4.5.2016   

HU

Az Európai Unió Hivatalos Lapja

L 119/89

(1)

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2)

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelméhez kapcsolódó alapelvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen ami a személyes adataik védelméhez való jogukat illeti. Ez az irányelv szándékoltan hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez.

(3)

A gyors technológiai fejlődésből és a globalizációból adódóan a személyes adatok védelme új kihívásokkal néz szembe. A személyes adatok gyűjtésének és megosztásának mértéke jelentősen megnövekedett. A technológia a személyes adatok minden eddiginél nagyobb mértékű kezelését teszi lehetővé olyan tevékenységek végzése érdekében is, mint a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása.

(4)

Ennek érdekében elő kell segíteni az Unión belül az illetékes hatóságok között a személyes adatok szabad áramlását a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása – többek között az Unión belül a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából, valamint az ilyen személyes adatoknak a harmadik országok és nemzetközi szervezetek részére történő továbbítását, biztosítva egyúttal a személyes adatok magas szintű védelmét. Ezek a fejlemények a személyes adatok védelmére vonatkozó szilárd és következetesebb keret létrehozását teszik szükségessé az Unióban, amelyet a szabályok szigorú betartatása kísér.

(5)

A 95/46/EK európai parlamenti és tanácsi irányelv (3) alkalmazandó a személyes adatoknak a tagállamokban mind a közszférában, mind a magánszférában végzett valamennyi kezelésére. Az említett irányelv mindazonáltal nem vonatkozik a személyes adatoknak a közösségi jog hatályán kívül eső tevékenységek során – így például a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés terén folytatott tevékenységek során – végzett kezelésére.

(6)

A büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területeire a 2008/977/IB tanácsi kerethatározatot (4) kell alkalmazni. E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok kezelésére korlátozódik.

(7)

A büntetőügyekben folytatott hatékony igazságügyi együttműködés és rendőrségi együttműködés biztosítása érdekében alapvető fontosságú a természetes személyek személyes adatainak következetes és magas szintű védelme, valamint a tagállamok illetékes hatóságai között a személyes adatok cseréjének elősegítése. Ebből a célból az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – érdekében végzett személyesadat-kezeléssel összefüggésben a természetes személyek jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A személyes adatok Unió egészére kiterjedő hatékony védelme érdekében mind az érintettek jogait, mind a személyes adatok kezelőinek kötelezettségeit megerősíteni szükséges, valamint a tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatásköröket kell biztosítani.

(8)

Az EUMSZ 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályok megállapítására.

(9)

Ennek alapján az (EU) 2016/679 európai parlamenti és tanácsi rendelet (5) (általános adatvédelmi rendelet) általános szabályokat határoz meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme, valamint az ilyen adatok Unión belüli szabad áramlásának biztosítása céljából.

(10)

A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé.

(11)

Ezért helyénvaló, hogy e területek szabályozása irányelvben történjen, amelyben meg kell határozni azokat a különleges szabályokat, amelyek a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából az illetékes hatóságok általi kezelése tekintetében a természetes személyek védelmére vonatkoznak, tiszteletben tartva e tevékenységek jellegét. Az ilyen illetékes hatóságok körébe nemcsak olyan közhatalmi szervek tartozhatnak, mint az igazságügyi hatóságok, a rendőrség vagy egyéb bűnüldöző hatóságok, hanem bármely egyéb olyan szerv vagy jogalany is, amely a tagállami jog alapján ezen irányelv alkalmazása céljából közfeladatokat lát el és közhatalmi jogosítványokat gyakorol. Ha azonban ez a szerv vagy jogalany ezen irányelv céljaitól eltérő célból kezel személyes adatokat, akkor az (EU) 2016/679 rendeletet kell alkalmazni. A (EU) 2016/679 rendeletet kell éppen ezért az alkalmazni azokban az esetekben, amikor valamely szerv vagy jogalany egyéb célból gyűjt és kezel tovább személyes adatokat annak érdekében, hogy egy rá vonatkozó jogi kötelezettséget teljesítsen. Így például bűncselekmények nyomozása, felderítése és a vádeljárás lefolytatása céljából a pénzügyi intézmények bizonyos általuk kezelt személyes adatokat megőriznek, és azokat kizárólag meghatározott esetekben és a tagállami joggal összhangban az illetékes nemzeti hatóságok részére szolgáltatják. Azokat a szerveket vagy jogalanyokat, amelyek az említett hatóságok nevében ezen irányelv hatályán belül kezelnek személyes adatokat, szerződés vagy egyéb jogi aktus és az ezen irányelv alapján az adatfeldolgozókra alkalmazandó rendelkezések kötelezik, az adatfeldolgozó által ezen irányelv hatályán kívül végzett személyes adatok kezelése tekintetében azonban változatlanul az (EU) 2016/679 rendelet alkalmazandó.

(12)

A rendőrség vagy egyéb bűnüldöző szervek által végzett tevékenységek középpontjában elsősorban a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása áll, ideértve az annak előzetes ismerete nélkül végzett rendőri tevékenységeket is, hogy egy adott eset bűncselekménynek minősül-e. Az ilyen tevékenységek magukban foglalhatják a hatósági jogkör kényszerintézkedések alkalmazásával történő gyakorlását is, így például a tüntetések, jelentős sportesemények és zavargások során végzett rendőrségi tevékenységet is. Ide tartozik továbbá a rendőrségre és egyéb bűnüldöző szervekre ruházott feladatként a közrend és közbiztonság fenntartása annak érdekében, hogy adott esetben védelmet biztosítsanak a közbiztonságot és a jog által védett alapvető társadalmi érdekeket fenyegető – esetleg bűncselekmény elkövetéséhez is vezető – veszélyekkel szemben, és megelőzzék e veszélyeket. A tagállamok megbízhatják az illetékes hatóságokat olyan egyéb feladatokkal is, amelyeknek ellátása nem feltétlenül a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából történik, és ebben az esetben az említett egyéb célokból történő, egyébiránt az uniós jog hatálya alá tartozó személyesadat-kezelés az (EU) 2016/679 rendelet hatálya alá tartozik.

(13)

A bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága (a továbbiakban: Bíróság) általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül.

(14)

Mivel ez az irányelv nem alkalmazandó a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek keretében végzett kezelésére, a nemzetbiztonsággal kapcsolatos tevékenységek, a nemzetbiztonsági ügyekkel foglalkozó ügynökségek vagy egységek tevékenységei, valamint a tagállamok által az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett személyesadat-kezelés nem tekinthető az ezen irányelv hatálya alá tartozó tevékenységnek.

(15)

Annak érdekében, hogy a természetes személyek az Unió egész területén azonos szintű védelemben részesüljenek jogi úton érvényesíthető jogok révén, valamint azt megelőzendő, hogy az illetékes hatóságok között a személyes adatok cseréjét akadályozó eltérések kialakuljanak, ennek az irányelvnek harmonizált szabályokat kell meghatároznia a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából kezelt személyes adatok védelme és szabad áramlása tekintetében. A tagállamok jogszabályainak közelítése nem vezethet a személyes adatok általuk nyújtott védelmi szintjének csökkenéséhez, hanem ellenkezőleg, e jogközelítés révén az Unión belül magas védelmi szintet kell biztosítani. A tagállamok számára nem tiltható meg, hogy a személyes adatok illetékes hatóságok általi kezelése vonatkozásában az érintett jogainak és szabadságainak védelme érdekében az ezen irányelvben megállapítottnál magasabb szintű garanciákról rendelkezzenek.

(16)

Ez az irányelv nem sértheti a hivatalos iratokhoz való nyilvános hozzáférés elvét. Az (EU) 2016/679 rendelet értelmében a közhatalmi szervek, illetve egyéb, közfeladatot ellátó vagy magánfél szervek az olyan hivatalos dokumentumokban szereplő személyes adatokat, amelyek közérdekű feladat teljesítése érdekében vannak birtokukban, az uniós joggal vagy az említett szervre vonatkozó tagállami joggal összhangban nyilvánosságra hozhatják annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztessék a személyes adatok védelméhez való joggal.

(17)

A természetes személyeket a személyes adataik kezelésével kapcsolatban ezen irányelv által nyújtott védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti.

(18)

A komoly szabálykerülési kockázat veszélyének elkerülése érdekében, a természetes személyek védelmének technológiailag semlegesnek kell lennie, és nem függhet az alkalmazott technikai megoldásoktól. A természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a személyes adatok manuális kezelésére is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak ezen irányelv hatálya alá.

(19)

A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére a 45/2001/EK európai parlamenti és tanácsi rendelet (6) vonatkozik. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat hozzá kell igazítani az (EU) 2016/679 rendelettel megállapított alapelvekhez és szabályokhoz.

(20)

Ez az irányelv nem gátolja meg a tagállamokat abban, hogy a nemzeti büntetőeljárási szabályaikban pontosabban meghatározzák a bíróságok és egyéb igazságügyi hatóságok által végzett személyes adatok kezelésével kapcsolatos adatkezelési műveleteket és adatkezelési eljárásokat, különösen ami a bírósági határozatokban és jegyzőkönyvekben szereplő személyes adatokat illeti.

(21)

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Egy természetes személy azonosíthatóságának megállapításakor minden olyan eszközt figyelembe kell venni – ideértve például a megjelölést –, amelyet az adatkezelő vagy más személy észszerűen feltételezhető módon alkalmaz a természetes személy közvetlen vagy közvetett azonosítására. Annak megállapításakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják alkalmazni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló tudomány és technológia állását. Az adatvédelem elvei ennek megfelelően nem alkalmazhatók az anonim információkra, vagyis az olyan információkra, amelyek nem azonosított vagy nem azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, hogy annak következtében az érintett többé nem azonosítható be.

(22)

Azok a közhatalmi szervek, amelyekkel hivatalos feladataikkal kapcsolatos jogi kötelezettségeik keretében személyes adatokat közölnek, így például az adó- és vámhatóságok, a pénzügyi nyomozóegységek, a független közigazgatási hatóságok, valamint az értékpapírpiacok szabályozásáért és felügyeletéért felelős pénzügyi hatóságok, nem tekinthetők címzettnek, amikor olyan személyes adatokat kapnak, amelyek az uniós vagy a tagállami jog alapján egy konkrét közérdekű vizsgálat lefolytatásához szükségesek. A közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, minden esetben írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását. A személyes adatok kezelése során e közhatalmi szerveknek be kell tartaniuk az adatkezelés céljának megfelelő, alkalmazandó adatvédelmi szabályokat.

