(1)   Ez a rendelet a személyes adatok uniós intézmények és szervek által történő kezelése tekintetében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó szabályokat, valamint a személyes adatok ezen intézmények és szervek közötti, vagy az Unión belül letelepedett más címzettekhez irányuló szabad áramlására vonatkozó szabályokat állapít meg.

(2)   Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

(3)   Az európai adatvédelmi biztos figyelemmel kíséri e rendelet rendelkezéseinek valamely uniós intézmény vagy szerv által végzett valamennyi adatkezelési műveletre történő alkalmazását.

(1)   E rendeletet kell alkalmazni a személyes adatok valamennyi uniós intézmény és szerv általi kezelésére.

(2)   A műveleti vonatkozású személyes adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő, uniós szervek, hivatalok és ügynökségek általi kezelésére csak e rendelet 3. cikkét és IX. fejezetét kell alkalmazni.

(3)   Az (EU) 2016/794 európai parlamenti és tanácsi rendeletnek (15) és az (EU) 2017/1939 tanácsi rendeletnek (16) az e rendelet 98. cikkével összhangban történő kiigazításáig ez a rendelet nem alkalmazandó a műveleti vonatkozású személyes adatoknak az Europol és az Európai Ügyészség általi kezelésére.

(4)   Ez a rendelet nem alkalmazandó a személyes adatoknak az EUSZ 42. cikkének (1) bekezdésében, valamint a 43. és a 44. cikkében említett missziók általi kezelésére.

(5)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni.

(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

(1)   A személyes adatok kezelése csak akkor és annyiban jogszerű, amennyiben legalább a következők egyike teljesül:

(2)   Az a) és b) pontban említett adatkezelés alapját az uniós jog állapítja meg.

(1)   Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett hozzájárult a személyes adatainak kezeléséhez.

(2)   Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

(3)   Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(4)   Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek az említett szerződés teljesítéséhez.

(1)   Ha az 5. cikk (1) bekezdésének d) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 13. életévét betöltötte. A 13. életévét be nem töltött gyermek esetében a személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

(2)   Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója megadta, illetve engedélyezte.

(3)   Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermekkel kapcsolatban kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.

(1)   A 4., az 5., a 6. és a 10. cikk sérelme nélkül, a személyes adatok csak akkor továbbíthatók az Unióban letelepedett, az uniós intézményektől és szervektől eltérő címzettek számára, ha:

(2)   Amennyiben az adatkezelő kezdeményezi az e cikk szerinti továbbítást, bizonyítania kell, hogy a személyes adatok továbbítása az (1) bekezdés a) vagy b) pontjában meghatározott feltételek alkalmazásával a továbbítás céljához szükséges és azzal arányos.

(3)   Az uniós intézmények és szervek az uniós joggal összhangban összeegyeztetik a személyes adatok védelméhez való jogot a dokumentumokhoz való nyilvános hozzáférés jogával.

(1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a következők valamelyike teljesül:

(3)   Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, vagy ezen adatok kezelése olyan más személy által történik, aki szintén az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(1)   Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

(2)   Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 17–22. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

(1)   Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 15. és a 16. cikkben említett valamennyi információt és a 17–24. és a 35. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2)   Az adatkezelő elősegíti az érintett 17–24. cikk szerinti jogainak a gyakorlását. A 12. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 17–24. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

(3)   Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 17–24. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4)   Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, és élhet bírósági jogorvoslati jogával.

(5)   A 15. és a 16. cikk szerint rendelkezésre bocsátott információkat és a 17–24. és a 35. cikk szerinti tájékoztatást és aszerint tett bármely intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(6)   A 12. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 17–23. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(7)   Az érintett részére a 15. és a 16. cikk értelmében nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatóknak kell lenniük.

(8)   Amennyiben a Bizottság az (EU) 2016/679 rendelet 12. cikkének (8) bekezdése értelmében felhatalmazáson alapuló jogi aktusokat fogad el az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározásáról, az uniós intézmények és szervek adott esetben az e rendelet 15. és 16. cikke szerinti információkat az ilyen szabványosított ikonokkal együtt adják meg.

(1)   Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

(2)   Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintett rendelkezésére bocsátja a következő kiegészítő információkat:

(3)   Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4)   Az (1), a (2) és a (3) bekezdés nem alkalmazandó, ha és amennyiben az érintett már rendelkezik az információkkal.

(1)   Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

(2)   Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

(3)   Az adatkezelő az (1) és a (2) bekezdésben említett információkat a következők szerint adja meg:

(4)   Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5)   Az (1)–(4) bekezdés nem alkalmazandó, ha és amilyen mértékben:

(6)   Az (5) bekezdés b) pontjában említett esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.

(1)   Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

(2)   Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 48. cikk szerinti megfelelő garanciákról.

(3)   Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4)   A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

(1)   Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha a következő indokok valamelyike fennáll:

(2)   Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve a technikai intézkedéseket is – annak érdekében, hogy tájékoztassa a személyes adatokat kezelő adatkezelőket, illetve az uniós intézményektől és szervektől eltérő, személyes adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük e személyes adatokra mutató linkeknek vagy e személyes adatok másolatának, illetve másodpéldányának a törlését.

(3)   Az (1) és a (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

(1)   Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha a következők valamelyike teljesül:

(2)   Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

(3)   Az adatkezelő az adatkezelés korlátozásának feloldását megelőzően tájékoztatja azon érintettet, akinek a kérésére az (1) bekezdés értelmében korlátozták az adatkezelést.

(4)   Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel biztosítják. A személyes adatok korlátozásának tényét a rendszerben olyan módon kell feltüntetni, amelyből egyértelmű, hogy a személyes adatok nem használhatók fel.

(1)   Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

(2)   Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – a személyes adatok közvetlenül továbbításra kerüljenek egyik adatkezelőtől a másikhoz, illetve az uniós intézményektől és szervektől eltérő adatkezelőkhöz.

(3)   Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 19. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges.

(4)   Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.

(1)   Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az 5. cikk (1) bekezdésének a) pontján alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2)   Az (1) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

(3)   A 36. és a 37. cikk sérelme nélkül az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

(4)   Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekből végzett feladat teljesítése érdekében van szükség.

(1)   Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

(3)   A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4)   Az e cikk (2) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 10. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 10. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és sor került a megfelelő intézkedések megtételére az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.

