyi felügyelő hatóság jogosult a jogi eljárásokban részt venni és bírósági keresetet indítani.

(3)          Amennyiben valamely tagállam illetékes bírósága ésszerű indokok alapján úgy véli, hogy egy másik tagállamban párhuzamos eljárás van folyamatban, megkeresi a másik tagállam illetékes bíróságát az említett párhuzamos eljárás fennállásának megerősítése érdekében.

(4)          Amennyiben az ilyen párhuzamos eljárások ugyanazon intézkedésre, határozatra vagy gyakorlatra vonatkoznak, a bíróság az eljárást felfüggesztheti.

(5)          A tagállamok biztosítják, hogy a nemzeti jog alapján rendelkezésre álló bírósági keresetek lehetővé teszik a feltételezett jogsértés megszüntetésére és az érintett érdekek jövőbeni megsértésének megelőzésére irányuló, ideiglenes intézkedéseket is magukban foglaló intézkedések gyors elfogadását.

77. cikk A kártérítéshez való jog és a felelősség

(1)          Minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az e rendelettel összeegyeztethetetlen cselekmény eredményeként kárt szenvedett, az elszenvedett károkért az adatkezelővel vagy -feldolgozóval szemben kártérítésre jogosult

(2)          Amennyiben az adatfeldolgozásban egynél több adatkezelő vagy -feldolgozó vesz részt, minden adatkezelő vagy -feldolgozó egyetemlegesen felel a kár teljes összegéért.

(3)          Az adatkezelő vagy -feldolgozó részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

78. cikk Szankciók

(1)          A tagállamok rögzítik az e rendelet értelmében elfogadott rendelkezések megsértése esetén alkalmazandó szankciók szabályait, és azok végrehajtásának biztosítására minden szükséges intézkedést megtesznek, beleértve azt is, ha az adatkezelő nem tesz eleget a képviselő kijelölésére vonatkozó kötelezettségének. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

(2)          Amennyiben az adatkezelő rendelkezik képviselővel, a szankciókat a képviselővel szemben kell alkalmazni, az adatkezelővel szemben alkalmazható szankciók sérelme nélkül.

(3)          A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

79. cikk Közigazgatási szankciók

(1)          Valamennyi felügyelő hatóság hatáskörrel rendelkezik e cikknek megfelelő közigazgatási szankciók alkalmazására.

(2)          A közigazgatási szankcióknak minden egyes esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A közigazgatási bírság összegének meghatározása során kellő figyelmet kell fordítani a jogsértés jellegére, súlyosságára és időtartamára, a jogsértés szándékos vagy gondatlan jellegére, a természetes vagy jogi személy felelősségének szintjére és az e személy által korábban megvalósított jogsértésekre, a 23. cikk szerint alkalmazott technikai és szervezeti intézkedésekre és eljárásokra, valamint a felügyelő hatóságokkal a jogsértés orvoslása érdekében megvalósított együttműködés szintjére.

(3)          Az e rendeletnek való első és nem szándékos meg nem felelés esetén írásbeli figyelmeztetést bocsátható ki és mellőzhető a szankció kiszabása, amennyiben:

(a) a természetes személy kereskedelmi érdek nélkül dolgoz fel személyes adatokat; vagy

(b) a 250 főnél kevesebb főt foglalkoztató vállalkozás vagy szervezet, amely személyes adatokat csak a főtevékenységét kiegészítő melléktevékenységként dolgoz fel.

(4)          A felügyelő hatóság 250 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 0,5%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)      nem hozza létre az érintettek kérelmeihez kapcsolódó mechanizmusokat, vagy az érintetteknek nem válaszol haladéktalanul, vagy nem a megfelelő formátumban, a 12. cikk (1) és (2) bekezdése szerint;

b)      a 12. cikk (4) bekezdésének megsértésével díjat számít fel az érintettek tájékoztatásáért vagy a kérelmeik megválaszolásáért;

(5)          A felügyelő hatóság 500 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 1%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)      nem, vagy hiányosan, vagy nem megfelelően átlátható módon bocsátja az érintett rendelkezésére a 11. cikk, a 12. cikk (3) bekezdése vagy a 14. cikk szerinti információt;

b)      nem biztosítja az érintett számára hozzáférést vagy nem helyesbíti a személyes adatokat a 15. és a 16. cikk szerint, vagy nem értesíti a címzettet a vonatkozó információkról a 13. cikk szerint;

c)      nem tesz eleget a személyes adatok tárolásának megszüntetéséhez vagy a törléshez való jognak, vagy elmulasztja a határidők nyomon követésére szolgáló mechanizmusok létrehozását, vagy nem teszi meg a szükséges lépéseket annak érdekében, hogy tájékoztassa a harmadik feleket az érintetteknek link, másolat vagy másodpéldány törlésére irányuló kérelméről a 17. cikk szerint;

d)      a 18. cikk megsértésével nem bocsátja elektronikus formában rendelkezésre a személyes adatok másolatát, vagy megakadályozza az érintettet a személyes adatok más alkalmazásba való továbbításában;

e)      nem vagy nem kellőképpen határozza meg a közös adatkezelők vonatkozó kötelezettségeit a 24. cikk szerint;

f)       nem vagy nem kellőképpen vezeti a 28. cikk, a 31. cikk (4) bekezdése, vagy a 44. cikk (3) bekezdése szerinti dokumentációt;

g)      az adatok különös kategóriáit nem érintő esetekben nem tesz eleget a 80., 82. és 83. cikk szerint a véleménynyilvánítás szabadságához kapcsolódó szabályoknak, vagy a foglalkoztatással összefüggő feldolgozáshoz kapcsolódó szabályoknak, vagy a történelmi, statisztikai vagy tudományos kutatási célú feldolgozás feltételeinek.

(6)          A felügyelő hatóság 1 000 000 euróig terjedő bírságot alkalmaz, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 2%-át, azzal szemben, aki szándékosan vagy gondatlanságból:

a)      a személyes adatok feldolgozását a feldolgozáshoz szükséges jogalap nélkül vagy megfelelő jogalap nélkül végzi, vagy nem tesz eleget a 6., 7. és 8. cikk szerinti hozzájárulás feltételeinek;

b)      a 9. és a 81. cikk megsértésével dolgozza fel az adatok különös kategóriáit;

c)      nem tesz eleget a kifogásolásnak vagy a 19. cikk szerinti követelményeknek;

d)      nem tesz eleget a profilalkotáson alapuló mechanizmusok 20. cikk szerinti feltételeinek;

e)      nem fogadja el azokat a belső politikákat vagy nem alkalmazza azokat a megfelelő intézkedéseket, amelyek biztosítják és igazolják a 22., 23. és 30. cikkel való összhangot;

f)       nem jelöli ki a 25. cikk szerinti képviselőt;

g)      a 26. és a 27. cikk szerint az adatkezelő nevében végzett feldolgozáshoz kapcsolódó kötelezettségek megsértésével dolgozza fel a személyes adatokat vagy irányítja azok feldolgozását;

h)      nem, vagy nem időben vagy nem teljes mértékben figyelmezteti vagy értesíti a felügyelő hatóságot vagy az érintettet a személyes adatok megsértéséről a 31. és a 32. cikk szerint;

i)       nem végez adatvédelmi hatásvizsgálatot, vagy a felügyelő hatóság 33. és 34. cikk szerinti előzetes engedélyezése vagy a vele való előzetes konzultáció nélkül dolgoz fel személyes adatot;

j)       a 35., 36. és 37. cikk szerint nem jelöl ki adatvédelmi tisztviselőt, vagy nem biztosítja a feladatai ellátásához szükséges feltételeket;

k)      visszaél a 39. cikk értelmében vett adatvédelmi címkével vagy jelzővel;

l)       olyan harmadik országba vagy nemzetközi szervezet részére végez vagy irányít adattovábbítást, amelyet nem engedélyeztek megfelelőségi határozattal, vagy megfelelő biztosítékok, vagy eltérés alapján a 40–44. cikk szerint;

m)     nem tesz eleget a felügyelő hatóság 53. cikk (1) bekezdése szerinti utasításának vagy az adatfeldolgozás átmeneti vagy végleges tilalmára vagy az adatáramlás felfüggesztésére vonatkozó felszólításának;

n)      nem tesz eleget a 28. cikk (3) bekezdése, a 29. cikk, a 34. cikk (6) bekezdése és az 53. cikk (2) bekezdése szerinti azon kötelezettségének, hogy a felügyelő hatóságot támogassa, válaszoljon neki vagy rendelkezésére bocsássa a vonatkozó információkat, vagy belépést biztosítson a helyiségeibe;

o)      nem tesz eleget a szakmai titoktartás biztosítására vonatkozó, 84. cikk szerinti szabályoknak.