(23)

A genetikai adatot olyan, a természetes személy örökölt vagy szerzett genetikai jellemzőivel összefüggő személyes adatként célszerű meghatározni, amely az adott természetes személy fiziológiájára vagy egészségi állapotára vonatkozóan egyedi információt hordoz, és amely az adott természetes személy biológiai mintája elemzésének, így kromoszómaelemzésnek, illetve a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, vagy az ezekből kinyerhető információkkal egyenértékű információk kinyerését lehetővé tevő bármilyen más elem vizsgálatának az eredménye. A genetikai információk összetettségére és érzékenységére figyelemmel jelentős a kockázata annak, hogy az adatkezelő visszaél az ilyen információkkal, és különböző célokra újra felhasználja azokat. A genetikai jellemzők alapján történő bármilyen megkülönböztetés tilos.

(24)

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotára. Ide értendőek a természetes személyre vonatkozó olyan személyes adatok, amelyeket a 2011/24/EU európai parlamenti és tanácsi irányelvben (7) említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel és ezen szolgáltatások nyújtása során gyűjtöttek; a természetes személy kizárólag egészségügyi célokból történő azonosítása érdekében a hozzá rendelt szám, jel vagy adat; a valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; és bármilyen, például az érintett betegségével, fogyatékával, betegségkockázatával, kórtörténetével, kórházi kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

(25)

Valamennyi tagállam tagsággal rendelkezik a Nemzetközi Bűnügyi Rendőrség Szervezetben (Interpol). Az Interpol feladatának teljesítése céljából személyes adatokat kap, tárol és továbbít az illetékes hatóságoknak, hogy támogassa őket a nemzetközi bűnözés megelőzésében és a nemzetközi bűnözés ellen folytatott küzdelemben. Indokolt ezért megerősíteni az Unió és az Interpol közötti együttműködést a személyes adatok hatékony cseréjének előmozdításával, biztosítva ugyanakkor a személyes adatok automatikus kezelésével kapcsolatban az alapvető jogok és szabadságok tiszteletben tartását. Ezt az irányelvet – különös tekintettel ennek az irányelvnek a nemzetközi adattovábbításra vonatkozó rendelkezéseit – kell alkalmazni akkor, ha az Unióból személyes adatokat továbbítanak az Interpolnak vagy az Interpolban megbízott tagokkal rendelkező országoknak. Ez az irányelv nem érintheti a 2005/69/IB tanácsi közös álláspontban (8), valamint a 2007/533/IB tanácsi határozatban (9) meghatározott egyedi szabályokat.

(26)

A személyes adatok kezelésének minden esetben jogszerűnek, tisztességesnek és átláthatónak kell lennie az említett természetes személyek vonatkozásában, és arra csak jogszabályban meghatározott konkrét célokból kerülhet sor. Ez önmagában nem akadályozza meg a bűnüldöző szerveket az olyan tevékenységek végzésében, mint például a fedett nyomozás vagy a videokamerás megfigyelés. Ilyen tevékenységek a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végezhetők, ha jogszabályon alapulnak és – kellő tekintettel az említett természetes személyek jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősülnek. A tisztességes adatkezelés elve – mint adatvédelmi elv – a tisztességes eljáráshoz való jognak a Charta 47. cikkében és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény (EJEE) 6. cikkében meghatározott fogalmától elkülönülő fogalom. A természetes személyt tájékoztatni kell a személyes adatai kezelésével járó kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy hogyan élhet az adatkezeléssel kapcsolatban őt megillető jogokkal. A személyes adatok kezelése konkrét céljainak már a személyes adatok gyűjtésének időpontjában kifejezettnek és jogszerűnek, továbbá meghatározottnak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasnak és relevánsnak kell lenniük. Biztosítani kell különösen azt, hogy a gyűjtött személyes adatok mennyisége ne legyen túlzott mértékű, és az adatokat csak az adatkezelés célja szempontjából szükséges ideig tárolják. Személyes adatokat abban az esetben lehet csak kezelni, ha az adatkezelés célját egyéb eszközzel nem lehetséges észszerű módon elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelőnek törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania. A tagállamok megfelelő garanciákat kell, hogy megállapítanak arra az esetre, ha a személyes adatokat közérdekű archiválás céljából, tudományos, statisztikai vagy történelmi felhasználás céljából tovább tárolják.

(27)

A bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása érdekében szükséges, hogy az illetékes hatóságok azokat a személyes adatokat, amelyeket konkrét bűncselekmények megelőzésével, nyomozásával, felderítésével vagy üldözésével összefüggésben gyűjtöttek, ennél szélesebb összefüggésben is kezeljék annak érdekében, hogy megértsék a bűnözői tevékenységeket és a különböző felderített bűncselekmények közötti összefüggéseket feltárják.

(28)

Az adatkezelés biztonságának fenntartása kapcsán és az ezen irányelvet sértő adatkezelés megelőzése érdekében a személyes adatokat oly módon kell kezelni, hogy biztosított legyen a megfelelő szintű biztonság és bizalmas kezelés – többek között megakadályozva a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférést, valamint az említett adatok és eszközök jogosulatlan felhasználását –, amely figyelembe veszi a tudomány és technológia állását, azt, hogy a megvalósítási költségek hogyan viszonyulnak a kockázatokhoz, valamint a védelmet igénylő személyes adatok jellegét.

(29)

A személyes adatokat az ezen irányelv hatálya alá tartozó, meghatározott, egyértelmű és jogszerű célokból lehet gyűjteni, és azokat a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljával össze nem egyeztethető módon kezelni nem lehet. Ha a személyes adatok kezelését azonos vagy más adatkezelő az ezen irányelv hatálya alá tartozó olyan célból végzi, amely eltér attól a céltól, amelyre az adatgyűjtés eredetileg irányult, az ilyen adatkezelést azzal a feltétellel lehetővé kell tenni, hogy az ilyen adatkezelésre a vonatkozó jogi rendelkezések megfelelő felhatalmazást adnak, továbbá az adatkezelés az említett eltérő cél szempontjából szükséges és arányos.

(30)

Az adott adatkezelés jellegére és céljára tekintettel kell az adatok pontosságának elvét alkalmazni. Különösen a bírósági eljárásokban a személyes adatokat tartalmazó nyilatkozatok a természetes személy szubjektív megítélésén alapulnak, amelyek nem mindig visszaellenőrizhetők. A pontosság követelménye következésképpen nem a nyilatkozat pontosságára, hanem pusztán arra a tényre vonatkozik, hogy egy adott nyilatkozat megtételére sor került.

(31)

A személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén történő kezelésével együtt jár, hogy az érintettek különböző kategóriáira vonatkozó személyes adatok kezelésére kerül sor. Ezért – amennyire lehetséges és kivitelezhető – egyértelműen különbséget kell tenni az érintettek különböző kategóriáihoz tartozó személyes adatok között, így a bűncselekmények elkövetésével gyanúsított vagy amiatt elítélt személyekre, az áldozatokra, illetve egyéb érintett felekre, például tanúkra, fontos információk birtokosaira vagy a gyanúsítottak és az elítélt bűnelkövetők kapcsolataira és bűntársaira vonatkozó személyes adatok között. Ez nem akadályozhatja az ártatlanság vélelméhez való jognak a Chartában és az EEJE-ben garantált módon történő alkalmazását, a Bíróság ítélkezési gyakorlata, illetve az Emberi Jogok Európai Bírósága szerinti értelmezéssel összhangban.

(32)

Az illetékes hatóságoknak biztosítaniuk kell, hogy pontatlan, hiányos vagy már nem naprakész személyes adatok ne legyenek továbbíthatók vagy hozzáférhetővé tehetők. Annak érdekében, hogy biztosítsák a természetes személyek védelmét, a továbbított vagy hozzáférhetővé tett személyes adatok pontosságát, teljességét, illetve naprakész jellegét és megbízhatóságát, az illetékes hatóságoknak a személyes adatok továbbításakor a szükséges kiegészítő információkat is meg kell küldeniük.

(33)

Ha ez az irányelv tagállami jogra, jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent – az érintett tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül – valamely parlament által elfogadott jogalkotási eszközt. Mindazonáltal a tagállami jognak, jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazása szempontjából pedig kiszámíthatónak kell lennie az érintettek számára, amint azt a Bíróságnak és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlata megköveteli. A személyes adatok ezen irányelv hatálya alá tartozó kezelését szabályozó tagállami jogban rendelkezni kell legalább a célokról, a kezelendő személyes adatokról, az adatkezelés céljairól, a személyes adatok integritásának és bizalmas jellegének megóvásáról, valamint a személyes adatok megsemmisítésére irányuló eljárásokról, így biztosítva a megfelelő garanciákat az adatokkal való visszaélésnek és az adatok önkényes felhasználásának a kockázata ellen.

(34)

A bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából az illetékes hatóságok által végzett személyesadat-kezelés fogalommeghatározása magában foglalja a személyes adatokon vagy adatállományokon automatizált vagy más módon az említett célokból végzett bármely műveletet vagy műveletek összességét, például a gyűjtést, a rögzítést, a rendszerezést, a tagolást, a tárolást, az átalakítást vagy megváltoztatást, a lekérdezést, a betekintést, a felhasználást, az összehangolást vagy összekapcsolást, az adatkezelés korlátozását, a törlést, illetve megsemmisítést. Így különösen ennek az irányelvnek a szabályai alkalmazandók abban az esetben, ha a személyes adatokat ezen irányelv alkalmazásában olyan címzettnek továbbítják, aki vagy amely nem tartozik ennek az irányelvnek a hatálya alá. Az ilyen címzett fogalma magában foglalja azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely más szervet, akivel vagy amellyel az illetékes hatóság a személyes adatokat jogszerűen közli. Ha a személyes adatokat eredetileg valamely illetékes hatóság gyűjtötte az ezen irányelvben foglalt valamelyik cél érdekében, az (EU) 2016/679 rendeletet kell alkalmazni az említett adatoknak az ezen irányelvben foglalt céloktól eltérő célból történő kezelésére, feltéve, hogy az említett adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Kiváltképpen az (EU) 2016/679 rendeletbe foglalt szabályok alkalmazandók abban az esetben, ha a személyes adatokat az ezen irányelv hatálya alá nem tartozó célokból továbbítják. A személyes adatok olyan címzett által végzett kezelésére, aki vagy amely nem minősül illetékes hatóságnak, illetve nem az ezen irányelv értelmében vett ilyen hatóságként jár el, és akivel vagy amellyel egy illetékes hatóság jogszerűen személyes adatokat közöl, az (EU) 2016/679 rendelet alkalmazandó. Ezenkívül az (EU) 2016/679 rendeletben megállapított feltételek mellett a tagállamok ezen irányelv végrehajtásakor tovább pontosíthatják a rendeletben foglalt szabályok alkalmazását.