(1)   A Szerződések alapján elfogadott jogi aktusok, vagy az uniós intézmények vagy szervek működéséhez kapcsolódó ügyekben e szervek által megállapított belső szabályok korlátozhatják a 14–22., a 35. és a 36. cikk alkalmazását, továbbá – a 14–22. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – a 4. cikk alkalmazását, ha az ilyen korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, és egy demokratikus társadalomban a következők védelméhez szükséges és arányos intézkedésnek tekinthető:

(2)   Az (1) bekezdésben említett jogi aktusok, illetve belső szabályok adott esetben részletes rendelkezéseket tartalmaznak a következőkről:

(3)   Ha a személyes adatok kezelése tudományos és történelmi kutatási célból vagy statisztikai célból történik, az uniós jog – amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is – a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(4)   Ha a személyes adatok kezelése közérdekű archiválás céljából történik, az uniós jog – amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is– a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20., a 21., a 22. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(5)   Az (1), a (3) és a (4) bekezdésben említett belső szabályoknak világosan és pontosan megfogalmazott, általánosan alkalmazandó, az érintettekre nézve joghatás keletkezését célzó aktusoknak kell lenniük, amelyeket az uniós intézmények és szervek legfelső vezetőségének szintjén kell elfogadni, és azokat az Európai Unió Hivatalos Lapjában közzé kell tenni.

(6)   Ha az (1) bekezdés értelmében korlátozásra kerül sor, az érintettet tájékoztatni kell – az uniós joggal összhangban – a korlátozás alkalmazásának fő okairól, és arról, hogy joga van panasszal fordulni az európai adatvédelmi biztoshoz.

(7)   Ha az (1) bekezdés értelmében bevezetett korlátozás alapján megtagadják az érintettől a hozzáférést, az európai adatvédelmi biztos – a panasz kivizsgálásakor – a jogosultat csak arról tájékoztatja, hogy az adatot szabályszerűen kezelték-e, és ha nem, akkor megtörtént-e a szükséges korrekció.

(8)   Az e cikk (6) és (7) bekezdésében, valamint a 45. cikk (2) bekezdésében említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az e cikk (1) bekezdése értelmében elrendelt korlátozás hatását.

(1)   Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogait és szabadságait érintő változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket felül kell vizsgálni és szükség esetén naprakésszé kell tenni.

(2)   Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat alkalmaz.

(3)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.

(1)   Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2)   Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan személyes adatok kezelésére kerüljön sor, amelyek az egyes konkrét adatkezelési célok szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint az egyén beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.

(3)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmus felhasználható az e cikk (1) és (2) bekezdésében előírt követelményeknek való megfelelés bizonyításának részeként.

(1)   Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézménytől és szervtől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 15. és a 16. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

(1)   Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2)   Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3)   Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy más tagállami vagy uniós adatvédelmi rendelkezéseket.

(4)   Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján e további adatfeldolgozó számára ugyanazokat az adatvédelmi kötelezettségeket kell előírni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak elégséges garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha e további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5)   Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 40. cikkének (5) bekezdésében említett jóváhagyott magatartási kódexekhez vagy az (EU) 2016/679 rendelet 42. cikkében említett jóváhagyott tanúsítási mechanizmushoz való csatlakozása felhasználható annak bizonyítása részeként, hogy biztosítja az e cikk (1) és a (4) bekezdésében említett elégséges garanciákat.

(6)   Az adatkezelő és az adatfeldolgozó közötti bármely egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek az (EU) 2016/679 rendelet 42. cikke értelmében az uniós intézményektől és szervektől eltérő adatfeldolgozónak megadott tanúsítvány részét képezik.

(7)   A Bizottság – a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8)   Az európai adatvédelmi biztos általános szerződési feltételeket fogadhat el a (3) és a (4) bekezdésben foglaltakra vonatkozóan.

(9)   A (3) és a (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10)   A 65. és a 66. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

(1)   Minden adatkezelő nyilvántartást vezet a felelősségébe tartozóan végzett adatkezelési tevékenységekről. E nyilvántartás tartalmazza az összes következő információt:

(2)   Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról, amely nyilvántartás tartalmazza a következő információkat:

(3)   Az (1) és a (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4)   Az uniós intézmények és szervek a nyilvántartást megkeresés esetén az európai adatvédelmi biztos rendelkezésére bocsátják.

(5)   Kivéve, ha ez az uniós intézmény vagy szerv méretére tekintettel nem helyénvaló, az uniós intézmények és szervek adatkezelési tevékenységeikről központi nyilvántartást vezetnek. A nyilvántartást nyilvánosan hozzáférhetővé teszik.

(1)   Az adatkezelő és az adatfeldolgozó a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy biztosítsa a kockázat mértékének megfelelő szintű adatbiztonságot, ideértve, többek között, adott esetben:

(2)   A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3)   Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek csak az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre az uniós jog kötelezi őket.

(4)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható az e cikk (1) bekezdésében előírt követelményeknek való megfelelés bizonyítása részeként.

(1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem okait.

(2)   Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3)   Az (1) bekezdésben említett bejelentésben legalább:

(4)   Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5)   Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt az adatvédelmi incidensről.

(6)   Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikknek való megfelelést.

(1)   Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

(2)   Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 34. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

(3)   Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

(4)   Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

(1)   A felhasználó-nyilvántartásokban tárolt személyes adatok körét és az ilyen nyilvántartásokhoz való hozzáférést a nyilvántartás konkrét céljához feltétlenül szükségesre kell korlátozni.

(2)   Az uniós intézmények és szervek minden szükséges intézkedést megtesznek annak érdekében, hogy megakadályozzák az említett nyilvántartásokban szereplő személyes adatok közvetlen üzletszerzés céljára történő felhasználását, függetlenül attól, hogy az adatok a nyilvánosság számára hozzáférhetők-e vagy sem.

(1)   Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek hogyan érintik a személyes adatok védelmét. Olyan hasonló típusú adatkezelési műveletek, amelyek hasonló magas kockázatot képviselnek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2)   Az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor kikéri az adatvédelmi tisztviselő tanácsát.

(3)   Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen a következő esetekben kell elvégezni:

(4)   Az európai adatvédelmi biztos összeállítja és nyilvánosságra hozza az adatkezelési műveletek azon típusainak jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni.

(5)   Az európai adatvédelmi biztos összeállíthatja és nyilvánosságra hozhatja az adatkezelési műveletek azon típusainak jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

(6)   Az e cikk (4) és (5) bekezdésében említett jegyzékek elfogadását megelőzően, abban az esetben, ha olyan adatkezelő adatkezelési műveleteire vonatkoznak, amely adatkezelő egy vagy több, az uniós intézményektől és szervektől eltérő adatkezelővel közösen jár el, az európai adatvédelmi biztos felkéri az (EU) 2016/679 rendelet 68. cikkével felállított Európai Adatvédelmi Testületet az ilyen jegyzékeknek az említett rendelet 70. cikke (1) bekezdésének e) pontjával összhangban történő megvizsgálására.