(7)          A Bizottság felhatalmazást kap arra, hogy a (2) bekezdés szerinti feltétel figyelembevétele mellett, az e cikk (4), (5) és (6) bekezdése szerinti közigazgatási bírságok összegének aktualizálása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

IX. FEJEZET

AZ ADATFELDOLGOZÁS KÜLÖNÖS ESETEIRE VONATKOZÓ RENDELKEZÉSEK

80. cikk A személyes adatok feldolgozása és a véleménynyilvánítás szabadsága

(1)          A tagállamok az újságírás vagy az irodalmi, vagy művészi kifejezés céljából végzett személyesadat-feldolgozás tekintetében annak érdekében határozhatnak meg kivételeket vagy eltéréseket a II. fejezet szerinti általános alapelvekre, az érintettek III. fejezet szerinti jogaira, a IV. fejezet szerinti adatkezelőre és -feldolgozóra, a személyes adatok harmadik országokba vagy nemzetközi szervezetekhez irányuló, V. fejezet szerinti továbbítására, a VI. fejezet szerinti független felügyelő hatóságokra, valamint a VII. fejezet szerinti együttműködésre és egységességre vonatkozó rendelkezések tekintetében, hogy biztosítsák az egyensúlyt a személyes adatok védelméhez való jog és a véleménynyilvánítás szabadságára vonatkozó szabályok között.

(2)          A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

81. cikk Egészségügyi vonatkozású személyes adatok feldolgozása

(1)          E rendelet keretein belül és a 9. cikk (2) bekezdésének h) pontjával összhangban az egészségügyi vonatkozású személyes adatok feldolgozása olyan uniós vagy tagállami jogszabályok alapján történhet, amely megfelelő és konkrét intézkedések megállapításával biztosítja az érintett jogos érdekeit, és arra az alábbiak miatt van szükség:

a)      a megelőző orvoslás vagy foglalkozás-egészségügy, az orvosi diagnózis, az ellátások vagy kezelések biztosítása vagy az egészségügyi szolgáltatások irányítása érdekében, ha ezeket az adatokat a szakmai titoktartás kötelezettsége alatt álló egészségügyi szakember, vagy a tagállamok joga vagy az illetékes nemzeti hatóságok által létrehozott szabályok szerint ezzel azonos titoktartási kötelezettség alatt álló más személy dolgozza fel; vagy

b)      a népegészség területét érintő közérdek miatt, mint például a határokon átnyúló komoly egészségügyi fenyegetésekkel szembeni védelem, többek a gyógyszeripari termékek vagy orvosi berendezések minősége és biztonsága magas szintjének biztosítása; vagy

c)      egyéb közérdek miatt olyan területeken, mint például a szociális védelem, különösen annak érdekében, hogy biztosítsák az egészségbiztosítási rendszerben az ellátásokra és szolgáltatásokra vonatkozó kérelmek kezelésére szolgáló eljárások minőségét és költséghatékonyságát.

(2)          Az egészségügyi vonatkozású személyes adatok történelmi, statisztikai vagy tudományos kutatási célú feldolgozására, mint például a diagnózisok fejlesztése és a hasonló betegségek megkülönböztetése és terápiás tanulmányok előkészítése céljából betegnyilvántartások létrehozatala, a 83. cikk szerinti feltételeket és biztosítékokat kell alkalmazni.

(3)          A Bizottság felhatalmazást kap arra, hogy a közegészség területén az egyéb közérdek b) pont szerinti fogalmának, valamint a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

82. cikk Foglalkoztatással összefüggő feldolgozás

(1)          E rendelet keretein belül a tagállamok jogszabályban meghatározzák azokat a különös szabályokat, amelyek szabályozzák a munkaadók részéről a személyes adataik foglalkoztatással összefüggő feldolgozását, különösen a toborzás, a munkaszerződés teljesítése, beleértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek biztosítása, a munka irányítása, tervezése és szervezése, továbbá a munkahelyi egészségvédelem és biztonság tekintetében, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete, valamint a munkaviszony megszüntetése tekintetében.

(2)          A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

(3)          A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) cikkben említett célokból való feldolgozásának biztosítékaira vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

83. cikk Történelmi, statisztikai és tudományos kutatási célú feldolgozás

(1)          E rendelet keretein belül, a személyes adatok történelmi, statisztikai és tudományos kutatási célú feldolgozására csak akkor kerülhet sor, ha:

a)      e célokat másként nem lehet megvalósítani olyan adatfeldolgozással, amely nem vagy már nem teszi lehetővé az érintett azonosítását;

b)      az azonosított vagy azonosítható érintettre vonatkozó információhoz való hozzáférést biztosító adatot az egyéb adatoktól elkülönítve tárolják, feltéve, hogy e célok ilyen módon megvalósíthatóak.

(2)          A történelmi, statisztikai vagy tudományos kutatást végző szervek kizárólag akkor hozhatják nyilvánosságra vagy tehetik más módon közzé a személyes adatokat, ha:

a)      az érintett a 7. cikkben meghatározott feltételek szerint hozzájárult;

b)      a személyes adatok nyilvánosságra hozatala a kutatási eredmények bemutatása vagy a kutatás megkönnyítése céljából szükséges, amennyiben az érintett érdekei, alapvető jogai vagy szabadságai nem élveznek elsőbbséget ezen érdekekkel szemben; vagy

c)      az érintett nyilvánosságra hozta az adatokat.

(3)          A Bizottság felhatalmazást kap arra, hogy a személyes adatok (1) és (2) cikkben említett célokból való feldolgozására, valamint az érintett tájékoztatáshoz és hozzáféréshez való jogának szükséges korlátozásaira, és az érintettek jogaira e körülmények között alkalmazandó biztosítékokra vonatkozó szempontok és követelmények további meghatározása érdekében a 86. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

84. cikk Titoktartási kötelezettségek

(1)          E rendelet keretein belül a tagállamok különös szabályokat hozhatnak a felügyelő hatóságok 53. cikk (2) bekezdése szerinti vizsgálati jogkörének meghatározására a nemzeti jog vagy valamely illetékes nemzetközi szervezet szabályai értelmében szakmai titoktartás vagy más, ezzel azonos titoktartási kötelezettség hatálya alatt álló adatkezelők vagy -feldolgozók tekintetében, amennyiben azok a személyes adatok védelméhez való jog és a titoktartási kötelezettség közötti egyensúly biztosítása érdekében szükségesek és arányosak. E szabályokat csak azokra a személyes adatokra kell alkalmazni, amelyeket az adatkezelő vagy -feldolgozó e titoktartási kötelezettség keretében végzett tevékenysége során szerzett vagy kért.

(2)          A tagállamok legkésőbb a 91. cikk (2) bekezdésében meghatározott időpontig értesítik az (1) bekezdés szerint elfogadott nemzeti jogi rendelkezésekről a Bizottságot, és haladéktalanul bejelentenek valamennyi későbbi, ezeket érintő módosítást.

85. cikk Egyházak és vallási szerveztek létező adatvédelmi szabályai

(1)          Amennyiben egy tagállamban egyházak, illetve vallásos szervezetek vagy közösségek a rendelet hatálybalépésének időpontjában átfogó szabályokat alkalmaznak a személyek adatfeldogozással kapcsolatos védelme tekintetében, a létező szabályok tovább alkalmazhatók, amennyiben azokat összhangba hozzák a rendelettel.

(2)          Az (1) bekezdéssel összhangban átfogó szabályokat alkalmazó egyházak és vallási szervezetek rendelkeznek független felügyelő hatóság létrehozásáról, e rendelet VI. fejezetével összhangban.

X. FEJEZET

FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

86. cikk A felhatalmazás gyakorlása

(1)          A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktusok elfogadására.

(2)          A Bizottság 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (6) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett felhatalmazása az e rendelet hatálybalépésnek időpontjától számított határozatlan időre szól.