(35)

Ahhoz, hogy jogszerű legyen, az ezen irányelv szerinti személyesadat-kezelésnek olyan feladat ellátásához kell szükségesnek lennie, amelyet valamely illetékes hatóság közérdekből, uniós vagy tagállami jog alapján a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végez, ideértve az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges adatkezelést is. Mivel a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása feladatának ellátását a jog intézményesen ruházza az illetékes hatóságokra, azok elrendelhetik vagy megkövetelhetik a természetes személyektől kérésük teljesítését. Ilyen esetben az érintettnek az (EU) 2016/679 rendeletben meghatározott értelemben vett hozzájárulása nem szolgálhat jogalapul a személyes adatok illetékes hatóságok általi kezeléséhez. Ha az érintett jogi kötelezettséget teljesít, nincs valós és szabad választási lehetősége, ezért az érintett reakciója nem tekinthető akarata szabad kinyilvánításának. Ez nem akadályozhatja meg a tagállamokat abban, hogy jogszabályban elő írják azt, hogy az érintett hozzájárulhat a személyes adatainak ezen irányelv alkalmazásában történő kezeléséhez, például bűnügyi nyomozások keretében végzett DNS-vizsgálat lefolytatásához vagy büntetőjogi szankciók végrehajtásakor az érintett feltalálásának elektronikus azonosító igénybevételével történő figyelemmel kíséréséhez.

(36)

A tagállamoknak rendelkezniük kell arról, hogy ha a továbbító illetékes hatóságra alkalmazandó uniós vagy tagállami jog a személyes adatok kezelésére vonatkozóan meghatározott körülmények között különös feltételeket ír elő, úgymint adatkezelési kódok használatát, akkor a továbbító illetékes hatóság tájékoztassa a címzettet az ilyen személyes adatokról, az említett feltételekről és a betartásukra vonatkozó követelményről. Az ilyen feltételek között szerepelhet például a személyes adatok más részére történő továbbításának a tilalma, vagy annak tilalma, hogy címzettnek továbbított személyes adatot a továbbításkor fennálló céltól eltérő célra használják fel, illetve annak tilalma, hogy az érintettet ne tájékoztassák a tájékoztatáshoz való jog korlátozása esetén, a továbbító illetékes hatóság előzetes jóváhagyása nélkül. E kötelezettségeket a továbbító illetékes hatóság által harmadik országbeli címzettek vagy nemzetközi szervezetek részére történő adattovábbítások esetében is alkalmazni kell. A tagállamok előírják, hogy az átadó hatóság az említett feltételeket a más tagállambeli címzettekre ne alkalmazza, illetve az EUMSZ V. címének 4. és 5. fejezete szerint létrehozott ügynökségekre, hivatalokra és szervekre, kivéve azokat a feltételeket, amelyek a továbbító illetékes hatóság szerinti tagállamban a hasonló adattovábbítások esetében alkalmazni kell.

(37)

Azok a személyes adatok természetüknél fogva különösen érzékenyek az alapvető jogok és szabadságok szempontjából, különös védelmet érdemelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen személyes adatnak minősül a faji vagy etnikai származásra utaló személyes adat; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés ezen irányelv keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. Az ilyen személyes adatok nem kezelhetők, kivéve, ha az adatkezelésre az érintettek jogaira és szabadságaira vonatkozó, jogszabályban előírt megfelelő garanciák alkalmazandók és az adatkezelés jogszabályban meghatározott esetekben megengedett; vagy ha ezt jogszabály még nem teszi lehetővé, akkor az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy ha az adatkezelés olyan adatra vonatkozik, amelyet az érintett kifejezetten nyilvánosságra hozott. Az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák magukban foglalhatják azt, hogy a kérdéses adatokat kizárólag az említett természetes személyre vonatkozó egyéb adatokhoz kapcsolódóan gyűjthessék, hogy a gyűjtött adatok megfelelő biztosításának lehetősége, hogy az adatokhoz való, az illetékes hatóság személyzete általi hozzáférésre vonatkozóan szigorúbb szabályokat állapítsanak meg, illetve hogy megtiltsák az ilyen adatok továbbítását. Ezeknek az adatoknak a kezelését jogszabály lehetővé teheti abban az esetben is, ha az érintett egyértelműen beleegyezett az olyan adatkezelésbe, amely az számára különösen tolakodó jellegű. Az érintett hozzájárulása azonban önmagában nem szolgálhat jogalapul az ilyen különleges személyes adatok illetékes hatóságok általi kezeléséhez.

(38)

Az érintett számára biztosítani kell a jogot arra, hogy ne terjedhessen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amelynek célja a rá vonatkozó egyes személyes jellemzők értékelése, és amely rá nézve hátrányos joghatással járna vagy őt jelentős mértékben érintené. Ilyen adatkezelésre minden esetben csakis megfelelő garanciák mellett kerülhet sor, ideértve az érintett külön tájékoztatás biztosítását és az ahhoz való jogát, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, ahhoz való jogát, hogy magyarázatot kapjon az effajta értékelés alapján hozott döntésről, és hogy megtámadja a döntést. A természetes személyekre vonatkozó olyan profilalkotás, amely az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok alapján történő megkülönböztetést eredményeznek, a Charta 21. és 52. cikkében meghatározott feltételek szerint tilos.

(39)

Annak érdekében, hogy az érintett gyakorolhassa jogait, az érintettnek nyújtott tájékoztatásnak – az adatkezelő honlapján is – könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt is, hogy azt világos és közérthető nyelven fogalmazzák meg. Az ilyen tájékoztatást hozzá kell igazítani a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek szükségleteihez.

(40)

Az érintettek jogainak gyakorlását elősegítő módokat kell biztosítani az ezen irányelv alapján elfogadott rendelkezések szerint, beleértve különösen a személyes adatokhoz való hozzáférés, valamint azok helyesbítésének, törlésének és az adatkezelés korlátozásának térítésmentes kérelmezésére és adott esetben megszerzésére szolgáló mechanizmusokat. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül adjon választ, kivéve, ha az adatkezelő ezzel az irányelvvel összhangban az érintett jogainak korlátozását alkalmazza. Továbbá, ha a kérelmek egyértelműen megalapozatlanok vagy túlzóak, azaz ha például az érintett indokolatlanul és ismétlődően fordul tájékoztatásért, vagy ha az érintett visszaél a tájékoztatáshoz való jogával és például hamis vagy félrevezető információkat terjeszt elő a kérelmében, az adatkezelő észszerű díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést.

(41)

Ha az adatkezelő az érintett személyazonosságának megerősítéséhez szükséges kiegészítő információk közlését kéri, a megadott információk kizárólag ebből a konkrét célból kezelhetők, és az e célhoz szükségesnél hosszabb ideig nem tárolhatók.

(42)

Az érintett rendelkezésére kell bocsátani legalább a következő információkat: az adatkezelő kilétét, az adatkezelési művelet tényét, az adatkezelés céljait, tájékoztatást a panasz benyújtásának jogáról, valamint az ahhoz való jogról, hogy az érintett az adatokhoz való hozzáférést, az adatok helyesbítését, törlését, illetve az adatkezelés korlátozását kérje az adatkezelőtől. Ezeket az információkat az illetékes hatóság honlapján is közzé lehet tenni. Továbbá, egyedi esetekben és annak érdekében, hogy az érintett gyakorolni tudja a jogait, az érintettet tájékoztatni kell az adatkezelés jogalapjáról és arról, hogy mennyi ideig fogják az adatokat tárolni, ha az adatkezelés konkrét körülményeit figyelembe véve ezekre a kiegészítő információkra szükség van az érintett vonatkozásában a tisztességes adatkezelés garantálásához.

(43)

Minden természetes személy jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint ahhoz, hogy e joggal egyszerűen és észszerű időközönként élhessen az adatkezelés jogszerűségének megállapítása és ellenőrzése céljából. Ezért minden érintett jogosult arra, hogy megismerje és tájékoztatást kapjon arról, hogy az adatokat milyen célokból kezelték, az adatok kezelésének időtartamáról, valamint az adatok címzettjeiről, ideértve a harmadik országbeli címzetteket is. Ha az ilyen tájékoztatások a személyes adatok eredetére vonatkozó információkat tartalmaznak, az említett információk nem fedhetik fel természetes személyek személyazonosságát, különösen abban az esetben, ha bizalmas forrásokról van szó. Az említett jog érvényesüléséhez elegendő, ha a kezelt adatok teljes körű összefoglalását érthető módon az érintett rendelkezésére bocsátják, azaz oly módon, amely lehetővé teszi az érintett számára az adatok megismerését és pontosságuk ellenőrzését, valamint meggyőződhet arról, hogy az adatok kezelése ennek az irányelvnek megfelelően történik, így az érintett számára lehetséges, hogy ezen irányelv szerinti jogait gyakorolja. Az összefoglalás az adatkezelés alatt álló személyes adatok másolataként is rendelkezésre bocsátható.

(44)

A tagállamok számára lehetővé kell tenni, hogy jogalkotási intézkedéseket fogadjanak el az érintettek tájékoztatásának késleltetésére, korlátozására vagy mellőzésére, illetve a személyes adataikhoz való hozzáférésük teljes vagy részleges korlátozására vonatkozóan, amennyiben, illetve mindaddig, amíg az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükségesnek és arányosnak minősül a következők érdekében: ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé; annak elkerülése, hogy a bűncselekmények megelőzése, felderítése, nyomozása, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása veszélybe kerüljön; a közbiztonság vagy nemzetbiztonság védelme; valamint mások jogainak és szabadságainak védelme. Az adatkezelőnek minden egyes eset konkrét és egyedi vizsgálatakor fel kell mérnie, hogy a hozzáférési jog részleges vagy teljes korlátozása szükséges-e.

(45)

Alapértelmezés szerint a hozzáférés megtagadását vagy korlátozását írásban közölni kell az érintettel a döntés ténybeli és jogi indokaival együtt.

(46)

Bármely, az érintett jogaira vonatkozó korlátozásnak meg kell felelnie a Chartának, valamint az EEJE-nek, a Bíróság, illetve az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata szerinti értelmezésnek megfelelően, és mindenekelőtt tiszteletben kell tartania az említett jogok és szabadságok lényeges tartalmát.