(7)   A hatásvizsgálat kiterjed legalább:

(8)   Az adatfeldolgozók által – különösen az adatvédelmi hatásvizsgálatok céljából –végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy az adott, az uniós intézményektől és szervektől eltérő adatfeldolgozók megfelelnek-e az (EU) 2016/679 rendelet 40. cikkében említett jóváhagyott magatartási kódexeknek.

(9)   Az adatkezelő adott esetben – a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10)   Ha az 5. cikk (1) bekezdésének a) vagy b) pontja szerinti adatkezelés jogalapját a Szerződések alapján elfogadott jogi aktus írja elő, és e jogi aktus a kérdéses konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogi aktus elfogadása előtt általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor e cikk (1)–(6) bekezdését nem kell alkalmazni, kivéve, ha az említett jogi aktus ettől eltérően rendelkezik.

(11)   Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által képviselt kockázat változása esetén ellenőrzést végez annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

(1)   Az adatkezelő az adatkezelési tevékenység előtt konzultál az európai adatvédelmi biztossal, ha a 39. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat a rendelkezésre álló technológiák és a végrehajtási költségek figyelembevételével nem mérsékelhető észszerű módon. Az adatkezelő kikéri az adatvédelmi tisztviselő tanácsát az előzetes konzultáció szükségességéről.

(2)   Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdés szerint tervezett adatkezelés sértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az európai adatvédelmi biztos az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított legfeljebb nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt és adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg az európai adatvédelmi biztos nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3)   Az adatkezelő az európai adatvédelmi biztossal az (1) bekezdés értelmében folytatott konzultáció során tájékoztatja az európai adatvédelmi biztost:

(4)   A Bizottság végrehajtási jogi aktusban meghatározhatja azon esetek jegyzékét, amelyekben az adatkezelőknek konzultálniuk kell az európai adatvédelmi biztossal, és be kell szerezniük annak előzetes engedélyét akkor is, ha valamely közérdekből végzett feladat teljesítéséhez kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

(1)   Az uniós intézmények és szervek értesítik az európai adatvédelmi biztost azoknak a közigazgatási intézkedéseknek és belső szabályoknak a kidolgozásakor, amelyek a személyes adatok egy uniós intézmény vagy szerv által önállóan vagy más uniós intézménnyel vagy szervvel közösen végzett kezelésére vonatkoznak.

(2)   Az uniós intézmények és szervek konzultálnak az európai adatvédelmi biztossal a 25. cikkben említett belső szabályok kidolgozásakor.

(1)   A Bizottság konzultál az európai adatvédelmi biztossal az olyan jogalkotási aktusra vonatkozó javaslatok és az EUMSZ 218. cikke szerinti, a Tanácshoz intézett ajánlások vagy javaslatok elfogadását követően, valamint az olyan felhatalmazáson alapuló jogi aktusok vagy végrehajtási jogi aktusok előkészítése során, amelyek a személyes adatok kezelése tekintetében kihatnak az egyének jogainak és szabadságainak védelmére.

(2)   Amennyiben az (1) bekezdésben említett jogi aktus különös jelentőséggel bír az egyének jogainak és szabadságainak a személyes adatok kezelése tekintetében való védelme szempontjából, a Bizottság konzultálhat az Európai Adatvédelmi Testülettel is. Ilyen esetekben az európai adatvédelmi biztos és az Európai Adatvédelmi Testület közös vélemény kiadása céljából összehangolja tevékenységét.

(3)   Az (1) és a (2) bekezdésben említett tanácsot az (1) és a (2) bekezdésben említett konzultáció iránti kérelem kézhezvételétől számított legfeljebb nyolc héten belül írásban kell adni. Sürgős vagy egyébként indokolt esetekben a Bizottság lerövidítheti a határidőt.

(4)   Ez a cikk nem alkalmazandó, ha az (EU) 2016/679 rendelet értelmében a Bizottságnak konzultálnia kell az Európai Adatvédelmi Testülettel.

(1)   Minden uniós intézmény vagy szerv adatvédelmi tisztviselőt jelöl ki.

(2)   Az uniós intézmények és szervek közös adatvédelmi tisztviselőt jelölhetnek ki többedmaguk számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(3)   Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlatok szakértői szintű ismerete, valamint a 45. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(4)   Az adatvédelmi tisztviselő az uniós intézmény vagy szerv személyzetének tagja. Figyelembe véve nagyságukat, és amennyiben a (2) bekezdés szerinti lehetőséggel nem élnek, az uniós intézmények és szervek kijelölhetnek olyan adatvédelmi tisztviselőt, aki feladatait szolgáltatási szerződés keretében látja el.

(5)   Az uniós intézmények vagy szervek közzéteszik az adatvédelmi tisztviselő elérhetőségeit, és azokat közlik az európai adatvédelmi biztossal.

(1)   Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)   Az uniós intézmények és szervek támogatják az adatvédelmi tisztviselőt a 45. cikkben említett feladatai ellátásában azáltal, hogy biztosítják számára azokat a forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3)   Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő említett feladatai ellátásával kapcsolatban senkitől ne fogadjon el utasításokat. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4)   Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5)   Az adatvédelmi tisztviselőt és személyzetét feladataik teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti, az uniós joggal összhangban.

(6)   Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

(7)   Az adatkezelő és az adatfeldolgozó, az érintett személyzeti bizottság, valamint bármely természetes személy a hivatali út igénybevétele nélkül konzultálhat az adatvédelmi tisztviselővel az e rendelet értelmezésével vagy alkalmazásával kapcsolatos bármely kérdésről. Senkit sem érhet joghátrány amiatt, hogy olyan ügyet hoz az illetékes adatvédelmi tisztviselő tudomására, amely megítélése szerint e rendelet rendelkezéseit sérti.

(8)   Az adatvédelmi tisztviselő kinevezése háromtól öt évre szól, és megújítható. Az adatvédelmi tisztviselőt az őt kijelölő uniós intézmény vagy szerv mentheti fel, ha az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek, és csak az európai adatvédelmi biztos hozzájárulásával.

(9)   Kinevezése után az adatvédelmi tisztviselőt az őt kinevező uniós intézmény vagy szerv felveteti az európai adatvédelmi biztos által vezetett nyilvántartásba.