(3)          Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (5) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 15. cikk (3) bekezdésben, 17. cikk (3) bekezdésben, 20. cikk (6) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 26. cikk (5) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben és 83. cikk (3) bekezdésben említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4)          A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(5)          A 6. cikk (5) bekezdésben, 8. cikk (3) bekezdésben, 9. cikk (3) bekezdésben, 12. cikk (5) bekezdésben, 14. cikk (7) bekezdésben, 17. cikk (9) bekezdésben, 20. cikk (6) bekezdésben, 22. cikk (4) bekezdésben, 23. cikk (3) bekezdésben, 28. cikk (5) bekezdésben, 30. cikk (3) bekezdésben, 31. cikk (5) bekezdésben, 32. cikk (5) bekezdésben, 33. cikk (6) bekezdésben, 34. cikk (8) bekezdésben, 35. cikk (11) bekezdésben, 37. cikk (2) bekezdésben, 39. cikk (2) bekezdésben, 43. cikk (3) bekezdésben, 44. cikk (7) bekezdésben, 79. cikk (6) bekezdésben, 81. cikk (3) bekezdésben, 82. cikk (3) bekezdésben, és 83. cikk (3) bekezdésben említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ezen időtartam két hónappal meghosszabbodik.

87. cikk A bizottsági eljárás

(1)          A Bizottság munkáját egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet szerinti bizottság.

(2)          Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)          Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkével összefüggésben értelmezett 8. cikkét kell alkalmazni.

XI. FEJEZET

ZÁRÓ RENDELKEZÉSEK

88. cikk A 95/46/EK irányelv hatályon kívül helyezése

(1)          A 95/46/EK irányelv hatályát veszti.

(2)          A hatályon kívül helyezett irányelvre történő hivatkozást az e rendeletre történő hivatkozásnak kell tekinteni. A 95/46/EK irányelv 29. cikke által létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.

89. cikk A 2002/58/EK irányelvvel való összefüggés és annak módosítása

(1)          E rendelet nem határoz meg kiegészítő kötelezettséget természetes vagy jogi személyek tekintetében az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben feldolgozott személyes adatok esetében, olyan kérdésekkel kapcsolatban, amelyek a 2002/58/EK irányelvben szereplő azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.

(2)          A 2002/58/EK irányelv 1. cikkének (2) bekezdése hatályát veszti.

90. cikk Értékelés

A Bizottság rendszeres időközönként jelentéseket terjeszt az Európai Parlament és a Tanács elé e rendelet értékeléséről és felülvizsgálatáról. Az első jelentéseket legkésőbb az e rendelet hatályba lépésétől számított négy éven belül kell benyújtani. A további jelentéseket azt követően négyévente kell benyújtani. A Bizottság – amennyiben szükségesnek ítéli – megfelelő javaslatokat tesz e rendelet módosítására és más jogi eszközök igénybe vételére, figyelembe véve különösen az információs technológia fejlődését, és az információs társadalom fejlődésének állapota fényében. A jelentéseket közzé kell tenni.

91. cikk Hatálybalépés és alkalmazás

(1)          Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2)          Ezt a rendeletet [az (1) bekezdésben meghatározott időpontot követő második év]-tól/től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2012.1.25.-én.

Az Európai Parlament részéről                     A Tanács részéről

Az elnök                                                         az elnök

PÉNZÜGYI KIMUTATÁS

1.           A JAVASLAT/KEZDEMÉNYEZÉS FŐBB ADATAI

              1.1.    A javaslat/kezdeményezés címe

              1.2.    A tevékenységalapú irányítás /tevékenységalapú költségvetés-tervezés keretébe tartozó érintett szakpolitikai terület(ek)

              1.3.    A javaslat/kezdeményezés típusa

              1.4.    Célkitűzés(ek)

              1.5.    A javaslat/kezdeményezés indoklása

              1.6.    Az intézkedés és a pénzügyi hatás időtartama

              1.7.    Tervezett irányítási módszer(ek)

2.           IRÁNYÍTÁSI INTÉZKEDÉSEK

              2.1.    A nyomon követésre és a jelentéstételre vonatkozó rendelkezések

              2.2.    Irányítási és kontrollrendszer

              2.3.    A csalások és a szabálytalanságok megelőzésére vonatkozó intézkedések

3.           A JAVASLAT/KEZDEMÉNYEZÉS BECSÜLT PÉNZÜGYI HATÁSA

              3.1.    A kiadások a többéves pénzügyi keret mely fejezetét/fejezeteit és a költségvetés mely kiadási tételét/tételeit érintik?

              3.2.    A kiadásokra gyakorolt becsült hatás

              3.2.1. A kiadásokra gyakorolt becsült hatás összegzése

              3.2.2. Az operatív előirányzatokra gyakorolt becsült hatás

              3.2.3. Az igazgatási előirányzatokra gyakorolt becsült hatás

              3.2.4. A jelenlegi többéves pénzügyi kerettel való összeegyeztethetőség

              3.2.5. Harmadik felek részvétele a finanszírozásban

              3.3.    A bevételre gyakorolt becsült pénzügyi hatás

PÉNZÜGYI KIMUTATÁS

1. A JAVASLAT/KEZDEMÉNYEZÉS FŐBB ADATAI

A jelen pénzügyi kimutatás az adatvédelmi reform gyakorlati árültetéséhez szükséges igazgatási kiadások követelményeit részletezi a kapcsolódó hatásvizsgálatban kifejtetteknek megfelelően. A reform két jogalkotási javaslatból áll, egy általános adatvédelmi rendeletből és a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelvből. A jelen pénzügyi kimutatás mindkét eszköz költségvetési vonzatait tartalmazza.

A feladatmegosztás értelmében a forrásokat a Bizottság és az európai adatvédelmi biztos biztosítja.

A Bizottság tekintetében a szükséges forrásokat már tartalmazza a 2014–2020. időszakra vonatkozó pénzügyi perspektívára irányuló javaslat. Az adatvédelem a jogok és polgárság program egyik célkitűzése, amely ugyancsak támogatja a jogi keret gyakorlati megvalósítására irányuló intézkedéseket. A személyzeti követelményeket is tartalmazó igazgatási előirányzatok a Jogérvényesülési Főigazgatóság igazgatási költségvetésében szerepelnek.

Az európai adatvédelmi biztos tekintetében a szükséges forrásokat az európai adatvédelmi biztos vonatkozó éves költségvetésében kell figyelembe venni. A forrásokat a jelen pénzügyi kimutatás melléklete tartalmazza. Az Európai Adatvédelmi Testület titkárságát az európai adatvédelmi biztos bocsátja rendelkezésre, és új feladatainak ellátásához szükséges források biztosítása érdekében újra kell tervezni a 2014–2020. időszakra vonatkozó pénzügyi perspektíva 5. fejezetét.

1.1. A javaslat/kezdeményezés címe

Javaslat a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet)

Javaslat a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelvre

1.2. A tevékenységalapú irányítás /tevékenységalapú költségvetés-tervezés keretébe tartozó érintett szakpolitikai terület(ek)[49]

A jog érvényesülése – személyes adatok védelme

A költségvetési vonzatok a Bizottságot és az európai adatvédelmi biztost érintik. A Bizottság költségvetésére gyakorolt hatást a jelen pénzügyi kimutatás táblázatai részletezik. Az operatív kiadások a jogok és polgárság program részét képezik és a pénzügyi kimutatásban már figyelembe vették e programmal kapcsolatban, mivel az igazgatási kiadások a Jogérvényesülés Főigazgatóság részét képezik. Az Európai adatvédelmi biztosra vonatkozó elemeket a melléklet tartalmazza.