(47)

A természetes személyek számára biztosítani kell a rájuk vonatkozó pontatlan személyes adatok – különösen amikor azok tényekre vonatkoznak – helyesbítéséhez való jogot, illetve ha azok kezelése sérti ezen irányelvet, az adatok törléséhez való jogot. A helyesbítéshez való jog azonban nem érintheti például a tanúvallomások tartalmát. A természetes személyek számára biztosítani kell továbbá az adatkezelés korlátozásához való jogot, ha az említett természetes személy vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen, vagy ha a személyes adatokat bizonyítás céljából kell megőrizni. Különösen, ha az adott esetben alapos okkal feltételezhető, hogy a törlés sértheti az érintett jogos érdekeit, a személyes adatok törlése helyett korlátozni kell az adatkezelést. Ilyen esetben a korlátozott adatokat csak abból a célból lehet kezelni, amely megakadályozta a törlésüket. A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között az említett adatoknak – például archiválási céllal – egy másik adatkezelő rendszerbe történő migrálása vagy az említett adatok hozzáférhetőségük megszüntetése. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani. Azt a tényt, hogy a személyes adatok kezelése korlátozott, olyan módon kell jelezni a rendszerben, amelyből egyértelműen kitűnik, hogy az adatkezelés korlátozott jellegű. Az ilyen helyesbítésről, törlésről vagy az adatkezelés korlátozásáról tájékoztatni kell azokat a címzetteket, akikhez az adatokat továbbították, valamint azokat az illetékes hatóságokat, amelyektől a pontatlan adatok származtak. Az adatkezelőknek továbbá tartózkodniuk kell az ilyen adatok további terjesztésétől.

(48)

Ha az adatkezelő megtagadja az érintettől a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez, illetve az adatkezelés korlátozásához való jog gyakorlását, az érintett jogosult arra, hogy kérje az adatkezelés jogszerűségének vizsgálatát a nemzeti felügyeleti hatóságtól. Az érintettet e jogról tájékoztatni kell. Ha a felügyeleti hatóság az érintett nevében jár el, a felügyeleti hatóság legalább arról tájékoztatja az érintettet, hogy minden szükséges ellenőrzést vagy felülvizsgálatot elvégzett. A felügyeleti hatóság az érintettet tájékoztatja a bírósági jogorvoslathoz való jogáról is.

(49)

Ha a személyes adatokat bűnügyi nyomozás és büntetőügyben folytatott bírósági eljárás során kezelik, a tagállamok számára lehetővé kell tenni, hogy a tájékoztatáshoz, a hozzáféréshez, a helyesbítéshez, a törléshez és az adatkezelés korlátozásához való jogot a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban gyakorolják.

(50)

A személyes adatok az adatkezelő által vagy az adatkezelő nevében végzett bármilyen kezelése vonatkozásában az adatkezelő hatáskörét és felelősségét rögzíteni kell. Az adatkezelőt így különösen kötelezni kell arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint bizonyítani kell tudnia, hogy az adatkezelési tevékenységek megfelelnek ezen irányelvnek. Az ilyen intézkedéseket az adatkezelés jellegének, hatókörének, körülményének és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni. Az adatkezelőnek intézkedéseket kell hoznia többek között a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek személyes adatainak kezelése tekintetében alkalmazandó garanciák kidolgozására és alkalmazására.

(51)

Az érintettek jogait és szabadságait veszélyeztető – változó valószínűségű és súlyosságú – kockázatok olyan adatkezelésből származhatnak, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethet, különösen ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérülése, a szakmai titoktartási kötelezettség által védett adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakad; vagy ha az érintettek nem élhetnek jogaikkal és szabadságaikkal, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kerülnek kezelésre, amelyek faji- vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak; valamint a genetikai adatokat vagy biometrikus adatokat a természetes személyek kizárólagos azonosításához kezelnek, illetve az egészségügyi adatok vagy a szexuális életre és szexuális irányultságra, büntetőjogi felelősség megállapítására vonatkozó határozatok, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó adatokat kezelnek; vagy ha személyes jellemzők értékelésére, különösen munkahelyi teljesítménnyel kapcsolatos jellemzőkhöz, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére és előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; ha kiszolgáltatott helyzetben lévő természetes személyek – különösen gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

(52)

A kockázat valószínűségét és súlyosságát az adatkezelés jellegére, hatókörére, körülményére és céljaira tekintettel kell meghatározni. A kockázatot objektív értékelés alapján kell felmérni, amely által megállapítható, hogy az adatkezelési műveletek magas kockázattal járnak-e. Magas kockázatnak az a különös kockázat minősül, amely az érintettek jogainak és szabadságainak sérelmével jár.

(53)

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme az ezen irányelv követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát követeli meg. Az említett intézkedések alkalmazása nem függhet kizárólag gazdasági megfontolásoktól. Az adatkezelőnek ahhoz, hogy bizonyítani tudja az ezen irányelvnek való megfelelését, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek tiszteletben tartják mindenekelőtt a beépített adatvédelem és az alapértelmezett adatvédelem elveit. Ha az adatkezelő az ezen irányelv szerinti adatvédelmi hatásvizsgálatot végzett, annak eredményeit az intézkedések és eljárások kidolgozása során figyelembe kell venni. Az említett intézkedések többek között magukban foglalhatják az álnevesítés lehető leghamarabb történő alkalmazását. Az ezen irányelv alkalmazásában történő álnevesítés olyan eszköz lehet, amely előmozdítja különösen a személyes adatoknak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben való szabad áramlását.

(54)

Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatáskör és felelőssége – a felügyeleti hatóságok általi ellenőrzéssel és azok intézkedéseivel összefüggésben is – megköveteli az ezen irányelvbe foglalt felelősségi körök egyértelmű megállapítását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel együttesen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

(55)

Az adatfeldolgozó adatkezelését jogi aktus, például szerződés szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, és amely előírja különösen azt, hogy az adatfeldolgozó kizárólag az adatkezelő utasításai alapján végezheti tevékenységét. Az adatfeldolgozó figyelembe veszi a beépített adatvédelem és az alapértelmezett adatvédelem elvét.

(56)

Az adatkezelő vagy adatfeldolgozó annak érdekében, hogy bizonyítsa, hogy megfelel ennek az irányelvnek, a hatáskörébe tartozó összes adatkezelési tevékenységének kategóriáiról nyilvántartást vezet. Minden adatkezelőt és adatfeldolgozót kötelezni kell arra, hogy a felügyeleti hatósággal együttműködjön és az említett nyilvántartást kérésre hozzáférhetővé tegye, így az érintett adatkezelési műveletek esetlegesen ellenőrizhetők. A nem automatizált adatkezelési rendszerekben személyes adatok kezelését végző adatkezelőnek vagy adatfeldolgozónak hatékony módszereket kell alkalmaznia az adatkezelés jogszerűségének bizonyítására, az önellenőrzés lehetővé tételére, valamint az adatok integritásának és biztonságának szavatolására, például naplók vagy más nyilvántartások formájában.

(57)

Naplózni kell legalább az automatizált adatkezelési rendszerben végzett adatkezelési műveleteket, például a gyűjtést, módosítást, betekintést, a közlést – ideértve a továbbítást is –, az összekapcsolást és a törlést. A naplóban olyan módon kell bejegyezni a személyes adatokba betekintő vagy azokat közlő természetes személyek személyazonosságát, hogy abból a bejegyzésből igazolható legyen az adatkezelési művelet indokoltsága. A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, valamint az adatok integritásának és biztonságának szavatolására, valamint büntetőeljárások keretében használhatók fel. Az önellenőrzés az illetékes hatóságoknál lefolytatott belső fegyelmi eljárásokat is magában foglalja.

(58)

Az adatkezelő adatvédelmi hatásvizsgálatot végez, ha az adatkezelési műveletek a jellegükből, a hatókörükből vagy a céljaikból fakadóan valószínűsíthetően magas kockázatot jelentenek az érintettek jogaira és szabadságaira nézve. A hatásvizsgálat különösen a személyes adatok védelmét biztosító tervezett intézkedésekre, garanciákra és mechanizmusokra, valamint az ezen irányelvvel való összhang bemutatására terjed ki. A hatásvizsgálat tárgyát az adatkezelési műveletek releváns rendszerei és folyamatai kell, hogy képezzék, nem pedig egyedi esetek.

(59)

Az érintettek jogai és szabadságai hatékony védelmének biztosítása érdekében az adatkezelőnek vagy az adatfeldolgozónak bizonyos esetekben konzultálnia kell a felügyeleti hatósággal az adatkezelést megelőzően.

(60)

A biztonság fenntartása és az ezen irányelvet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozónak értékelnie kell az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást kell alkalmaznia. Ezek az intézkedések megfelelő szintű biztonságot – többek között a bizalmas kezelést is – kell, hogy biztosítsanak, figyelembe veszik a tudomány és technológia állását, valamint a végrehajtásnak a kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során mérlegelni kell az adatkezelés jelentette olyan kockázatokat, mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, módosítása, vagy jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés, amelyek különösen fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Az adatkezelőnek és az adatfeldolgozónak gondoskodnia kell arról, hogy a személyes adatok kezelését jogosulatlan személy ne végezhesse.

(61)

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyek számára, ideértve többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérülését, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve az említett természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha ilyen értesítésre 72 órán belül nincs mód, akkor az értesítésben a késedelem okát meg kell jelölni, az előírt információk pedig – további indokolatlan késedelem nélkül – részletekben is közölhetők.

(62)

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a természetes személyeket indokolatlan késedelem nélkül tájékoztatni kell annak érdekében, hogy a szükséges óvintézkedéseket megtehessék. Az tájékoztatásnak egyrészt tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, másrészt az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és az általa vagy más érintett hatóságok által adott útmutatások tiszteletben tartásával. Például, a kár közvetlen veszélyének mérséklése az érintettek sürgős tájékoztatását teszi szükségessé, ugyanakkor hosszabb időtartamot indokolhat az, hogy megfelelő intézkedéseket szükséges végrehajtani az adatvédelmi incidens folytatódásának vagy megelőzésének érdekében. Ha a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése, valamint annak elkerülése, hogy a bűncselekmények megelőzése, felderítése, nyomozása, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása sérelmet szenvedjen, továbbá a közbiztonság vagy nemzetbiztonság védelme, illetve mások jogainak és szabadságainak védelme nem valósítható meg azzal, ha késleltetik vagy korlátozzák a természetes személy tájékoztatását az adatvédelmi incidensről, akkor – kivételes körülmények között – a tájékoztatás elmaradhat.