(1)   Az adatvédelmi tisztviselő a következő feladatokat látja el:

(2)   Az adatvédelmi tisztviselő ajánlásokat tehet az adatkezelő és az adatfeldolgozó számára az adatvédelem gyakorlati javítására, továbbá tanácsokat adhat számukra az adatvédelmi rendelkezések alkalmazásával kapcsolatos kérdésekben. Az adatvédelmi tisztviselő továbbá saját kezdeményezésére, illetve az adatkezelő vagy az adatfeldolgozó, az érintett személyzeti bizottság vagy bármely egyén kérelmére, megvizsgálhatja a feladataihoz közvetlenül kapcsolódó és tudomására jutó ügyeket és tényeket, és vizsgálatáról jelentést küldhet a vizsgálatot kérő személynek, az adatkezelőnek vagy az adatfeldolgozónak.

(3)   Az egyes uniós intézmények vagy szervek az adatvédelmi tisztviselőre vonatkozóan további végrehajtási szabályokat fogadnak el. A végrehajtási szabályok különösen az adatvédelmi tisztviselő feladataira, kötelességeire és hatásköreiére vonatkoznak.

(1)   Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése, vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése értelmében úgy határozott, hogy a harmadik ország, a harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy az adott nemzetközi szervezet megfelelő szintű védelmet biztosít, és ha a személyes adatokat kizárólag az adatkezelő hatáskörébe tartozó feladatok elvégzésének lehetővé tétele érdekében továbbítják.

(2)   Az uniós intézmények vagy szervek értesítik a Bizottságot és az európai adatvédelmi biztost azokról az esetekről, amelyekben úgy vélik, hogy egy adott harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy adott nemzetközi szervezet nem biztosít megfelelő szintű védelmet az (1) bekezdés értelmében.

(3)   Az uniós intézmények és szervek megteszik a szükséges intézkedéseket annak érdekében, hogy megfeleljenek a Bizottság határozatának abban az esetben, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) vagy (5) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) vagy (5) bekezdése értelmében megállapítja, hogy egy harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy nemzetközi szervezet megfelelő szintű védelmet biztosít, vagy már nem biztosítja azt.

(1)   Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti határozat hiányában az adatkezelő vagy az adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat nyújtott, és azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2)   Az európai adatvédelmi biztos bármely külön engedélyéhez nem kötött, az (1) bekezdésben említett megfelelő garanciákat a következők jelenthetik:

(3)   Az európai adatvédelmi biztos engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen a következők is szolgálhatnak:

(4)   Az európai adatvédelmi biztos által a 45/2001/EK rendelet 9. cikkének (7) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén az európai adatvédelmi biztos nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

(5)   Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.

(1)   Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti megfelelőségi határozat, illetve e rendelet 48. cikke szerinti megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak a következő feltételek legalább egyikének teljesülése esetén kerülhet sor:

(2)   Az (1) bekezdés a), b) és c) pontja nem alkalmazandó az uniós intézmények és szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

(3)   Az (1) bekezdés d) pontjában említett közérdeknek az uniós jogban elismertnek kell lennie.

(4)   Az (1) bekezdés g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét, kivéve, ha azt az uniós jog megengedi. Ha a nyilvántartásba csak olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra csak e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(5)   Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását.

(6)   Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.

(1)   E rendelettel létrejön az európai adatvédelmi biztos.

(2)   A személyes adatok kezelése tekintetében az európai adatvédelmi biztos felelős annak biztosításáért, hogy az uniós intézmények és szervek tiszteletben tartsák a természetes személyek alapvető jogait és szabadságait, különösen az adatvédelemhez való jogukat.

(3)   Az európai adatvédelmi biztos feladata, hogy a személyes adatok uniós intézmény vagy szerv általi kezelésével kapcsolatban figyelemmel kísérje és biztosítsa az e rendelet és bármely más, a természetes személyek alapvető jogainak és szabadságainak védelméről szóló uniós jogi aktus rendelkezéseinek alkalmazását, valamint a személyes adatok kezelésével kapcsolatos minden ügyben tanáccsal szolgáljon az uniós intézmények és szervek, valamint az érintettek számára. Az említett célok érdekében az európai adatvédelmi biztos ellátja az 57. cikkben megállapított feladatokat, és gyakorolja az 58. cikkben biztosított hatásköröket.

(4)   Az 1049/2001/EK rendeletet alkalmazni kell az európai adatvédelmi biztos birtokában levő dokumentumokra. Az európai adatvédelmi biztos részletes szabályokat fogad el az 1049/2001/EK rendeletnek az említett dokumentumok tekintetében történő alkalmazására vonatkozóan.

(1)   Az Európai Parlament és a Tanács közös megegyezéssel nevezi ki az európai adatvédelmi biztost ötéves időtartamra, a Bizottság által nyílt pályázati felhívást követően elkészített lista alapján. A pályázati felhívás lehetővé teszi, hogy az egész Unión belül valamennyi érdekelt fél benyújthassa pályázatát. A Bizottság által a pályázókról összeállított lista nyilvános, és legalább három pályázót tartalmaz. A Bizottság által összeállított lista alapján az Európai Parlament illetékes bizottsága dönthet úgy, hogy meghallgatást tart annak lehetővé tétele érdekében, hogy kifejezze, melyik pályázót részesíti előnyben.

(2)   Az (1) bekezdésben említett, pályázókról összeállított listán olyan személyek szerepelnek, akiknek függetlenségéhez nem férhet kétség, és akik elismerten rendelkeznek az adatvédelemmel kapcsolatos szakmai tudással és az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalattal és készségekkel.

(3)   Az európai adatvédelmi biztos megbízatása egyszer megújítható.

(4)   Az európai adatvédelmi biztos megbízatása megszűnik a következő körülmények fennállása esetén:

(5)   Az európai adatvédelmi biztost az Európai Parlament, a Tanács vagy a Bizottság kérelmére a Bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(6)   A megbízatás lejárta vagy önkéntes lemondás esetén az európai adatvédelmi biztos mindazonáltal mindaddig hivatalában marad, amíg utódjáról nem gondoskodnak.

(7)   Az Európai Unió kiváltságairól és mentességeiről szóló jegyzőkönyv 11–14., valamint 17. cikkét az európai adatvédelmi biztosra is alkalmazni kell.

(1)   Az európai adatvédelmi biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott egyéb kedvezmények meghatározása tekintetében a Bíróság bíráival egyenrangú.

(2)   A költségvetési hatóság biztosítja, hogy az európai adatvédelmi biztos rendelkezzen a feladatainak elvégzéséhez szükséges személyi és anyagi erőforrásokkal.