1.3. A javaslat/kezdeményezés típusa

¨ A javaslat/kezdeményezés új intézkedésre irányul

¨ A javaslat/kezdeményezés kísérleti projektet/előkészítő intézkedést követő új intézkedésre irányul[50]

þ A javaslat/kezdeményezés jelenlegi intézkedés meghosszabbítására irányul

¨ A javaslat/kezdeményezés új intézkedésnek megfelelően módosított intézkedésre irányul

1.4. Célkitűzések 1.4.1. A javaslat/kezdeményezés által érintett többéves bizottsági stratégiai célkitűzések

A reform célja az eredeti célkitűzések megvalósításának befejezése, figyelemmel az alábbi új fejlesztésekre és kihívásokra:

- az alapvető jogok hatékonyságának növelése az adatvédelem területén és az egyének számára az adataik ellenőrzésének biztosítása, különösen a technológiai fejlődéssel és a megnövekedett globalizációval összefüggésben;

- az adatvédelem belső piaci dimenziójának ösztönzése a széttagoltság csökkentésével, az egységesség erősítésével és a szabályozási környezet egyszerűsítésével, megszüntetve ezáltal a szükségtelen költségeket és csökkentve ezáltal az adminisztratív terheket.

A Lisszaboni Szerződés hatályba lépése – különösen az új jogalap (EUMSZ 16. cikk) bevezetése – lehetőséget biztosít továbbá olyan új célkitűzések megvalósításához, mint például

- a valamennyi területet érintő átfogó adatvédelmi keret létrehozása.

1.4.2. Konkrét célkitűzés(ek) és a tevékenységalapú irányítás/tevékenységalapú költségvetés-tervezés keretébe tartozó érintett tevékenység(ek)

1. sz. konkrét célkitűzés

Az adatvédelmi rendelkezések egységes végrehajtásának biztosítása

2. sz. konkrét célkitűzés

Az egységesebb végrehajtás biztosításának elősegítése érdekében a jelenlegi irányítási rendszer ésszerűsítése

a tevékenységalapú irányítás/tevékenységalapú költségvetés-tervezés keretébe tartozó érintett tevékenység(ek)

[…]

1.4.3. Várható eredmény(ek) és hatás(ok)

Tüntesse fel, milyen hatásokat gyakorolhat a javaslat/kezdeményezés a kedvezményezettekre/célcsoportokra.

Az adatkezelők tekintetében mind a közjogi, mind a magánjogi jogalanyok számára hasznos a harmonizált és egyértelműsített uniós adatvédelmi szabályozás és eljárások által megvalósuló nagyobb jogbiztonság, amely egyenlő feltételeket alakít ki, és biztosítja az adatvédelmi rendelkezések egységes végrehajtását, valamint az adminisztratív terhek lényeges csökkenését.

Az egyének jobban ellenőrzésük alatt tarthatják személyes adataikat és jobban bízhatnak a digitális környezetben, és védelmet élveznek abban az esetben is, ha adataikat külföldön dolgozzák fel. A személyes adatok feldolgozását végzők megerősített elszámoltathatóságára is számíthatnak.

Az egységes adatvédelmi rendszer magban foglalja továbbá a rendőrségi és igazságügyi területeket is, beleértve és túllépve a korábbi harmadik pillért.

1.4.4. Eredmény- és hatásmutatók

Tüntesse fel a javaslat/kezdeményezés megvalósításának nyomon követését lehetővé tevő mutatókat.

(a hatásvizsgálat 8. szakaszából)

Az indikátorokat rendszeres időközönként értékelni kell és a következő elemeket kell tartalmazniuk:

•        az adatkezelők által a „más tagállamok” jogszabályainak való megfelelésre fordított idő és költségek

•        az adatvédelmi tevékenységekhez rendelt források,

•        a köz- és magánszervezeteknél létrehozott adatvédelmi tisztviselői helyek,

•        az adatvédelmi hatásvizsgálat hasznosítása

•        az érintettek által előterjesztett panaszok száma, és az érintetteknek juttatott kártérítés

•        az adatkezelők elleni vádemeléssel járó esetek száma

•        az adatvédelem megsértéséért felelős adatkezelőkre kivetett bírságok.

1.5. A javaslat/kezdeményezés indoklása 1.5.1. Rövid vagy hosszú távon kielégítendő szükséglet(ek)

Az irányelv tagállamok általi alkalmazása, értelmezése és végrehajtása körében jelenleg fennálló különbségek hátrányosan befolyásolják a belső piac működését és a hatóságok uniós politikákkal kapcsolatos együttműködését. Ez ellentétes az irányelv alapvető céljával, miszerint a belső piacon ösztönözni kell a személyes adatok szabad áramlását. Az új technológiák gyors fejlesztése és a globalizáció tovább növeli e problémát.

Az egyének különböző adatvédelmi jogokat élveznek a széttagoltság és a különböző tagállamokban nem egységes alkalmazás és végrehajtás miatt. Az egyének továbbá nincsenek tisztában azzal és nem is ellenőrizhetik azt, hogy mi történik a személyes adataikkal, ezért nem gyakorolhatják hatékonyan jogaikat.

1.5.2. Az uniós részvételből adódó többletérték

A tagállamok önállóan nem csökkenthetik a problémákat a jelen helyzetben. Különösen igaz ez az uniós adatvédelmi szabályozási keretet végrehajtó nemzeti jogszabályok széttagoltságából fakadó problémákra. Erős igény áll fenn tehát az adatvédelem jogi keretének uniós szintű rendezésére. Különösen a személyes adatok uniós határokon belül történő könnyű továbbítását lehetővé tevő harmonizált és egységes keret létrehozására van szükség, miközben biztosítani kell az egyének egész Unió területén történő hatékony védelmét.

1.5.3. Hasonló korábbi tapasztalatok tanulsága

E javaslat a 95/46/EK irányelv tapasztalataira épül, valamint az irányelv széttagolt átültetéséből és végrehajtásából fakadó problémákra, amelyek megakadályozták azt céljai megvalósításában, például az adatvédelem magas szintjének elérésében és az adatvédelem egységes piacának létrehozásában.

1.5.4. Összhang és lehetséges szinergia egyéb pénzügyi eszközökkel

Ezen adatvédelmi reformcsomag célja szigorú, egységes és modern adatvédelmi keret létrehozása uniós szinten – technológiai szempontból semleges és az elkövetkezendő évtizedekben is alkalmazható módon. Az egyének javát szolgálja – adatvédelmi jogaik erősítésében, különösen a digitális környezetben – és egyszerűsíti a vállalkozások és a közszféra számára a jogi környezetet, ösztönözve ezáltal a digitális környezet uniós belső piacon és azon túlmenően történő fejlesztését, az Európa 2020 stratégia célkitűzéseivel összhangban.

Az adatvédelmi reformcsomag központi eleme:

–        a 95/46/EK irányelvet felváltó rendelet;

–        a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása, vagy büntetések végrehajtása céljából az illetékes hatóságok által feldolgozott személyes adatok tekintetében az egyének védelméről, valamint az ilyen adatok szabad mozgásáról szóló irányelv.

E jogalkotási javaslatokat a tagállamok jelentése kíséri a büntetőügyekben folytatott rendőri és igazságügyi együttműködés területén jelenleg fő uniós adatvédelmi eszköz, a 2008/977/IB kerethatározat végrehajtásáról.

1.6. Az intézkedés és a pénzügyi hatás időtartama

¨ A javaslat/kezdeményezés határozott időtartamra vonatkozik

1. ¨  A javaslat/kezdeményezés időtartama: ÉÉÉÉ [HH/NN]-tól/-től ÉÉÉÉ [HH/NN]-ig

2. ¨  Pénzügyi hatás: ÉÉÉÉ-tól/-től ÉÉÉÉ-ig

þ A javaslat/kezdeményezés határozatlan időtartamra vonatkozik

1. Beindítási időszak: 2014-től 2016-ig,

2. azt követően: rendes ütem.

1.7. Tervezett igazgatási módszer(ek)[51]

þ Centralizált igazgatás közvetlenül a Bizottság által

¨ Centralizált igazgatás közvetetten a következőknek történő hatáskör-átruházással:

3. ¨  végrehajtó ügynökségek

4. ¨  a Közösségek által létrehozott szervek [52]

5. ¨  tagállami közigazgatási/közfeladatot ellátó szervek

6. ¨  az Európai Unióról szóló szerződés V. címe értelmében külön intézkedések végrehajtásával megbízott, a költségvetési rendelet 49. cikke szerinti vonatkozó jogalapot megteremtő jogi aktusban meghatározott személyek

¨ Megosztott igazgatás a tagállamokkal

¨ Decentralizált igazgatás harmadik országokkal

¨ Nemzetközi szervezetekkel közös igazgatás (nevezze meg)

Egynél több igazgatási módszer feltüntetése esetén kérjük, adjon részletes felvilágosítást a „Megjegyzések” rovatban.