(63)

Az adatkezelő kijelöl egy személyt, aki segítséget nyújt az ezen irányelv alapján elfogadott rendelkezéseknek való belső megfelelés ellenőrzésében, kivéve abban az esetben, ha valamely tagállam úgy határoz, hogy a bíróságok és más független igazságügyi hatóságok részére igazságszolgáltatási feladatkörük ellátása keretében mentességet biztosít. Ez a kijelölt személy lehet az adatkezelő meglévő személyzetének valamely olyan tagja, aki az adatvédelmi joggal és gyakorlattal kapcsolatos külön képzésben részesült annak érdekében, hogy szakértői ismeretekkel rendelkezzen ezen a területen. A szakértői ismeretek szükséges szintjét mindenekelőtt az adatkezelő által végzett adatkezelés, valamint az általa kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. A kijelölt személy a feladatait teljes munkaidőben vagy részmunkaidőben is végezheti. Szervezeti struktúrájuk és méretük figyelembevételével több adatkezelő együttesen is kinevezhet adatvédelmi tisztviselőt például abban az esetben, ha a központi egységeikben közös erőforrásokat használnak fel. Az adatvédelmi tisztviselő az érintett adatkezelők struktúráján belül különböző pozíciókba is kinevezhető. Feladata, hogy az adatkezelő és az adatkezelést végző alkalmazottak munkáját az adatvédelmi kötelezettségeknek való megfelelésre vonatkozó tájékoztatással és tanácsadással segítse. Az ilyen adatvédelmi tisztviselőnek kötelezettségeit és feladatait független módon, a tagállami joggal összhangban kell tudnia ellátni.

(64)

A tagállamok előírják, hogy harmadik országba vagy nemzetközi szervezet részére történő adattovábbításra kizárólag akkor kerüljön sor, ha az bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – érdekében szükséges, és a harmadik országbeli adatkezelő vagy a nemzetközi szervezet az ezen irányelv értelmében vett illetékes hatóságnak minősül. Az adattovábbítást kizárólag adatkezelőként eljáró illetékes hatóságok végezhetik, kivéve abban az esetben, ha adatfeldolgozók kifejezett utasítást kapnak arra, hogy az adatkezelők nevében adattovábbítást végezzenek. Ilyen adattovábbításra csak azokban az esetekben kerülhet sor, amelyeknél a Bizottság úgy ítélte meg, hogy az említett harmadik ország vagy nemzetközi szervezet megfelelő védelmi szintet képes biztosítani, vagy ha megfelelő garanciákat nyújtottak, vagy kivételes esetekben biztosított eltéréseket kell alkalmazni. Ha személyes adatokat az Unióból harmadik országbeli adatkezelőkhöz, adatfeldolgozókhoz, egyéb címzettekhez vagy nemzetközi szervezetek részére történő továbbítanak, az ezen irányelv által az Unióban a természetes személynek biztosított védelem szintje nem sérülhet, és annak fenn kell maradnia akkor is, ha az adott harmadik ország vagy nemzetközi szervezet ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőhöz, adatfeldolgozóhoz vagy nemzetközi szervezet részére újból továbbítja az említett személyes adatokat.

(65)

Ha valamely tagállamból személyes adatokat továbbítanak harmadik országoknak vagy nemzetközi szervezeteknek, az adattovábbításra alapértelmezés szerint csak azután kerülhet sor, hogy az a tagállam, amelyből az adatok származnak, engedélyezte azt. A hatékony bűnüldözési együttműködés szükségessé teszi azt, ha egy tagállam vagy harmadik ország közbiztonságát vagy egy tagállam alapvető érdekeit fenyegető veszély jellegénél fogva olyan közvetlen, hogy nincs mód az előzetes engedély kellő időben történő beszerzésére, akkor az illetékes hatóság számára lehetővé kell tenni, hogy a vonatkozó személyes adatokat az említett előzetes engedély nélkül továbbíthassa az érintett harmadik országnak vagy nemzetközi szervezetnek. A tagállamok előírják, hogy az adattovábbítás esetleges különös feltételeit a harmadik országokkal vagy a nemzetközi szervezetekkel közölni kell. A személyes adatok újbóli továbbítására kizárólag az eredeti adattovábbítást végző illetékes hatóság előzetes engedélyével kerülhet sor. Amikor az eredeti adattovábbítást végző illetékes hatóság az újbóli továbbítás engedélyezése iránti kérelemről határoz, figyelembe vesz minden releváns tényezőt, többek között a bűncselekmény súlyosságát, azt, hogy az eredeti adattovábbítás milyen egyedi feltételekkel és milyen céllal történt, a büntetőjogi szankció jellegét és végrehajtásának feltételeit, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy annál a nemzetközi szervezetnél, amely a személyes adatok újbóli továbbításának címzettje. Az eredeti adattovábbítást végző illetékes hatóság külön feltételekhez is kötheti az újbóli továbbítás engedélyezését. Ezeket a külön feltételeket például adatkezelési kódokkal lehet ismertetni.

(66)

A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy bizonyos harmadik országok, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosítónak tekintett harmadik országok vagy nemzetközi szervezetek vonatkozásában. Ilyen esetekben a személyes adatok az említett országokba történő továbbításához külön engedély beszerzése nem szükséges, kivéve amikor, ha az adattovábbításhoz egy másik tagállamnak – mégpedig annak a tagállamnak, amelytől az adatok származnak – engedélyt kell adnia.

(67)

A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy a harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, valamint az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. A harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív kritériumokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan garanciákat kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében egyenértékű – védelmi szintet biztosítanak, különösen amikor egy vagy több konkrét ágazatban történik az adatkezelés. A harmadik országnak gondoskodnia kell különösen a hatékony, független adatvédelmi felügyeletről, valamint a tagállami adatvédelmi hatóságokkal való együttműködés mechanizmusairól, továbbá biztosítania kell, hogy az érintettek hatékony és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

(68)

A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során az egyének védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottságnak a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultálnia kell az (EU) 2016/679 rendelettel létrehozott Európai Adatvédelmi Testülettel (a továbbiakban: a Testület). A Bizottság figyelembe veszi továbbá, hogy van-e az (EU) 2016/679 rendelet 45. cikkével összhangban elfogadott, releváns bizottsági megfelelőségi határozat.

(69)

A Bizottság ellenőrzi a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított védelem szintjével kapcsolatos határozatokban foglaltak érvényesülését. A megfelelőségi határozataiban a Bizottság rendelkezik a határozatokban foglaltak érvényesülése időszakos felülvizsgálatának mechanizmusáról. Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni.

(70)

A Bizottság azt is megállapíthatja, hogy valamely harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet a továbbiakban már nem biztosít megfelelő szintű adatvédelmet. Következésképpen a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha az ebben az irányelvben foglalt, adattovábbításhoz kapcsolódó követelmények a megfelelő garanciák és kivételes esetekre vonatkozó eltérések alá esnek. A Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról rendelkezik. A Bizottság megfelelő időben tájékoztatja az érintett harmadik országot vagy nemzetközi szervezetet az indokokról, és a helyzet orvoslása érdekében konzultációkat folytat vele.

(71)

Ha az adattovábbítás nem ilyen megfelelőségi határozaton alapul, akkor az adattovábbítás csak akkor lehetséges, ha a személyes adatok védelmét biztosító jogilag kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak, vagy ha az adatkezelő az adattovábbítás valamennyi körülményét megvizsgálta, és e vizsgálat alapján úgy véli, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn. Ilyen jogilag kötelező erejű jogi eszközök lehetnek például az olyan, tagállamok által kötött, jogilag kötelező erejű kétoldalú megállapodások, amelyeket a tagállamok átültettek belső jogrendjükbe, és amelyeket az érintettek érvényesíthetnek, továbbá amelyek biztosítják az adatvédelmi követelményeknek való megfelelést és az érintettek jogainak – köztük a hatékony közigazgatási vagy bírósági jogorvoslat igénybevételéhez való jognak – az érvényesülését. Az adatkezelő az adattovábbítás valamennyi körülményének megvizsgálásakor figyelembe kell, hogy vegye az Europol vagy az Eurojust és a harmadik országok által kötött, a személyes adatok cseréjét lehetővé tevő együttműködési megállapodásokat is. Az adatkezelő azt is figyelembe veszi azt a tényt is, ha a személyes adatok továbbítására titoktartási kötelezettség és a célhoz kötöttség elve vonatkozik, mivel ezek biztosítják, hogy az adatok nem használhatók fel az adattovábbítás céljától eltérő célra. Emellett az adatkezelő figyelembe veszi azt is, hogy a személyes adatokat halálbüntetés vagy egyéb kegyetlen és embertelen bánásmód kérelmezéséhez, kiszabásához vagy végrehajtásához ne használják fel. Annak ellenére, hogy az ezek a feltételek olyan megfelelő garanciáknak tekinthetők, amelyek lehetővé teszik az adattovábbítást, az adatkezelő számára lehetővé kell tenni, hogy további garanciákat is megkövetelhessen.

(72)

Megfelelőségi határozat, illetve megfelelő garanciák hiányában az adatok, illetve adatkategóriák továbbítására csak kivételes esetekben kerülhet sor, ha az az érintett vagy más személy létfontosságú érdekeinek védelme, az érintett jogos érdekeinek a személyes adatot továbbító tagállam joga által előírt biztosítása vagy valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása miatt szükséges, illetve ha bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése –, illetve jogi igények előterjesztése, érvényesítése és védelme – miatt szükséges. Az említett eltéréseket megszorítóan kell értelmezni, és azok nem tehetik lehetővé a személyes adatok gyakori, jelentős mértékű és strukturális továbbítását, vagy adatok nagy mennyiségben történő továbbítását, azonban az adattovábbításnak a feltétlenül szükséges adatokra kell korlátozódnia. Az adattovábbítást dokumentálni kell, és a felügyeleti hatóság kérésére annak rendelkezésére kell bocsátani annak érdekében, hogy ellenőrizze az adattovábbítás jogszerűségét.