(3)   Az európai adatvédelmi biztos költségvetése az Unió általános költségvetése igazgatási kiadásokhoz kapcsolódó szakaszának külön tételében jelenik meg.

(4)   Az európai adatvédelmi biztos munkáját titkárság segíti. A titkárság tisztviselőit és egyéb alkalmazottait az európai adatvédelmi biztos nevezi ki, felettesük az európai adatvédelmi biztos. Kizárólag az ő irányítása alá tartoznak. Létszámukról évente a költségvetési eljárás keretében döntenek. Az európai adatvédelmi biztos hivatalának azon alkalmazottaira, akik részt vesznek az Európai Adatvédelmi Testület uniós jog által meghatározott feladatainak ellátásában az (EU) 2016/679 rendelet 75. cikkének (2) bekezdése alkalmazandó.

(5)   Az európai adatvédelmi biztos titkárságának tisztviselőire és más alkalmazottaira az Unió tisztviselőire és egyéb alkalmazottaira vonatkozó szabályok és szabályzatok vonatkoznak.

(6)   Az európai adatvédelmi biztos székhelye Brüsszelben van.

(1)   Az európai adatvédelmi biztos az e rendelet alapján ráruházott feladatai elvégzése és hatáskörei gyakorlása során teljesen függetlenül jár el.

(2)   Az európai adatvédelmi biztos az e rendelettel összhangban ráruházott feladatai végzése és hatáskörei gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen jár el, és senkitől sem kérhet vagy fogadhat el utasítást.

(3)   Az európai adatvédelmi biztos tartózkodik minden olyan cselekedettől, amely feladataival nem egyeztethető össze, és hivatali ideje alatt sem javadalmazás ellenében, sem anélkül nem vállalhat egyéb szakmai tevékenységet.

(4)   Az európai adatvédelmi biztos megbízatásának lejárta után köteles a kinevezések és előnyök elfogadása tekintetében feddhetetlen és tartózkodó magatartást tanúsítani.

(1)   Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, az európai adatvédelmi biztos a következő feladatokat látja el:

(2)   Az európai adatvédelmi biztos megkönnyíti az (1) bekezdés e) pontjában említett panaszok benyújtását, például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközöket sem.

(3)   Az európai adatvédelmi biztos az érintett számára térítésmentesen végzi feladatait.

(4)   Ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az európai adatvédelmi biztos megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az európai adatvédelmi biztost terheli.

(1)   Az európai adatvédelmi biztos a következő vizsgálati hatáskörében eljárva:

(2)   Az európai adatvédelmi biztos a következő korrekciós hatáskörében eljárva:

(3)   Az európai adatvédelmi biztos a következő engedélyezési és tanácsadási hatáskörökkel rendelkezik:

(4)   Az európai adatvédelmi biztos jogosult a Bíróság elé utalni az ügyet a Szerződésekben meghatározott feltételek mellett, továbbá beavatkozni a Bíróság előtt indított keresetekbe.

(5)   Az e cikk értelmében az európai adatvédelmi biztosra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós jogban meghatározott hatékony bírósági jogorvoslatokat és tisztességes eljárást is.

(1)   Az európai adatvédelmi biztos tevékenységéről éves jelentést nyújt be az Európai Parlamenthez, a Tanácshoz és a Bizottsághoz, és azt egyidejűleg nyilvánosságra hozza.

(2)   Az európai adatvédelmi biztos az (1) bekezdésben említett jelentést továbbítja a többi uniós intézménynek és szervnek, amelyek észrevételeket tehetnek a jelentésnek az Európai Parlament által történő esetleges vizsgálata céljából.

(1)   Amennyiben egy uniós jogi aktus e cikkre hivatkozik, az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok – mindegyik saját hatáskörén belül eljárva – aktívan együttműködnek felelősségi köreiken belül a nagyméretű IT-rendszerek és az uniós szervek, hivatalok és ügynökségek hatékony felügyeletének biztosítása érdekében.

(2)   Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok hatáskörükön és felelősségi köreiken belül eljárva, szükség esetén, egymás között releváns információkat cserélnek, segítséget nyújtanak egymásnak az auditok és vizsgálatok végzéséhez, megvizsgálják az e rendelet és más alkalmazandó uniós jogi aktusok értelmezésével és alkalmazásával kapcsolatos nehézségeket, tanulmányozzák a független felügyelet vagy az érintettek jogainak gyakorlásával kapcsolatos problémákat, harmonizált javaslatokat dolgoznak ki az esetleges problémák megoldására és előmozdítják az adatvédelmi jogokkal kapcsolatos tudatosságot.

(3)   A (2) bekezdésben meghatározott célokból az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok legalább évente kétszer üléseznek az Európai Adatvédelmi Testület keretében. E célból az Európai Adatvédelmi Testület szükség esetén további munkamódszereket dolgozhat ki.

(4)   Az Európai Adatvédelmi Testület kétévente a tevékenységek koordinált felügyeletéről szóló közös jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.

(1)   Az egyéb bírósági, közigazgatási vagy bíróságon kívüli jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt nyújtson be az európai adatvédelmi biztoshoz, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az európai adatvédelmi biztos tájékoztatja a panaszost a panaszhoz fűződő fejleményekről és eredményekről, ideértve a 64. cikk szerinti bírósági jogorvoslat lehetőségét is.

(3)   Amennyiben az európai adatvédelmi biztos nem foglalkozik a panasszal, vagy a panasz állásáról vagy eredményéről három hónapon belül nem tájékoztatja a panaszost, úgy kell tekinteni, hogy az európai adatvédelmi biztos elutasító határozatot hozott.

(1)   Az e rendelet rendelkezéseivel kapcsolatos valamennyi jogvitában – ideértve a kártérítési igényeket is – a Bíróság rendelkezik hatáskörrel.

(2)   Az európai adatvédelmi biztos határozataival szemben – ideértve a 63. cikk (3) bekezdése szerinti határozatokat is – a Bíróságnál lehet keresetet benyújtani.

(3)   A Bíróság korlátlan hatáskörrel rendelkezik a 66. cikkben említett közigazgatási bírságok felülvizsgálata tekintetében. A Bíróság a 66. cikkben megadott határokon belül törölheti, csökkentheti vagy megemelheti e bírságok összegét.