Megjegyzések

//

2. IRÁNYÍTÁSI INTÉZKEDÉSEK 2.1. A nyomon követésre és a jelentéstételre vonatkozó rendelkezések

Ismertesse a nyomon követés és jelentéstétel gyakoriságát és feltételeit.

Az első értékelésre a jogi eszközök hatályba lépésétől számított 4 év múlva kerül sor. A jogi eszközök kifejezett jogszabályi rendelkezést tartalmaznak abban a tekintetben, hogy a Bizottságnak értékelnie kell a végrehajtást. A Bizottság emellett az Európai Parlament és a Tanács felé is jelentést tesz az értékelésről. FA további értékelésekre négyévente kerül sor. A Bizottság értékelési módszerét alkalmazzák. Ezen értékelést a jogi eszközök végrehajtásáról szóló célzott tanulmányok, a nemzeti adatvédelmi hatóságoknak megküldött kérdőívek, szakértői megbeszélések, műhelymunkák, az Eurobarometer felmérései stb. segítségével végzik el.

2.2. Irányítási és kontrollrendszer 2.2.1. Felismert kockázat(ok)

A rendelet- és az irányelvjavaslat mellett hatásvizsgálat készült az uniós adatvédelmi keret reformjához

Az új jogi eszköz egységes mechanizmust vezet be, biztosítva azt, hogy a tagállamok független felügyelő hatóságai átfogó és egységes módon alkalmazzák a keretet. A mechanizmus a nemzeti hatóságok vezetőiből álló Európai Adatvédelmi Testületen, valamint európai adatvédelmi biztoson keresztül működik, amely felváltja a jelenlegi, 29. cikk alapján létrehozott munkacsoportot. Az európai adatvédelmi biztos biztosítja e szerv részére a titkárságot.

A tagállamok hatóságainak esetleges eltérő határozatai esetében az Európai Adatvédelmi Testülettel konzultálni kell annak érdekében, hogy az ügyben bocsásson ki véleményt. Amennyiben ez az eljárás eredménytelen marad, vagy valamely nemzeti felügyelő hatóság megtagadja a véleménynek megfelelő eljárást, e rendelet helyes és következetes alkalmazása érdekében a Bizottság véleményt bocsáthat ki, vagy szükség esetén határozatot fogadhat el, amennyiben komoly kétségei vannak azzal kapcsolatban, hogy a tervezett intézkedés biztosítja-e a rendelet helyes alkalmazását, vagy az egyébként annak következetlen alkalmazását eredményezi.

Az egységességi mechanizmus további forrásokat igényel az európai adatvédelmi biztostól (12 teljes munkaidős egyenérték és megfelelő igazgatási és operatív előirányzatok, például IT rendszerek és műveletek érdekében) a titkárság biztosításához, valamint a Bizottságtól (5 teljes munkaidős egyenérték és kapcsolódó igazgatási és operatív előirányzatok) az egységességi esetek kezeléséhez.

2.2.2. Tervezett ellenőrzési mód(ok)

Az európai adatvédelmi biztosnál és a Bizottságnál alkalmazott meglévő ellenőrzési módok megfelelően érvényesek a további előirányzatokra is.

2.3. A csalások és a szabálytalanságok megelőzésére vonatkozó intézkedések

Tüntesse fel a meglévő vagy tervezett megelőző és védintézkedéseket.

A csalások megelőzése érdekében az európai adatvédelmi biztosnál és a Bizottságnál alkalmazott meglévő intézkedések érvényesek a további előirányzatokra is.

3. A JAVASLAT/KEZDEMÉNYEZÉS BECSÜLT PÉNZÜGYI HATÁSA 3.1. A kiadások a többéves pénzügyi keret mely fejezetét/fejezeteit és a költségvetés mely kiadási tételét/tételeit érintik?

1. Jelenlegi költségvetési kiadási tételek

A többéves pénzügyi keret fejezetei, azon belül pedig a költségvetési tételek sorrendjében.

A többéves pénzügyi keret fejezete || Költségvetési tétel || Kiadás típusa || Hozzájárulás

Szám [Megnevezés………………………………] || diff./nem diff. ([53]) || EFTA-országoktól [54] || tagjelölt országoktól [55] || harmadik országoktól || a költségvetési rendelet 18. cikke (1) bekezdésének a) pontja értelmében

|| || || || || ||

3.2.  A kiadásokra gyakorolt becsült hatás 3.2.1. A kiadásokra gyakorolt becsült hatás összegzése

millió EUR (három tizedesjegyig)

A többéves pénzügyi keret fejezete: || Szám ||

|| || || N. év [56]= 2014 || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || ÖSSZESEN

Ÿ Operatív előirányzatok || || || || || || || ||

Költségvetési tétel száma || Kötelezettségvállalási előirányzatok || (1) || || || || || || || ||

Kifizetési előirányzatok || (2) || || || || || || || ||

Költségvetési tétel száma || Kötelezettségvállalási előirányzatok || (1a) || || || || || || || ||

Kifizetési előirányzatok || (2a) || || || || || || || ||

Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok[57] || || || || || || || ||

Költségvetési tétel száma || || (3) || || || || || || || ||

A Főigazgatósághoz tartozó előirányzatok ÖSSZESEN || Kötelezettségvállalási előirányzatok || =1+1a +3 || || || || || || || ||

Kifizetési előirányzatok || =2+2a+3 || || || || || || || ||

Ÿ Operatív előirányzatok ÖSSZESEN || Kötelezettségvállalási előirányzatok || (4) || || || || || || || ||

Kifizetési előirányzatok || (5) || || || || || || || ||

Ÿ Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok ÖSSZESEN || (6) || || || || || || || ||

A többéves pénzügyi keret 3. FEJEZETÉHEZ/ALFEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN || Kötelezettségvállalási előirányzatok || =4+ 6 || || || || || || || ||

Kifizetési előirányzatok || =5+ 6 || || || || || || || ||

Amennyiben a javaslat/kezdeményezés több fejezetet is érint:

Ÿ Operatív előirányzatok ÖSSZESEN || Kötelezettségvállalási előirányzatok || (4) || || || || || || || ||

Kifizetési előirányzatok || (5) || || || || || || || ||

Ÿ Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok ÖSSZESEN || (6) || || || || || || || ||

A többéves pénzügyi keret 1–4. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN (Referenciaösszeg) || Kötelezettségvállalási előirányzatok || =4+ 6 || || || || || || || ||

Kifizetési előirányzatok || =5+ 6 || || || || || || || ||

A többéves pénzügyi keret fejezete: || 5 || „Igazgatási kiadások”

millió EUR (három tizedesjegyig)

|| || || N. év = 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || r 2020 || ÖSSZESEN

FŐIGAZGATÓSÁG: Jogérvényesítés ||

Ÿ Humán erőforrás || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Egyéb igazgatási kiadások || || 0.555 || 0.555 || 0.555 || 00.555 || 00.555 || 0.555 || 00.555 || 3.885

Jogérvényesítési Főigazgatóság ÖSSZESEN || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 33.477 || 3.477 || 24.339

A többéves pénzügyi keret 5. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN || Összes kötelezettségvállalási előirányzat = Összes kifizetési előirányzat || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

millió EUR (három tizedesjegyig)

|| || || N. év[58] || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || ÖSSZESEN

A többéves pénzügyi keret 1–5. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN || Kötelezettségvállalási előirányzatok || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Kifizetési előirányzatok || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.2. Az operatív előirányzatokra gyakorolt becsült hatás

6. þ     A javaslat/kezdeményezés nem vonja maga után operatív előirányzatok felhasználását

A személyes adatok magas szintű védelme a jogok és polgárság program célkitűzései között is szerepel.