(73)

A tagállamok illetékes hatóságai a számukra jogilag előírt feladatok végrehajtása érdekében, a releváns adatok cseréjéhez, jelenleg is alkalmaznak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén a harmadik országokkal kötött hatályos két- és többoldalú nemzetközi megállapodásokat. Erre alapértelmezés szerint, ezen irányelv alkalmazásában, az érintett harmadik országok illetékes hatóságain keresztül vagy legalább azok közreműködésével kerül sor, néha akár két- vagy többoldalú nemzetközi megállapodás hiányában is. Bizonyos egyedi esetekben azonban az ilyen harmadik országbeli hatósággal való kapcsolatfelvételt előíró rendes eljárások nem hatékonyak vagy nem megfelelőek, elsősorban azért, mert az adattovábbítást nem lehetne időben végrehajtani, vagy mert a harmadik országbeli hatóság nem tartja tiszteletben a jogállamiságot vagy a nemzetközi emberi jogi normákat és előírásokat, és ezért a tagállamok illetékes hatóságai úgy határozhatnak, hogy közvetlenül harmadik országbeli címzettek részére továbbítják a személyes adatokat. Ilyen helyzet merülhet fel, ha fennáll a veszély, hogy valamely személy bűncselekmény áldozatává válik és a személyes adatok továbbítása az említett természetes személy életének megmentése érdekében, illetve valamely bűncselekmény – ideértve a terrorcselekményt – azonnali elkövetésének megelőzése érdekében sürgősen szükséges. Noha az illetékes hatóságok és a harmadik országbeli címzettek közötti efféle adattovábbításra csak egyedi és meghatározott helyzetekben kerülhet sor, ennek az irányelvnek rendelkezéseket kell megállapítania az ilyen eseteket szabályozó feltételekre vonatkozóan is. Ezek a rendelkezések nem tekinthetők a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területére vonatkozó, bármely hatályos két- vagy többoldalú nemzetközi megállapodások rendelkezéseitől való eltérésnek. Ezeket a szabályokat továbbá ezen irányelv egyéb szabályaival, különösen az adatkezelés jogszerűségére vonatkozó, illetve az V. fejezetben foglalt szabályokkal együttesen kell alkalmazni.

(74)

Ha a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy a természetes személyek nem képesek gyakorolni adatvédelmi jogaikat annak érdekében, hogy védekezzenek az említett adatok jogellenes felhasználása vagy közlése ellen érdekében. Ugyanakkor előfordulhat, hogy a felügyeleti hatóságoknak az országuk határain kívül folyó tevékenységek tekintetében nem áll módjukban a panaszok kapcsán eljárni vagy vizsgálatot folytatni. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, valamint az egymásnak ellentmondó jogrendszerek is. Ezért elő kell mozdítani az adatvédelmi felügyeleti hatóságok és külföldi partnereik közötti szorosabb együttműködést az információcsere elősegítése érdekében.

(75)

Ahhoz, hogy a természetes személyek a személyes adataik kezelése tekintetében megfelelő védelemben részesüljenek, elengedhetetlen, hogy a tagállamokban a feladataikat teljes mértékben függetlenül ellátó felügyeleti hatóságok jöjjenek létre. A felügyeleti hatóságok a természetes személyek személyes adataik kezelése tekintetében történő védelmének biztosítása érdekében figyelemmel kísérik ezen irányelv alapján elfogadott rendelkezések alkalmazását, és hozzájárulnak annak az Unió egész területén történő egységes alkalmazásához. A felügyeleti hatóságoknak ebből a célból együttműködnek egymással és a Bizottsággal.

(76)

A tagállamok az (EU) 2016/679 rendelet alapján korábban létrehozott felügyeleti hatóságra ruházhatják az ezen irányelv alapján létrehozandó nemzeti felügyeleti hatóság által ellátandó feladatokat.

(77)

A tagállamok számára lehetővé kell tenni, hogy saját alkotmányos, szervezeti és közigazgatási szerkezetükhöz igazodva egynél több felügyeleti hatóságot is létrehozhatnak. A felügyeleti hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyeleti hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat is – hatékony ellátásához szükséges anyagi és személyzeti forrásokat, helyiségeket és infrastruktúrát. Minden felügyeleti hatóság saját, éves költségvetéssel rendelkezik, amely a nemzeti vagy állami költségvetés részét képezheti.

(78)

A felügyeleti hatóságokat a pénzügyi kiadásaikat illetően független ellenőrzési vagy nyomonkövetési mechanizmusnak kell alávetni, feltéve, hogy az ilyen pénzügyi felügyelet nem érinti a függetlenségüket.

(79)

A felügyeleti hatóság tagjára vagy tagjaira vonatkozó általános feltételeket a tagállamok jogszabályban kell rögzíteni, és elő kell írni azt, hogy az említett tagokat az adott tagállam parlamentje vagy kormánya vagy államfője nevezi ki a kormány, a kormány egyik tagja, a parlament vagy valamelyik parlamenti kamara javaslata alapján, vagy pedig azt, hogy a tagokat a tagállami jogban a kinevezéssel megbízott független szerv átlátható eljárás keretében nevezi ki. A felügyeleti hatóság függetlenségének biztosítása érdekében, az említett tag vagy tagok feddhetetlenül járnak el, tartózkodniuk kell a feladatkörükkel össze nem egyezethető cselekményektől, valamint hivatali idejük alatt nem vállalhatnak semmilyen azzal összeférhetetlen – akár kereső, akár ingyenesen végzett – szakmai tevékenységet. A felügyeleti hatóság függetlenségének biztosítása érdekében a hatóság személyzetét a felügyeleti hatóság választja ki; a kiválasztásban részt vehet egy a tagállami jogban ezzel megbízott független szerv is.

(80)

Bár ezt az irányelvet a tagállami bíróságok és egyéb igazságügyi hatóságok tevékenységére is alkalmazni kell, a felügyeleti hatóságok illetékessége nem terjed ki a személyes adatok kezelésére abban az esetben, amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el, annak érdekében, hogy a bírák függetlenségének megőrzése biztosított legyen igazságszolgáltatási feladataik ellátása során. Ez a kivétel azonban a bírósági ügyekben ellátott igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyekben a bírák esetleg a tagállami jognak megfelelően még részt vehetnek. A tagállamok azt is előírhatják, hogy a felügyeleti hatóság hatásköre nem terjed ki az olyan személyes adatok kezelésre, amelyet az egyéb független igazságügyi hatóságok – például az ügyészségek – igazságszolgáltatási feladatkörükben eljárva végeznek. Mindenesetre, az ezen irányelvben foglalt szabályoknak a bíróságok és egyéb független igazságügyi hatóságok általi tiszteletben tartása minden esetben a Charta 8. cikkének (3) bekezdésével összhangban független ellenőrzés alá tartozik.

(81)

A felügyeleti hatóság bármely érintett által benyújtott panasszal kapcsolatban eljár, és kivizsgálja az ügyet vagy átadja azt az illetékes felügyeleti hatóságnak. A panaszt követő vizsgálatot – amely bírósági felülvizsgálat tárgyát képzi – a konkrét esethez szükséges mértékben kell lefolytatni. A felügyeleti hatóság észszerű határidőn belül tájékoztatja az érintettet a panasszal kapcsolatos fejleményekről és eredményekről. Ha az ügy további vizsgálatot vagy egy másik felügyeleti hatóság együttműködését teszi szükségessé, az érintett számára időközben tájékoztatást kell nyújtani.

(82)

Annak érdekében, hogy a Bíróság által értelmezett EUMSZ-nek megfelelően az Unió egészében hatékonyan, megbízhatóan és következetesen nyomon lehessen követni ezen irányelv végrehajtását és az ezen irányelvnek való megfelelést, a felügyeleti hatóságokat a tagállamokban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a feladatok elvégzéséhez szükséges vizsgálati, korrekciós és tanácsadási hatáskört. E hatóságok hatáskörei ugyanakkor nem sérthetik a büntetőeljárásokra vonatkozó – ezen belül a bűncselekmények nyomozására és üldözésére – különös szabályokat, illetve az igazságszolgáltatás függetlenségét. Az ügyészségek tagállami jogban biztosított hatásköreinek tiszteletben tartása mellett a felügyeleti hatóságokat is fel kell jogosítani arra, hogy ezen irányelv megsértése esetén az igazságügyi hatóságokhoz forduljanak vagy bírósági eljárást kezdeményezzenek. A felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban meghatározott megfelelő eljárási garanciákkal összhangban, pártatlanul, tisztességesen és észszerű határidőn belül kell, hogy gyakorolják. Különösképpen, az ezen irányelvnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon. A helyiségekbe való belépést illetően a vizsgálati hatáskört a tagállami jogban előírt vonatkozó követelményekkel összhangban kell gyakorolni, ilyen például az előzetes bírói engedély beszerzésének követelménye. A jogilag kötelező erejű döntések bírósági felülvizsgálatnak vethetők az adott döntést elfogadó felügyeleti hatóság tagállamában.

(83)

A felügyeleti hatóságok feladataik ellátásában segítik egymást, és kölcsönös segítséget nyújtanak egymásnak annak érdekében, hogy a belső piacon biztosítsák ezen irányelv alapján elfogadott rendelkezések egységes alkalmazását és végrehajtását.

(84)

A Testület az Unió egész területén hozzájárul ezen irányelv következetes alkalmazásához, ideértve a Bizottság részére történő tanácsadást és a felügyeleti hatóságok közötti, Unión belüli együttműködés előmozdítását is.

(85)

Minden érintett jogosult, hogy panaszt tegyen egyetlen felügyeleti hatóságnál, és a Charta 47. cikkével összhangban hatékony bírósági jogorvoslattal éljen, ha az érintett úgy ítéli meg, hogy az ezen irányelv alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges. A panaszt követően vizsgálatot kell lefolytatni – amely bírósági felülvizsgálat tárgyát képezheti – a konkrét esethez szükséges mértékben. Az illetékes felügyeleti hatóság észszerű határidőn belül tájékoztatja az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy további vizsgálatot vagy egy másik felügyeleti hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani. A panaszok benyújtásának megkönnyítése érdekében a felügyeleti hatóság intézkedéseket hoz, például olyan panasz benyújtására szolgáló formanyomtatványt biztosít, amely elektronikus úton is kitölthető, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(86)

Minden természetes vagy jogi személy számára biztosítani kell, hogy a valamely felügyeleti hatóság által hozott és az említett természetes vagy jogi személyekre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróság előtt. Ide tartoznak különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések. Mindazonáltal ez a jog nem vonatkozik a felügyeleti hatóságok egyéb, jogilag kötelező erővel nem bíró intézkedéseire, például a felügyeleti hatóság által kibocsátott véleményekre vagy általa adott tanácsokra. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást a tagállami jog szerint kell lefolytatni. Ezek a bíróságok teljes körű joghatósággal rendelkeznek, amely magában foglalja a tárgyalt jogvita szempontjából releváns összes ténybeli és jogi körülmény vizsgálatát.

(87)

Ha az érintett úgy ítéli meg, hogy az ezen irányelv értelmében fennálló jogait megsértették, jogosult megbízni egy – az érintetteknek a személyes adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott –, a tagállami jognak megfelelően létrehozott szervet, hogy az a nevében eljárva panaszt tegyen valamely felügyeleti hatóságnál, és éljen a bírósági jogorvoslathoz való jogával. Az érintettek képviselethez való joga nem sértheti a tagállami eljárásjogot, amely előírhatja, hogy érintetteket kötelezően a tagállami bíróságok előtt a 77/249/EGK tanácsi irányelvben (10) foglalt fogalommeghatározás szerinti ügyvéd képviselje.