(1)   Az európai adatvédelmi biztos az egyes esetek körülményeitől függően közigazgatási bírságot szabhat ki az uniós intézményekre és szervekre, amennyiben valamely uniós intézmény vagy szerv nem tesz eleget az európai adatvédelmi biztos által az 58. cikk (2) bekezdésének d) – h) és j) pontja értelmében hozott határozatnak. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

(2)   Uniós intézmény vagy szerv a 8., a 12., a 27–35., a 39., a 40., a 43., a 44. és a 45. cikk szerinti kötelezettségeinek megsértése esetén az e cikk (1) bekezdésével összhangban jogsértésenként legfeljebb 25 000 EUR összegű közigazgatási bírság szabható ki, és a bírság éves felső határa 250 000 EUR.

(3)   Uniós intézmény vagy szerv a következő rendelkezések megsértése esetén az (1) bekezdéssel összhangban jogsértésenként legfeljebb 50 000 EUR, évente összesen legfeljebb 500 000 EUR összegű közigazgatási bírság szabható ki:

(4)   Ha egy uniós intézmény vagy szerv egyazon adatkezelési művelet vagy egymáshoz kapcsolódó vagy folyamatos adatkezelési műveletek tekintetében e rendelet több rendelkezését, vagy ugyanazon rendelkezését több alkalommal is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(5)   Az e cikk szerinti határozatok meghozatala előtt az európai adatvédelmi biztos biztosítja az európai adatvédelmi biztos által lefolytatott eljárás tárgyát képező uniós intézmény vagy szerv számára a lehetőséget, hogy kifejtse álláspontját azon ügyekben, amelyek ellen az európai adatvédelmi biztos kifogást emelt. Az európai adatvédelmi biztos határozatait csak olyan kifogásokra alapozza, amelyekkel kapcsolatban az érintett felek megtehették észrevételeiket. A panaszosokat szorosan bevonják az eljárásokba.

(6)   Az érintett felek védekezéshez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az érintett felek jogosultak arra, hogy hozzáférjenek az európai adatvédelmi biztos aktájához, figyelemmel az egyéneknek vagy vállalkozásoknak a személyes adataik vagy üzleti titkaik védeleméhez fűződő jogos érdekére.

(7)   Az e cikk szerint kiszabott bírságok révén beszedett összegek az Unió általános költségvetésének bevételét képezik.

(1)   A műveleti vonatkozású személyes adatok:

(2)   Az azonos vagy más adatkezelő által az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt, a műveleti vonatkozású személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, amennyiben:

(3)   Az azonos vagy más adatkezelő által végzett adatkezelésbe beletartozhat az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás is, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak.

(4)   Az adatkezelő felel az (1), a (2) és a (3) bekezdésnek való megfelelésért, és képesnek kell lennie a megfelelés bizonyítására.

(1)   A műveleti vonatkozású személyes adatok kezelése csak akkor és annyiban jogszerű, ha és amennyiben az adatkezelés az uniós szervek, hivatalok és ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek keretében végzett feladat ellátásához szükséges, és az az uniós jog alapján történik.

(2)   Az e fejezet hatályán belüli adatkezelést szabályozó egyedi uniós jogi aktusok meghatározzák legalább az adatkezelés célkitűzéseit, a kezelendő műveleti vonatkozású személyes adatokat, az adatkezelés céljait és a műveleti vonatkozású személyes adatok tárolásának vagy a további tárolás iránti igény rendszeres felülvizsgálatának határidejét.

(1)   Az adatkezelőnek – amennyire lehetséges – különbséget kell tennie a tényeken alapuló és a személyes értékelésen alapuló műveleti vonatkozású személyes adatok között.

(2)   Az adatkezelőnek minden észszerű intézkedést meg kell tennie annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész műveleti vonatkozású személyes adatokat ne lehessen továbbítani vagy hozzáférhetővé tenni. E célból az adatkezelő a továbbítást vagy hozzáférhetővé tételt megelőzően – amennyire a gyakorlatban megvalósítható és szükség esetén – ellenőrzi a műveleti vonatkozású személyes adatok minőségét, például úgy, hogy konzultál azzal az illetékes hatósággal, amelytől az adatok származnak. Amennyire lehetséges, az adatkezelőnek minden műveleti vonatkozású személyes adat továbbításakor csatolnia kell azokat a szükséges információkat, amelyek lehetővé teszik a címzett számára, hogy értékelje a műveleti vonatkozású személyes adatok pontosságát, teljességét, megbízhatóságát és naprakészségének mértékét.

(3)   Amennyiben kiderül, hogy helytelen műveleti vonatkozású személyes adatokat továbbítottak vagy a műveleti vonatkozású személyes adatokat jogszerűtlenül továbbították, a címzettet erről haladéktalanul értesíteni kell. Ebben az esetben a 82. cikkel összhangban az érintett műveleti vonatkozású személyes adatokat helyesbíteni vagy törölni kell, vagy azok kezelését korlátozni kell.

(1)   Amennyiben a továbbítást végző adatkezelőre vonatkozó uniós jog egyedi feltételeket ír elő az adatkezelésre vonatkozóan, az adatkezelő tájékoztatja a műveleti vonatkozású személyes adatok címzettjét az említett feltételekről és a betartásukra vonatkozó követelményről.

(2)   Az adatkezelőnek meg kell felelnie az adatokat továbbító illetékes hatóság által az (EU) 2016/680 irányelv 9. cikkének (3) és (4) bekezdésével összhangban előírt egyedi adatkezelési feltételeknek.

(1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló műveleti vonatkozású személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai adatok, biometrikus adatok, az egészségre vagy a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó műveleti vonatkozású személyes adatok kezelése csak akkor megengedett, ha arra működési célból feltétlenül szükség van, az érintett uniós szerv, hivatal vagy ügynökség megbízatásának keretében, és csak az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett. A természetes személyeknek az említett személyes adatok alapján történő megkülönböztetése tilos.

(2)   Ennek a cikknek az alkalmazásáról az adatvédelmi tisztviselőt indokolatlan késedelem nélkül tájékoztatni kell.

(1)   A kizárólag automatizált adatkezelésen – többek között a profilalkotáson – alapuló döntés, amelynek joghatása az érintettre nézve hátrányos, vagy amely őt jelentős mértékben érinti, tilos, kivéve, ha az adatkezelőre alkalmazandó uniós jog megengedi, és az az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciákról is rendelkezik, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen.

(2)   Az e cikk (1) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 76. cikkben említett különleges kategóriáin, kivéve, ha az érintett jogainak, szabadságainak és jogos érdekeinek védelmét megfelelő intézkedések biztosítják.