7. ¨     A javaslat/kezdeményezés az alábbi operatív előirányzatok felhasználását vonja maga után:

Kötelezettségvállalási előirányzatok, millió EUR (három tizedesjegyig)

Tüntesse fel a célkitűzéseket és a teljesítéseket ò || || || N. év =2014 || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || ÖSSZESEN

TELJESÍTÉSEK

Teljesítések típusa [59] || Teljesítés átlagos költsége || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma öszesen || Összköltség

1. KONKRÉT CÉLKITŰZÉS ||

- Teljesítés || Akták[60] || || || || || || || || || || || || || || || || ||

1. konkrét célkitűzés részösszege || || || || || || || || || || || || || || || ||

2. KONKRÉT CÉLKITŰZÉS ||

- Teljesítés || Esetek[61] || || || || || || || || || || || || || || || || ||

2. konkrét célkitűzés részösszege || || || || || || || || || || || || || || || ||

ÖSSZKÖLTSÉG || || || || || || || || || || || || || || || ||

3.2.3. Az igazgatási előirányzatokra gyakorolt becsült hatás 3.2.3.1. Összegzés

8. ¨     A javaslat/kezdeményezés nem vonja maga után igazgatási előirányzatok felhasználását.

9. þ     A javaslat/kezdeményezés az alábbi igazgatási előirányzatok felhasználását vonja maga után:

millió EUR (három tizedesjegyig)

|| N. év [62] 2014 || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || ÖSSZESEN

A többéves pénzügyi keret 5. FEJEZETE || || || || || || || ||

Humánerőforrás || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Egyéb igazgatási kiadások || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

A többéves pénzügyi keret 5. FEJEZETÉNEK részösszege || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

A többéves pénzügyi keret 5. FEJEZETÉBE [63] bele nem tartozó előirányzatok || || || || || || || ||

Humánerőforrás || || || || || || || ||

Egyéb igazgatási kiadások || || || || || || || ||

A többéves pénzügyi keret 5. FEJEZETÉBE bele nem tartozó előirányzatok részösszege || || || || || || || ||

ÖSSZESEN || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Becsült humánerőforrás-szükségletek

10. ¨     A javaslat/kezdeményezés nem igényel humánerőforrást.

11. þ     A javaslat/kezdeményezés az alábbi humánerőforrás-igénnyel jár:

A becsléseket egész számmal (vagy legfeljebb egy tizedesjeggyel) kell kifejezni

|| N. év 2014 || 2015 N+1. év || 2016 N+2. év || 2017 N+3. év || 2018       2019       2020

Ÿ A létszámtervben szereplő álláshelyek (tisztviselői és ideiglenes alkalmazotti álláshelyek)

XX 01 01 01 (a központban és a bizottsági képviseleteken) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (a küldöttségeknél) || || || || || || ||

Ÿ Külső személyi állomány (teljes munkaidős egyenértékben kifejezve)[64]

XX 01 02 01 (AC, INT, END a teljes keretből) || 2 || 32 || 32 || 42 || 42 || 42 || 42

XX 01 02 02 (AC, AL, END, INT és JED a küldöttségeknél) || || || || || || ||

XX 01 04 yy [65] || - a központban[66] || || || || || || ||

- a küldöttségeknél || || || || || || ||

XX 01 05 02 (AC, END, INT közvetett kutatásban) || || || || || || ||

10 01 05 02 (AC, END, INT közvetlen kutatásban) || || || || || || ||

Egyéb költségvetési tétel (kérjük megnevezni) || || || || || || ||

ÖSSZESEN || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX: az érintett szakpolitikai terület vagy költségvetési cím.

A reform következtében a Bizottság a jelenlegi feladatai mellett új feladatokat lát el a személyes adatok feldolgozása vonatkozásában az egyének védelme területén. A további feladatok főként az új egységességi mechanizmust érintik, amely biztosítja a harmonizált adatvédelmi jog egységes végrehajtását, a harmadik országok Bizottság kizárólagos feladatkörébe tartozó megfelelőségi vizsgálatát, valamint a végrehajtási aktusok és a felhatalmazáson alapuló jogi aktusok előkészítését. E feladatok összesen 13 teljes munkaidős egyenértéket igényelnek (5 teljes munkaidős egyenérték az egységességi mechanizmus, 4 teljes munkaidős egyenérték a megfelelőségi határozatok, és 4 teljes munkaidős egyenérték a végrehajtási intézkedések tekintetében). A Bizottság jelenlegi feladatait (például a szakpolitikák fejlesztése, az átültetés nyomon követése, a figyelemfelhívás, a panaszok stb.) továbbra is el kell látni. Mivel a Bizottság a továbbiakban nem biztosítja a 29. cikk alapján létrehozott munkacsoport titkársági feladatait, a jelenleg az adatvédelmi területre csoportosított 3 teljes munkaidős egyenértéket át lehet csoportosítani ezen új feladatok ellátására. A Bizottság által jelenleg ellátott egyéb feladatok (például a szakpolitikák fejlesztése, az átültetés nyomon követése, a figyelemfelhívás, a panaszok stb.) azonos szintű forrással folytatódnak. Az új eszközök hatályba lépésével egy körülbelül két éves átmeneti időszak kezdődik, amely alatt a tagállamok jogszabályait hozzá kell igazítani az új uniós jogszabályokhoz.

A humánerőforrás-igényeknek az adott főigazgatóság rendelkezésére álló, az intézkedés irányításához rendelt személyzettel és/vagy az adott főigazgatóságon belüli személyzet-átcsoportosítással kell eleget tenni. A források adott esetben a költségvetési korlátok betartása mellett kiegészíthetők az éves elosztási eljárás keretében az irányító főigazgatósághoz rendelt további juttatásokkal.

Az elvégzendő feladatok leírása:

Tisztviselők és ideiglenes alkalmazottak || Az uniós adatvédelmi rendelkezések egységes alkalmazását biztosító adatvédelmi egységességi mechanizmust működtető ügykezelők. A feladatok közé tartozik a tagállami hatóságok által határozathozatalra benyújtott ügyek kivizsgálása és kutatása, tárgyalások folytatása a tagállamokkal, és a Bizottság határozatainak előkészítése. A jelenlegi tapasztalatok alapján évente 5-10 esetben merülhet fel az egységességi mechanizmus alkalmazásának szükségessége. A megfelelőségi kérelmek kezelése a kérelmező országgal való közvetlen kapcsolatfelvételt igényel, az országban fennálló feltételekről szóló szakértői tanulmányok esetleges irányítását, a feltételek vizsgálatát, a vonatkozó Bizottsági határozatok és eljárás előkészítését, beleértve a Bizottságot támogató bizottságot és adott esetben szakértői szerveket is. A jelenlegi tapasztalatok alapján évente legfeljebb 4 megfelelőségi kérelem várható. A végrehajtási intézkedések elfogadására irányuló eljárás magában foglalja az előkészítő intézkedéseket, mint például a dokumentumok kiadását, kutatást és nyilvános konzultációkat, valamint az aktuális eszköz tervezetének megfogalmazását, és a vonatkozó bizottságokban és más csoportokban a tárgyalási folyamat irányítását, valamint általánosságban az érintettekkel való kapcsolattartást. A pontosabb iránymutatást igénylő területeken évente legfeljebb három végrehajtási intézkedés kezelése várható, miközben az eljárás a konzultációk intenzitásától függően 24 hónapig is eltarthat.

Külső személyzet || Igazgatási és titkársági támogatás

3.2.4. A jelenlegi többéves pénzügyi kerettel való összeegyeztethetőség

12. ¨     A javaslat/kezdeményezés összeegyeztethető a következő többéves pénzügyi kerettel.

13. þ     A javaslat/kezdeményezés miatt szükséges a többéves pénzügyi keret vonatkozó fejezetének átprogramozása.

A lenti táblázat az európai adatvédelmi biztos évente szükséges pénzügyi forrásait tartalmazza az Európai Adatvédelmi Testület titkárságának rendelkezésre bocsátásával járó új feladatai vonatkozásában, valamint a következő pénzügyi perspektíván keresztül a kapcsolódó eljárásokat és eszközöket, a tervezésben már jelenleg is szereplők mellett.

Év || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Összesen

Személyzet stb. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Műveletek || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Összesen || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

14. ¨     A javaslat/kezdeményezés miatt szükség van a rugalmassági eszköz alkalmazására vagy a többéves pénzügyi keret felülvizsgálatára[67].

3.2.5. Harmadik felek részvétele a finanszírozásban

15. þ A javaslat/kezdeményezés nem irányoz elő harmadik felek általi társfinanszírozást.