(88)

Az ezen irányelv alapján elfogadott rendelkezéseket sértő adatkezelés miatt felmerült kárt az adatkezelő vagy a tagállami jog szerint illetékes más hatóság megtéríti a kárt szenvedett személynek. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze ezen irányelv céljait. Ez nem érinti az uniós vagy tagállami jog egyéb szabályainak megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Ahol ez az irányelv jogszerűtlen vagy az ezen irányelv alapján elfogadott rendelkezéseit sértő adatkezelést említ, azon az ezen irányelvvel összhangban elfogadott végrehajtási jogi aktusoknak nem megfelelő adatkezelést is érteni kell. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.

(89)

Szankciót kell kiróni minden olyan természetes vagy jogi személyre – függetlenül attól, hogy a magánjog vagy a közjog hatálya alá tartozik-e –, aki, illetve amely megsérti ezt az irányelvet. A tagállamoknak biztosítaniuk kell hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és meg kell hozniuk minden szükséges intézkedést ezek végrehajtására.

(90)

Ezen irányelv végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a következőkre vonatkozóan: a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint, a kölcsönös segítségnyújtás formátuma és eljárásai, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus úton történő információcserére vonatkozó szabályok. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek megfelelően kell gyakorolni (11).

(91)

A vizsgálóbizottsági eljárást kell alkalmazni a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szintről, a kölcsönös segítségnyújtás formátumáról és eljárásairól, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus úton történő információcserére vonatkozó szabályokról szóló végrehajtási jogi aktusok elfogadására, mivel ezek a jogi aktusok általános hatállyal bírnak.

(92)

A Bizottságnak azonnal alkalmazandó végrehajtási jogi aktusokat kell elfogadnia, ha kellően indokolt esetben ez rendkívül sürgős okból szükséges, amikor a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet már nem biztosít megfelelő védelmi szintet.

(93)

Mivel ezen irányelv céljait, nevezetesen az érintettek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguknak – megóvását, valamint annak biztosítását, hogy az Unión belül az illetékes hatóságok a személyes adatokat szabadon cserélhessék, a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme vagy hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ezen irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.

(94)

A büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén az ezen irányelv elfogadásának időpontját megelőzően elfogadott olyan jogi aktusok bizonyos rendelkezései, amelyek a személyes adatok tagállamok közötti kezelését és a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozzák, változatlanul hatályban maradnak, ideértve például a 2008/615/IB tanácsi határozat (12) alapján a személyes adatok védelmére vonatkozóan alkalmazott különös rendelkezéseket, illetve az Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezmény (13) 23. cikkét. Mivel a Charta 8. cikke és az EUMSZ 16. cikke előírja, hogy a személyes adatok védelméhez való alapvető jogot az Unió egész területén következetesen biztosítani kell, a Bizottság megvizsgálja, hogy az ezen irányelv és az elfogadásának időpontját megelőzően elfogadott – a személyes adatok tagállamok közötti kezelését vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó – jogi aktusok egymáshoz való viszonyának fényében szükséges-e ezeket a rendelkezéseket ehhez az irányelvhez igazítani. Ha szükséges, a Bizottság javaslatokat nyújt be annak biztosítása érdekében, hogy egységes jogi normák szabályozzák a személyes adatok kezelését.

(95)

Annak érdekében, hogy a személyes adatok átfogó és következetes védelme biztosított legyen az Unióban, azok a nemzetközi megállapodások, amelyeket a tagállamok ezen irányelv hatálybalépésének napját megelőzően kötöttek, és amelyek megfelelnek az ezen időpont előtt alkalmazandó vonatkozó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig hatályban maradnak.

(96)

A tagállamok számára ezen irányelv átültetésére ezen irányelv hatálybalépésének napjától számított két éves időszakot meg nem haladó időtartamot kell előírni. A hatálybalépés napján már folyamatban lévő adatkezelést ezen irányelv hatálybalépésének időpontjától számított két éven belül összhangba kell hozni ezen irányelvvel. Mindazonáltal az ezen irányelv hatálybalépésének napja előtt az alkalmazandó uniós jognak megfelelő adatkezelés esetében az ezen irányelvben foglalt, a felügyeleti hatósággal folytatott előzetes konzultációra vonatkozó előírásokat nem kell alkalmazni az említett időpontban már folyamatban lévő adatkezelésre, tekintettel arra, hogy ezeket a követelményeket természetüknél fogva már az adatkezelés megkezdése előtt teljesíteni kell. Ha a tagállamok élnek a hosszabb végrehajtási időtartam lehetőségével, és az ezen irányelv hatálybalépése előtt létesített automatizált adatkezelési rendszerek tekintetében az ezen irányelv hatálybalépésének napjától számított hét éven belül tesznek eleget a naplózási kötelezettségnek, az adatkezelőnek vagy az adatfeldolgozónak az adatkezelés jogszerűségének bizonyítására, az önellenőrzés lehetővé tételére, valamint az adatok integritásának és adatbiztonságának szavatolására, például naplók vagy más nyilvántartások formájában, hatékony módszereket kell alkalmaznia.

(97)

Ez az irányelv nem sértheti a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemre vonatkozóan a 2011/93/EU európai parlamenti és tanácsi irányelvben (14) megállapított rendelkezéseket.

(98)

A 2008/977/IB kerethatározatot ezért hatályon kívül kell helyezni.

(99)

Az EUSZ-hez és az EUMSZ-hez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 6a. cikkével összhangban az Egyesült Királyságot és Írországot nem kötelezik az ezen irányelvben meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4., illetve 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak, amennyiben az Egyesült Királyságot vagy Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy a rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az EUMSZ 16. cikk alapján meghatározott rendelkezések betartását.

(100)

Az EUSZ-hez és az EUMSZ-hez csatolt, Dánia helyzetéről szóló 22. jegyzőkönyv 2. és 2a. cikkével összhangban Dániára nézve nem kötelezőek és nem alkalmazandóak az ezen irányelvben megállapított azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4., illetve 5. fejezete alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak. Mivel ez az irányelv az EUMSZ harmadik része V. címének értelmében a schengeni vívmányokon alapul, Dánia az említett jegyzőkönyv 4. cikkének megfelelően az ezen irányelv elfogadását követő hat hónapon belül dönt arról, hogy azt nemzeti jogában végrehajtja-e.

(101)

Izland és Norvégia tekintetében ez az irányelv az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között kötött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás (15) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(102)

Svájc tekintetében ez az irányelv az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról kötött megállapodás (16) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(103)

Liechtenstein tekintetében ez az irányelv az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség közötti, a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról szóló jegyzőkönyv (17) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(104)

Ezen irányelv tiszteletben tartja az alapvető jogokat és betartja a Charta által elismert, az EUMSZ-ben rögzített elveket, különösen a magán- és a családi élet tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot. Az e jogokat érintő korlátozások összhangban vannak a Charta 52. cikkének (1) bekezdésével, mivel elengedhetetlenek az Unió által elismert általános érdekű célok megvalósításához, vagy mások jogainak és szabadságainak védelmét szolgálják.

(105)

A tagállamok és a Bizottság magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza ezen irányelv elemei és az azt átültető nemzeti intézkedések megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt.

(106)

Az európai adatvédelmi biztossal való konzultáció a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban megtörtént; a biztos 2012. március 7-én (18) nyilvánított véleményt.

(107)

Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy nemzeti büntetőeljárási szabályaikban rendelkezzenek az érintetteket a büntetőeljárás során megillető tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez és az adatkezelés korlátozásához fűződő jog gyakorlásáról, valamint ezek esetleges korlátozásáról,

a)

védik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat, és

b)

biztosítják, hogy a személyes adatok illetékes hatóságok közötti, Unión belüli cseréje – ha e cserét az uniós vagy tagállami jog írja elő – ne legyen korlátozás vagy tiltás tárgya a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.

a)

a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére;

b)

a személyes adatoknak az Unió intézményei, szervei, hivatalai és ügynökségei által végzett kezelésére.

a)

olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy

b)

bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

a)

kezelését jogszerűen és tisztességesen kell végezni;

b)

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

c)

az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;

d)

pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;

e)

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;

f)

kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

a)

az adatkezelő az uniós vagy tagállami joggal összhangban jogosult az említett személyes adatokat az említett célból kezelni, és

b)

az adatkezelés az uniós vagy tagállami joggal összhangban, az említett egyéb cél szempontjából szükséges és arányos.

a)

olyan személyek, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni;

b)

bűncselekmény elkövetéséért elítélt személyek;

c)

bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozatai lehetnek, és

d)

a bűncselekmény kapcsán érintett egyéb felek, például olyan személyek, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során felszólíthatók vallomástételre, bűncselekményről információval szolgálhatnak, vagy az a) és b) pontban említett személyekkel kapcsolatban vannak vagy e személyek bűntársai.

a)

az uniós vagy tagállami jog lehetővé teszi;

b)

az érintett vagy más természetes személy létfontosságú érdekeinek védelmét szolgálja; vagy

c)

az ilyen adatkezelés olyan adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.

a)

észszerű összegű díjat számíthat fel, figyelemmel a kért információ vagy tájékoztatás nyújtásával, illetve a kért intézkedés meghozatalával járó adminisztratív költségekre; vagy

b)

megtagadhatja a kérelem alapján történő intézkedést.

a)

az adatkezelő személye és elérhetőségei;

b)

adott esetben az adatvédelmi tisztviselő elérhetőségei;

c)

a személyes adatok tervezett kezelésének célja;

d)

panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

e)

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.

a)

az adatkezelés jogalapjáról;

b)

a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

c)

adott esetben a személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;

d)

szükség esetén további információkról, különösen akkor, ha az adatok gyűjtésére az érintett tudomása nélkül került sor.

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

a)

az adatkezelés céljai és jogalapja;

b)

az érintett személyes adatok kategóriái;

c)

olyan címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d)

adott esetben, a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését, vagy kezelésének korlátozását;

f)

panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

g)

tájékoztatás az adatkezelés tárgyát képező személyes adatokról és az azok forrására vonatkozó minden elérhető információ.

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

a)

az érintett vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen; vagy

b)

a személyes adatokat bizonyítás céljából meg kell őrizni.