(3)   A személyes adatok 76. cikkben említett különleges kategóriái alapján történő olyan profilalkotást, amely a természetes személyekre vonatkozóan megkülönböztetést eredményez, az uniós joggal összhangban tiltani kell.

(1)   Az adatkezelő észszerű intézkedéseket tesz annak érdekében, hogy az érintett részére az adatok kezelésére vonatkozó, a 79. cikkben említett bármilyen információt és a 80–84. és a 92. cikk szerinti bármilyen tájékoztatást tömör, érthető és könnyen hozzáférhető formában, egyértelműen és közérthetően megfogalmazva nyújtsa. Az információ bármilyen megfelelő módon – így elektronikus úton is – nyújtható. Az adatkezelő az információkat főszabályként a kérelem formájával megegyező formában nyújtja.

(2)   Az adatkezelő elősegíti az érintett 79–84. cikk szerinti jogainak gyakorlását.

(3)   Az adatkezelő indokolatlan késedelem nélkül, de mindenképpen a kérelem kézhezvételétől számított három hónapon belül írásban tájékoztatja az érintettet a kérelme elbírálásának fejleményeiről.

(4)   Az adatkezelő a 79. cikk szerinti információkat, valamint a 80–84. és a 92. cikkek szerinti tájékoztatást, illetve intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő megtagadhatja a kérelem teljesítését. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(5)   Ha az adatkezelőnek megalapozott kétségei vannak a 80. vagy a 82. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(1)   Az adatkezelő az érintett rendelkezésére bocsátja legalább a következő információkat:

(2)   Annak érdekében, hogy az érintett gyakorolni tudja jogait, az adatkezelő az uniós jogban meghatározott konkrét esetekben az (1) bekezdésben említetteken felül tájékoztatja a címzettet:

(3)   Az adatkezelő az érintett (2) bekezdés szerinti tájékoztatását annyiban és addig késleltetheti, korlátozhatja vagy mellőzheti, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

(1)   Az adatkezelő teljesen vagy részlegesen korlátozhatja az érintett hozzáférési jogát annyiban és addig, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

(2)   Az (1) bekezdésben említett esetekben az adatkezelő írásban és indokolatlan késedelem nélkül tájékoztatja az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha annak nyújtása ellentétes lenne az (1) bekezdésben foglalt valamelyik céllal. Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz. Az adatkezelő nyilvántartja a döntés ténybeli vagy jogi indokait. Ezeket az információkat kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

(1)   Bármely érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan műveleti vonatkozású személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos műveleti vonatkozású személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

(2)   Az adatkezelő indokolatlan késedelem nélkül törli a műveleti vonatkozású személyes adatokat, az érintett pedig jogosult arra, hogy kérésére a rá vonatkozó műveleti vonatkozású személyes adatokat az adatkezelő indokolatlan késedelem nélkül törölje, ha az adatkezelés sérti a 71. cikket, a 72. cikk (1) bekezdését vagy a 76. cikket, vagy ha a műveleti vonatkozású személyes adatokat az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez törölni kell.

(3)   Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:

Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.

A zárolt adatokat csak abból a célból lehet kezelni, amely miatt törlésükre nem kerülhetett sor.

(4)   Az adatkezelő írásban tájékoztatja az érintettet, ha megtagadja a műveleti vonatkozású személyes adatok helyesbítését, törlését vagy az adatkezelés korlátozását, valamint a megtagadás okairól. Az adatkezelő teljesen vagy részlegesen korlátozhatja az ilyen információk rendelkezésre bocsátását annyiban, amennyiben e korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz.

(5)   Az adatkezelő tájékoztatja a pontatlan műveleti vonatkozású személyes adatok helyesbítéséről azt az illetékes hatóságot, amelytől a műveleti vonatkozású pontatlan személyes adat származik.

(6)   Ha a műveleti vonatkozású személyes adatokat helyesbítették vagy törölték, illetve az adatkezelést korlátozták az (1), a (2) vagy a (3) bekezdés értelmében, az adatkezelő értesíti a címzetteket, és tájékoztatja őket, hogy saját felelősségi körükön belül kell a műveleti vonatkozású személyes adatokat helyesbíteniük vagy törölniük, illetve azok kezelését korlátozniuk.

(1)   A 79. cikk (3) bekezdése, a 81. cikk és a 82. cikk (4) bekezdésében említett esetekben az érintett jogainak gyakorlására az európai adatvédelmi biztos közreműködésével is sor kerülhet.

(2)   Az adatkezelő tájékoztatja az érintettet arról, hogy jogait az (1) bekezdés értelmében az európai adatvédelmi biztos közreműködésével is gyakorolhatja.

(3)   Az (1) bekezdésben említett jog gyakorlása esetén az európai adatvédelmi biztos az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. Az európai adatvédelmi biztos arról is tájékoztatja az érintettet, hogy joga van bírósági jogorvoslatért a Bírósághoz fordulni.

(1)   Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben és az adatkezelőt létrehozó jogi aktusban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2)   Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan műveleti vonatkozású személyes adatok kezelésére kerüljön sor, amelyek megfelelőek, relevánsak és nem lépik túl az adatkezelés céljához szükséges mértéket. Ez a kötelezettség vonatkozik a gyűjtött műveleti vonatkozású személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a műveleti vonatkozású személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.

(1)   Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézményektől és szervektől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 79. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettel szembeni szerepét és a vele való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában vagy mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

(1)   Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet és az adatkezelőt létrehozó jogi aktus követelményeinek való megfelelését és az érintett jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2)   Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3)   Az adatfeldolgozó által végzett adatkezelést – az adatkezelés tárgyát, időtartamát, jellegét és célját, a műveleti vonatkozású személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – olyan szerződésnek vagy olyan uniós vagy a tagállami jog szerinti más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

(4)   A (3) bekezdésben említett szerződést vagy más jogi aktust írásba – ideértve az elektronikus formátumot is – kell foglalni.

(5)   Ha egy adatfeldolgozó e rendeletet vagy az adatkezelőt létrehozó jogi aktust sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor az adatfeldolgozót az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

(1)   Az adatkezelő naplót vezet az automatizált adatkezelési rendszerben végrehajtott következő adatkezelési műveletekről: a műveleti vonatkozású személyes adatok gyűjtése, megváltoztatása, az azokat érintő hozzáférés, betekintés, azok közlése – ideértve a továbbítást is –, összekapcsolása és törlése. A betekintésre és a közlésre vonatkozó naplóknak lehetővé kell tenniük e műveletek indokoltságának, dátumának és időpontjának, valamint a műveleti vonatkozású személyes adatba betekintők vagy azt közlők személyazonosságának, illetve – lehetőség szerint – az ilyen műveleti vonatkozású személyes adatok címzettjei személyazonosságának a megállapítását.

(2)   A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, a műveleti vonatkozású személyes adatok integritásának és biztonságának biztosítására, valamint büntetőeljárások keretében használhatók fel. Az ilyen naplókat három év elteltével törölni kell, kivéve, ha azokra folyamatban lévő ellenőrzés céljából továbbra is szükség van.

(3)   Az adatkezelők kérésre a naplókat saját adatvédelmi tisztviselőjük és az európai adatvédelmi biztos rendelkezésére bocsátják.

(1)   Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a műveleti vonatkozású személyes adatok védelmét hogyan érintik.

(2)   Az (1) bekezdésben említett hatásvizsgálatnak ki kell terjednie legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelését célzó tervezett intézkedésekre, a műveleti vonatkozású személyes adatok védelmét és az adatvédelmi szabályoknak való megfelelés igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákra, biztonsági intézkedésekre és mechanizmusokra.

(1)   Az adatkezelő konzultál az európai adatvédelmi biztossal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:

(2)   Az európai adatvédelmi biztos létrehozhat egy listát azokról az adatkezelési műveletekről, amelyek az (1) bekezdés értelmében előzetes konzultáció tárgyát képezik.

(3)   Az adatkezelő az európai adatvédelmi biztos rendelkezésére bocsátja a 89. cikkben említett adatvédelmi hatásvizsgálatot, valamint kérésre az összes olyan egyéb információt, amely lehetővé teszi az európai adatvédelmi biztos számára az adatkezelés megfelelőségének, valamint különösen az érintett műveleti vonatkozású személyes adatainak védelmére vonatkozó kockázatoknak és a kapcsolódó garanciáknak a vizsgálatát.

(4)   Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdésben említett tervezett adatkezelés megsértené e rendeletet vagy az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktust – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított legfeljebb hat héten belül írásban tanácsot ad az adatkezelőnek. Ez a határidő – a tervezett adatkezelés összetettségétől függően – egy hónappal meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt a meghosszabbításról és a késedelem okairól.

(1)   Az adatkezelő a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot biztosítson, különösen a műveleti vonatkozású személyes adatok különleges kategóriáinak kezelését illetően.

(2)   Az automatizált adatkezelés tekintetében az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően intézkedéseket tesz a következő célok érdekében:

(1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2)   Az (1) bekezdésben említett bejelentésben legalább:

(3)   Ha és amennyiben nem lehetséges a (2) bekezdésben említett információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(4)   Az adatkezelő nyilvántartja az (1) bekezdésben említett összes adatvédelmi incidenst, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikk követelményeinek való megfelelést.

(5)   Ha az adatvédelmi incidens során olyan műveleti vonatkozású személyes adat sérült, amelyet az illetékes hatóságok továbbítottak, vagy amelyet részükre továbbítottak, az adatkezelőnek a (2) bekezdésben említett információkat indokolatlan késedelem nélkül közölnie kell az érintett illetékes hatóságokkal.

(1)   Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

(2)   Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 92. cikk (2) bekezdésének b), c) és d) pontjában előírt információkat és ajánlásokat.

(3)   Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

(4)   Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

(5)   Az érintettnek az e cikk (1) bekezdésében említett tájékoztatása a 79. cikk (3) bekezdésében említett feltételekkel és okokból késleltethető, korlátozható vagy elhagyható.

(1)   Az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban megállapított korlátozások és feltételek mellett az adatkezelő továbbíthat műveleti vonatkozású személyes adatokat egy harmadik országbeli hatóságnak vagy egy nemzetközi szervezetnek, amennyiben e továbbítás az adatkezelő feladatainak ellátásához szükséges, és csak akkor, ha az e cikkben rögzített következő feltételek teljesülnek:

(2)   Az uniós szerveket, hivatalokat és ügynökségeket létrehozó jogi aktus fenntarthatja a műveleti vonatkozású személyes adatok nemzetközi továbbításának feltételeire vonatkozó rendelkezéseket, vagy részletesebb rendelkezéseket vezethet be, különösen a személyes adatok továbbítására vonatkozóan megfelelő garanciák és a konkrét helyzetekre vonatkozó eltérések bevezetésével.

(3)   Az adatkezelő a honlapján olyan jegyzéket tesz közzé és tart naprakészen, amely tartalmazza az (1) bekezdés a) pontjában említett megfelelőségi határozatokat, a megállapodásokat, az igazgatási megállapodásokat, valamint a műveleti vonatkozású személyes adatoknak az (1) bekezdéssel összhangban történő továbbítására vonatkozó egyéb jogi eszközöket.

(4)   Az adatkezelő részletesen dokumentálja az ezen cikk értelmében végzett összes adattovábbítást.

(1)   A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2)   Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(1)   A Bizottság 2022. április 30-ig felülvizsgálja azokat a Szerződések alapján elfogadott jogi aktusokat, amelyek a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelését szabályozzák annak érdekében, hogy

(2)   E felülvizsgálat alapján a természetes személyeknek az adatkezelés tekintetében történő egységes és következetes védelme érdekében a Bizottság, különösen e rendelet IX. fejezetének az Europolra és az Európai Ügyészségre való alkalmazása – ideértve e rendelet IX. fejezetének szükség szerinti kiigazítását is – érdekében megfelelő jogalkotási javaslatokat terjeszthet elő.

(1)   Ez a rendelet nem érinti a 2014/886/EU európai parlamenti és tanácsi határozatot (20), valamint az európai adatvédelmi biztos és a helyettes biztos jelenlegi megbízatását.

(2)   A helyettes biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott más díjazások meghatározása tekintetében a Bíróság hivatalvezetőjével egyenrangúnak tekintendő.

(3)   A jelenlegi helyettes biztosra e rendelet 53. cikkének (4), (5) és (7) bekezdését, valamint 55. és 56. cikkét hivatali ideje végéig kell alkalmazni.

(4)   A helyettes biztos a jelenlegi helyettes biztos hivatali idejének lejártáig segíti az európai adatvédelmi biztost a feladatai ellátásában, és helyettesíti az európai adatvédelmi biztost a távolléte vagy akadályoztatása esetén.

(1)   Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2)   E rendelet azonban 2019. december 12. [a pe-cons 37/2018 dokumentumban található rendelet alkalmazásának időpontja] -tól/-től alkalmazandó a személyes adatok Eurojust által végzett kezelésére.