16. ¨ A javaslat/kezdeményezés az alábbi becsült társfinanszírozást irányozza elő:

előirányzatok millió EUR (három tizedesjegyig)

|| N. év || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || Összesen

Tüntesse fel a társfinanszírozó szervet || || || || || || || ||

Társfinanszírozott előirányzatok ÖSSZESEN || || || || || || || ||

3.3. A bevételre gyakorolt becsült pénzügyi hatás

17. þ     A javaslatnak/kezdeményezésnek nincs pénzügyi hatása a bevételre.

18. ¨     A javaslatnak/kezdeményezésnek van pénzügyi hatása – a bevételre gyakorolt hatása a következő:

· ¨         a javaslat a saját forrásokra gyakorol hatást

· ¨         a javaslat az egyéb bevételekre gyakorol hatást

millió EUR (három tizedesjegyig)

Bevételi költségvetési tétel: || Az aktuális költségvetési évben rendelkezésre álló előirányzatok || A javaslat/kezdeményezés hatása [68]

N. év || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető

|| || || || || || || ||

Az egyéb címzett bevételek esetében tüntesse fel az érintett kiadáshoz tartozó költségvetési tétel(eke)t.

Ismertesse a bevételre gyakorolt hatás számításának módszerét.

A személyes adatok feldolgozása vonatkozásában az egyének védelméről szóló európai parlamenti és tanácsi rendeletre irányuló javaslat pénzügyi kimutatásának melléklete.

Az alkalmazott módszertan és az alapjául szolgáló fő feltételezések

Az európai adatvédelmi biztos által ellátandó, a két javaslatból fakadó új feladatokhoz kapcsolódó költségeket a Bizottságnál jelenleg hasonló feladatokkal kapcsolatban felmerült költségeken alapuló személyzeti kiadásokkal becsülték meg.

Az európai adatvédelmi biztos ad helyet a 29. cikk alapján létrehozott munkacsoportot felváltó Európai Adatvédelmi Testület titkárságának. A Bizottság e feladathoz kapcsolódó jelenlegi munkaterhe alapján ennek eredményeképpen 3 további teljes munkaidős egyenértékre van szükség, valamint a megfelelő igazgatási és operatív kiadásokra. Ezzel a munkateherrel a rendelet hatálybalépésétől kezdve számolni kell.

Az európai adatvédelmi biztos ezen túlmenően szerepet kap a várhatóan 5 teljes munkaidős egyenértéket igénylő egységességi mechanizmusban is, valamint a nemzeti adatvédelmi hatóságok közös IT eszközének kifejlesztésében és működtetésében, amely további 2 alkalmazottat igényel.

Az első hét év tekintetében a szükséges alkalmazottakra vonatkozó megnövekedett költségvetés számításának részleteit az alábbi táblázat tartalmazza. A második táblázat a szükséges operatív költségvetést mutatja. Ez az Unió költségvetésének európai adatvédelmi biztosra vonatkozó IX. szakaszában jelenik meg

Költségtípus || Számítás || Összeg (ezer)

|| || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Összesen

Bérek és juttatások || || || || || || || || ||

- az európai adatvédelmi testület elnöke || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

- tisztviselők és ideiglenes alkalmazottak || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

- END || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

- szerződéses alkalmazottak || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

A toborzáshoz kapcsolódó kiadások || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Missziós kiadások || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Egyéb kiadások, képzések || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Igazgatási kiadások összesen || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Az elvégzendő feladatok leírása:

Tisztviselők és ideiglenes alkalmazottak || Az Adatvédelmi Testület titkárságához tartozó tisztviselők. A logisztikai támogatás ‑ beleértve a költségvetési és szerződéses kérdéseket is – mellett ez tartalmazza a tárgyalási menetrendek és szakértői meghívások előkészítését, a csoport menetrendjében szereplő témák kutatását, a csoport munkájához kapcsolódó dokumentumok kezelését, beleértve a vonatkozó adatvédelmi, titoktartási és nyilvánosságra hozatali követelményeket. Minden alcsoportot és szakértői csoportot figyelembe véve évente legfeljebb 50 tárgyalás és határozathozatali eljárás várható. Az uniós adatvédelmi rendelkezések egységes alkalmazását biztosító adatvédelmi egységességi mechanizmust működtető ügykezelők. A feladatok közé tartozik a tagállami hatóságok által határozathozatalra benyújtott ügyek kivizsgálása és kutatása, tárgyalások folytatása a tagállamokkal, és a Bizottság határozatainak előkészítése. A jelenlegi tapasztalatok alapján évente 5-10 esetben merülhet fel az egységességi mechanizmus alkalmazásának szükségessége Az IT eszköz egyszerűsíti a nemzeti adatvédelmi hatóságok és a hatóságokat tájékoztatni köteles adatkezelők közötti operatív párbeszédet. A személyzet felelős tagja(i) biztosítja a követelmények biztosítására, a végrehajtásra és a rendszerek működésére irányuló IT folyamatok tekintetében a minőségellenőrzést, a project irányítását és költségvetési nyomon követését.

Külső személyzet || Igazgatási és titkársági támogatás

Az európai adatvédelmi biztos különös feladatainak kiadásai

Tüntesse fel a célkitűzéseket és a teljesítéseket ò || || || N. év =2014 || N+1. év || N+2. év || N+3. év || A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető || ÖSSZESEN

TELJESÍTÉSEK

Teljesítések típusa [69] || Teljesítés átlagos költsége || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma || Költség || Teljesítések száma öszesen || Összköltség

1. KONKRÉT CÉLKITŰZÉS[70] || Az Adatvédelmi Testület titkársága

- Teljesítés || Esetek[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

1. konkrét célkitűzés részösszege || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

2. KONKRÉT CÉLKITŰZÉS || Egységességi mechanizmus

- Teljesítés || Akták[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

2. konkrét célkitűzés részösszege || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

3. KONKRÉT CÉLKITŰZÉS || Az adatvédelmi hatóságok közös IT eszköze (európai adatvédelmi biztos)

- Teljesítés || Esetek[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

3. konkrét célkitűzés részösszege || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

ÖSSZKÖLTSÉG || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250

[1]               „A magánélet védelme az összekapcsolódó világban – 21. századi európai adatvédelmi keret” COM(2012) 9 final

[2]               COM(2012) 10 final.

[3]               Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, HL L 281., 1995.11.13., 31. o..

[4]               A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről (HL L 350., 2008.12.30., 60. o., a továbbiakban: kerethatározat).

[5]               COM(2010) 245 végleges.

[6]               COM(2010) 2020 végleges.

[7]               „A stockholmi program – A polgárokat szolgáló és védő, nyitott és biztonságos Európa” HL C 115., 2010.5.4., 1. o.

[8]               Az Európai Parlament 2009. november 25-i állásfoglalása a szabadság, a biztonság és a jog érvényesülésén alapuló térség a polgárok szolgálatában – a stockholmi program című, Európai Parlamenthez és Tanácshoz intézett bizottsági közleményről (P7_TA(2009)0090).

[9]               COM(2010) 171 végleges.

[10]             COM(2010)609 végleges.

[11]             359. sz. Eurobarométer különjelentés: Data Protection and Electronic Identity in the EU [Adatvédelem és elektronikus azonosítás az EU-ban] 2011 (http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf,).

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             A nem bizalmas jellegű hozzászólások megtekinthetőek a Bizottság honlapján: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             A nem bizalmas jellegű hozzászólások megtekinthetőek a Bizottság honlapján: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Az Európai Hálózat- és Információbiztonsági Ügynökség a kommunikációs hálózatok és információs rendszerek biztonsági kérdéseivel foglalkozik.

[18]             Lásd http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Eurobarometer, 359. sz. különjelentés – Attitudes on Data Protection and Electronic Identity in the European Union [Az adatvédelemhez és az elektronikus azonosítóhoz való viszonyulások az Európai Unióban].(2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Lásd: Study on the economic benefits of privacy enhancing technologies [A magánélet védelmét erősítő technológiák gazdasági előnyeiről szóló tanulmány], valamint Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments [A magánéletet – különösen a technológiai fjlődés következtében – jelentkező új kihívások eltérő megközelítéseiről szóló összehasonlító tanulmány] 2010. január (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             A munkacsoportot 1996‑ban hozták létre (a 95/46/EK irányelv 29. cikke értelmében) tanácsadó jelleggel, tagjai a nemzeti adatvédelmi felügyelő hatóságok képviselői, az európai adatvédelmi biztos és a Bizottság. Tevékenységéről további információk találhatók az alábbi internetcímen: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Lásd különösen a következő véleményeket: a „Magánélet védelmének jövőjéről” szóló, 2009/[…] sz., (WP 168.) vélemény; az „adatkezelő” és az „adatfeldolgozó” fogalmának meghatározásáról szóló, 1/2010. sz. vélemény (WP 169.); a viselkedésalapú online reklámról szóló, 2010/2. sz. vélemény (WP 171.); az elszámoltathatóság elvéről szóló, 2010/3. sz. vélemény (WP 173.); az alkalmazandó jogról szóló, 2010/8. sz. vélemény (WP 179., 2010. december) valamint a hozzájárulásról szóló vélemény (15/2011. sz., WP 187.). A Bizottság kérésére továbbá három tanácsadó véleményt fogadott el az értesítésről, a különleges adatokról és az adatvédelmi irányelv 28. cikkének (6) bekezdéséről is. Ezek mindegyike hozzáférhető a http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm cím alatt.

[23]             Elérhető az az európai adatvédelmi biztos weboldalán: http://www.edps.europa.eu/EDPSWEB/.

[24]             Az Európai Parlament 2011. július 6-i jogalkotási állásfoglalása a személyes adatok Európai Unión belüli védelmének átfogó megközelítéséről (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//HU (előadó: Axel Voss európai parlamenti képviselő (Európai Néppárt/Németország).

[25]             SEC=2011)72.

[26]             CESE 999/2011.

[27]             A Bíróság C‑92/09. és C‑93/09. sz., Volker und Markus Schecke és Eifert egyesített ügyekben 2010. november 9-én hozott ítélete (EBHT 2010., I-0000).

[28]             A Charta 52. cikkének (1) bekezdésével összhangban lehetséges az adatvédelemhez való jog gyakorlásának korlátozás, feltéve, hogy a korlátozásra a törvény által, a jogok és szabadságok lényeges tartalmának, valamint az arányosság elvének tiszteletben tartásával kerül sor, továbbá a korlátozás elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

[29]             Az Európai Parlament és a Tanács 2009/136/EK irányelve (2009. november 25.) az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról (EGT-vonatkozású szöveg); HL L 337., 2009.12.18., 11. o.

[30]             Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv); HL L 201., 2002.07.31. 37. o.

[31]             Elfogadta, valamint aláírásra, megerősítésre és csatlakozásra megnyitotta az ENSZ Közgyűlésének 44/25. sz., 1989. november 20‑i határozata

[32]             Elfogadta az adatvédelmi és a magánélet védelmével foglalkozó biztosok 2009. november 5‑i nemzetközi konferenciája. Lásd továbbá a közös európai adásvételi jogról szóló rendeletre irányuló javaslat 13. cikkének (3) bekezdését (COM(2011)635 végleges).

[33]             A Miniszteri Bizottság CM/Rec (2010)13. sz. ajánlása.

[34]             Az Európai Unió Bíróságának a C-518/07. sz., Bizottság kontra Németország ügyben 2010. március 9‑én hozott ítélete (EBHT 2010., I‑1885. o,).

[35]             Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról; HL L 008., 1. o.

[36]             Hivatkozás a 34. lábjegyzetben.

[37]             A különösen a terrorizmus és a határokon átnyúló bűnözés elleni küzdelemre irányuló, határokon átnyúló együttműködés megerősítéséről szóló, 2008. június 23‑i 2008/615/IB tanácsi határozat HL L 210., 1. o.

[38]             A joghatóság gyakorlásával kapcsolatos, büntetőeljárások során felmerülő összeütközések megelőzéséről és rendezéséről szóló, 2009. november 30‑i 2009/948/IB tanácsi kerethatározat (HL L 328., 2009.12.15. 42. o.) 5. cikkének (1) bekezdése és a Szerződés 81. és 82. cikkében meghatározott versenyszabályok végrehajtásáról szóló, 2002. december 16-i 1/2003/EK tanácsi rendelet (HL L 1., 2003.1.4., 1. o.) 13. cikkének (1) bekezdése alapján

[39]             A belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól szóló, 2000. június 8‑i 2000/31/EK európai parlamenti és tanácsi irányelv (elektronikus kereskedelemről szóló irányelv) 18. cikkének (1) bekezdésén alapul; HL L 178., 2000.7.17., 1. o.

[40]             Az értelmezés tekintetében lásd például az Európai Unió Bíróságának C‑73/07. sz. Satakunnan Markkinapörssi és Satamedia ügyben 2008. december 16‑án hozott ítéletét (EBHT 2008., I‑9831. o.)

[41]             HL C [...], [...] o.

[42]             HL C [...], [...] o.

[43]             HL L 281 1995. 11. 23., 31. o.

[44]             HL L 8., 2001.1.12., 1. o.

[45]             Az Európai Parlament és a Tanács, 2011. február 16‑i 182/2011/EU rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról, HL L 55., 2011.2.28., 13. o.

[46]             HL L 176., 1999.7.10., 36. o.

[47]             HL L 53., 2008.2.27., 52.o.

[48]             HL L 160., 2011.6.18., 19. o.

[49]             Tevékenységalapú irányítás: ABM (Activity Based Management), tevékenységalapú költségvetés-tervezés: ABB (Activity Based Budgeting).

[50]             A költségvetési rendelet 49. cikke (6) bekezdésének a) vagy b) pontja szerint.

[51]             Az egyes igazgatási módszerek ismertetése, valamint a költségvetési rendeletben szereplő megfelelő hivatkozások megtalálhatók a Költségvetési Főigazgatóság honlapján: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             A költségvetési rendelet 185. cikkében említett szervek.

[53]             Differenciált/nem differenciált előirányzat.

[54]             EFTA: Európai Szabadkereskedelmi Társulás.

[55]             Tagjelölt országok és adott esetben a nyugat-balkáni potenciális tagjelölt országok.

[56]             Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

[57]             Technikai és/vagy igazgatási segítségnyújtás, valamint uniós programok és/vagy intézkedések végrehajtásához biztosított támogatási kiadások (korábban: BA-tételek), közvetett kutatás, közvetlen kutatás.

[58]             Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

[59]             A teljesítés a nyújtandó termékekre és szolgáltatásokra vonatkozik (pl. finanszírozott diákcserék száma, épített utak hossza kilométerben stb.).

[60]             A testület véleményei, határozatai, eljárásai, tárgyalásai.

[61]             Az egységességi mechanizmus keretében kezelt esetek

[62]             Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

[63]             Technikai és/vagy igazgatási segítségnyújtás, valamint uniós programok és/vagy intézkedések végrehajtásához biztosított támogatási kiadások (korábban: BA-tételek), közvetett kutatás, közvetlen kutatás.

[64]             AC= szerződéses alkalmazott; AL= helyi alkalmazott; END= kirendelt nemzeti szakértő; INT=átmeneti alkalmazott; JED=küldöttségi pályakezdő szakértő;

[65]             Az operatív előirányzatoknál a külső személyzetre részleges felső határérték vonatkozik (korábban: BA-tételek).

[66]             Elsősorban a strukturális alapok, az Európai Mezőgazdasági Vidékfejlesztési Alap (EMVA) és az Európai Halászati Alap (EHA) esetében.

[67]             Lásd az intézményközi megállapodás 19. és 24. pontját.

[68]             A tradicionális saját források (vámok, cukorilletékek) tekintetében nettó összegeket, vagyis a 25 %-kal (beszedési költségek) csökkentett bruttó összegeket kell megadni.

[69]             A teljesítés a nyújtandó termékekre és szolgáltatásokra vonatkozik (pl. finanszírozott diákcserék száma, épített utak hossza kilométerben stb.).

[70]             Az 1.4.2. szakaszban („Konkrét célkitűzések...”) feltüntetett célkitűzés.

[71]             Az egységességi mechanizmus keretében kezelt esetek.

[72]             A testület véleményei, határozatai, eljárásai, tárgyalásai.

[73]             Az egyes évek összes költségei az IT eszközök fejlesztésére és működtetésére tett erőfeszítések becslését tartalmazzák.