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

a)

kizárólag az adatkezelő utasítása alapján jár el;

b)

biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)

minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;

d)

az adatkezelési szolgáltatásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő;

e)

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben foglaltak teljesítésének igazolásához szükséges;

f)

teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (3) bekezdésben említett feltételeket.

a)

az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelő és az adatvédelmi tisztviselő neve és elérhetősége;

b)

az adatkezelés céljai;

c)

olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket;

d)

az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

e)

adott esetben a profilalkotás alkalmazásának jelzése;

f)

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbításának kategóriái;

g)

azon adatkezelési művelet, ideértve az adattovábbítást is, jogalapjának megjelölése, amelyre a személyes adatok vonatkoznak;

h)

ha lehetséges, a személyes adatok különböző kategóriáinak törlésére előirányzott határidők;

i)

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

a)

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, minden olyan adatkezelő neve és elérhetősége, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatvédelmi tisztviselő neve és elérhetőségei;

b)

az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, ha erre az adatkezelő kifejezetten utasítást ad, ideértve a harmadik ország vagy a nemzetközi szervezet azonosítását is;

d)

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

a)

a 27. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy

b)

az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.

a)

a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez (berendezésekhez való hozzáférés ellenőrzése);

b)

az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c)

a személyes adatok jogosulatlan bevitelének, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d)

az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

e)

annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá (az adatokhoz való hozzáférés ellenőrzése);

f)

annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

g)

annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);

h)

a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, adatmásolás, adatmódosítás vagy adattörlés megakadályozása (szállítás ellenőrzése);

i)

annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók (helyreállítás);

j)

annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén nem sérülnek (integritás).

a)

ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)

közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;

c)

ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d)

ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

a)

az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b)

az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintettek jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c)

a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

a)

tájékoztatást és szakmai tanácsot ad az adatkezelő, továbbá az adatkezelést végző alkalmazottak részére az ezen irányelv szerinti, valamint egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b)

ellenőrzi az ezen irányelvnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését és tudatosság-növelését, valamint a kapcsolódó auditokat is;

c)

kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 27. cikkszerinti elvégzését;

d)

együttműködik a felügyeleti hatósággal;

e)

az adatkezeléssel összefüggő ügyekben – ideértve a 28. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

a)

az adattovábbítás az 1. cikk (1) bekezdésében meghatározott célokból szükséges;

b)

a személyes adatokat olyan harmadik országbeli adatkezelőhöz vagy olyan nemzetközi szervezet részére továbbítják, amely az 1. cikk (1) bekezdésében említett célok tekintetében illetékes hatóságnak minősül;

c)

abban az esetben, ha a személyes adatokat egy másik tagállam továbbította vagy bocsátotta rendelkezésre, az említett tagállam a nemzeti jogával összhangban előzetesen engedélyezte az adattovábbítást;

d)

a Bizottság a 36. cikk szerint megfelelőségi határozatot hozott, vagy ilyen határozat hiányában a 37. cikk szerint megfelelő garanciákat nyújtottak vagy azok adottak, vagy a 36. cikk szerinti megfelelőségi határozat hiányában vagy 37. cikk megfelelő garanciák hiányában a 38. cikk szerint meghatározott kivételes esetekben biztosított eltéréseket kell alkalmazni; és

e)

abban az esetben, ha egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítás esetén az eredeti továbbítást végző illetékes hatóság vagy ugyanazon tagállam valamely más illetékes hatósága engedélyezi az adatok újbóli továbbítását, miután kellőképpen figyelembe vett minden releváns tényezőt, köztük a bűncselekmény súlyosságát, a személyes adat továbbításának eredeti célját, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy nemzetközi szervezetnél, amelynek részére a személyes adatokat újból továbbítják.

a)

a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, a nemzetbiztonságra vonatkozó és a büntető anyagi jogi rendelkezések, a közhatalmi szervek személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint az ilyen jogszabályok végrehajtása, az adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

b)

a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság – a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között hatékony kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

c)

a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei.

a)

a személyes adatok védelmére kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak; vagy

b)

az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta, és megállapította, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn.

a)

az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében;

b)

az érintett jogos érdekeinek biztosításához, amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik;

c)

valamely tagállam vagy harmadik ország közbiztonságának fenntartását közvetlenül és komolyan fenyegető veszély elhárítása érdekében;

d)

egyedi esetekben az 1. cikk (1) bekezdésében meghatározott célokból; vagy

e)

valamely, az 1. cikk (1) bekezdésében meghatározott célokhoz kapcsolódó jogi igények előterjesztésére, érvényesítésére, illetve védelmére irányuló egyedi ügyben.

a)

az adattovábbítás feltétlenül szükséges valamely olyan feladat ellátásához, amelyet az adatokat továbbító illetékes hatóság az uniós vagy tagállami jog alapján végez az 1. cikk (1) bekezdésében meghatározott célokból;

b)

az adatokat továbbító illetékes hatóság megállapítja, hogy az adott ügyben, az érintettnek az adattovábbítást igénylő közérdekkel szemben nincs olyan alapvető joga és szabadsága, amely elsőbbséget élvez;

c)

az adatokat továbbító illetékes hatóság úgy véli, hogy az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóság számára történő továbbítás nem hatékony vagy nem célszerű, különösen azért, mert arra nem kerülhet kellő időben sor;

d)

az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóságot indokolatlan késedelem nélkül tájékoztatják, kivéve, ha ez nem hatékony vagy nem célszerű, és

e)

az adatokat továbbító illetékes hatóság tájékoztatja a címzettet arról a konkrét célról vagy azokról a konkrét célokról, amelyek érdekében a személyes adatokat a címzett kezelheti, feltéve, hogy az ilyen adatkezelésre szükség van.

a)

a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)

a személyes adatok védelméről szóló jogszabályok érvényesítésében kölcsönös nemzetközi segítségnyújtást biztosítsanak, többek között értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c)

az érintett érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d)

előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országokkal előforduló joghatósági összeütközéseket is.

—

parlamentjük,

—

kormányuk,

—

államfőjük, vagy

—

a tagállami jog alapján a kinevezéssel megbízott független szerv.

a)

minden egyes felügyeleti hatóság létrehozásáról;

b)

az egyes felügyeleti hatóságok tagjává való kinevezéshez szükséges képesítésekről és a pályázati feltételekről;

c)

az egyes felügyeleti hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályokról és eljárásokról;

d)

az egyes felügyeleti hatóságok tagja vagy tagjai megbízatásának időtartamáról, amelynek legalább négy évre kell szólnia, kivéve a 2016. május 6-át követő első kinevezést, amely rövidebb időtartamra is szólhat, ha ez a felügyeleti hatóság függetlenségének megőrzése érdekében a kinevezéseket több lépcsőben kell végrehajtani;

e)

arról, hogy az egyes felügyeleti hatóságok tagja vagy tagjai újra kinevezhetők-e, és ha igen, hány ciklusra;

f)

az egyes felügyeleti hatóságok tagja vagy tagjai, személyzete kötelezettségeinek ellátására vonatkozó feltételekről, a hivatali idő alatt és azt követően a feladatuk ellátásával összeférhetetlen szakmai tevékenységre, foglalkozásokra és juttatásokra vonatkozó tiltó rendelkezésekről, valamint a munkavégzésre irányuló jogviszony megszűnésére vonatkozó szabályokról.

a)

nyomon követi és érvényre juttatja az ezen irányelv alapján elfogadott rendelkezések és az azt végrehajtó intézkedések alkalmazását;

b)

elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével kapcsolatos kockázatok, szabályok, garanciák és jogok vonatkozásában;

c)

a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d)

felhívja az adatkezelők és az adatfeldolgozók figyelmét az ezen irányelv szerinti kötelezettségeikre;

e)

kérésre tájékoztatást ad bármely érintettnek az ezen irányelv alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival;

f)

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által az 55. cikkel összhangban benyújtott panaszokat, és a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű időn belül tájékozatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

g)

a 17. cikkel összhangban ellenőrzi az adatkezelés jogszerűségét, valamint észszerű határidőn belül tájékozatja az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

h)

együttműködik más felügyeleti hatósággal, ideértve az információcserét és kölcsönös segítséget nyújt az ezen irányelv egységes alkalmazásának és érvényesítésének biztosítása érdekében;

i)

vizsgálatot folytat le az ezen irányelv alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

j)

figyelemmel kíséri személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák fejlődését;

k)

tanácsot ad a 28. cikkben említett adatkezelési műveletekkel kapcsolatban; és

l)

hozzájárul a Testület tevékenységeihez.

a)

az adatkezelő vagy az adatfeldolgozó figyelmeztetése azzal kapcsolatban, hogy a tervezett adatkezelési tevékenységei valószínűleg sértik az ezen irányelv alapján elfogadott rendelkezéseket;

b)

az adatkezelő vagy az adatfeldolgozó utasítása arra, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba ezzel az irányelv alapján elfogadott rendelkezésekkel, különösen a 16. cikkben foglaltaknak megfelelően a személyes adat helyesbítésének vagy törlésének, vagy az adatkezelés korlátozásának elrendelésével;

c)

az adatkezelés átmeneti vagy végleges korlátozásának, többek között tilalmának elrendelése.

a)

a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

b)

a megkeresés teljesítése sértené ezen irányelvet, az uniós jogot vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti hatóság tartozik.

a)

tanácsot ad a Bizottságnak a személyes adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az ezen irányelv módosítására irányuló javaslatokat is;

b)

saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az ezen irányelv alkalmazását érintő kérdéseket, valamint ezen irányelv egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

c)

iránymutatásokat dolgoz ki a felügyeleti hatóságok számára a 47. cikk (1) és (3) bekezdése szerinti intézkedések alkalmazására;

d)

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatvédelmi incidensek és a 30. cikk (1) és (2) bekezdésében említett indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelő vagy az adatfeldolgozó köteles bejelenteni az adatvédelmi incidenst;

e)

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 31. cikk (1) bekezdésében említettek szerint;

f)

felülvizsgálja a b), illetve c) pontban említett iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

g)

véleményt bocsát ki a Bizottság számára annak értékeléséhez, hogy egy adott harmadik ország, egy harmadik ország valamely területe vagy egy vagy több meghatározott ágazata vagy egy adott nemzetközi szervezet megfelelő szintű védelmet biztosít-e, ezen belül annak megállapításához, hogy a harmadik ország vagy a harmadik ország valamely területe, meghatározott ágazata vagy a nemzetközi szervezet már nem nyújt megfelelő szintű védelmet;

h)

előmozdítja az együttműködést, valamint az információk és a legjobb gyakorlatok hatékony két- és többoldalú cseréjét a felügyeleti hatóságok között;

i)

támogatja a közös képzési programokat, továbbá megkönnyíti a személyzeti csereprogramokat a felügyeleti hatóságok között, valamint adott esetben a harmadik országok felügyeleti hatóságaival vagy a nemzetközi szervezetekkel;

j)

az adatvédelmi felügyeleti hatóságok körében világszerte előmozdítja az adatvédelmi jogra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét.