Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32018R1725

    Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (EGT-vonatkozású szöveg.)

    PE/31/2018/REV/1

    HL L 295., 2018.11.21, p. 39–98 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force: This act has been changed. Current consolidated version: 21/11/2018

    ELI: http://data.europa.eu/eli/reg/2018/1725/oj

    21.11.2018   

    HU

    Az Európai Unió Hivatalos Lapja

    L 295/39


    AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2018/1725 RENDELETE

    (2018. október 23.)

    a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről

    (EGT-vonatkozású szöveg)

    AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

    tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére,

    tekintettel az Európai Bizottság javaslatára,

    a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

    tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (1),

    rendes jogalkotási eljárás keretében (2),

    mivel:

    (1)

    A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. Ezt a jogot az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke is biztosítja.

    (2)

    A 45/2001/EK európai parlamenti és tanácsi rendelet (3) jogi úton érvényesíthető jogokat biztosít a természetes személyek számára, meghatározza az adatkezelőknek a közösségi intézményeken és szerveken belüli adatkezelési kötelezettségeit, és létrehoz egy olyan független felügyeleti hatóságot – az európai adatvédelmi biztost –, amely a személyes adatok uniós intézmények és szervek általi kezelésének figyelemmel kíséréséért felelős. Az említett rendelet nem alkalmazandó azonban a személyes adatoknak az uniós intézmények és szervek olyan tevékenysége során történő kezelésére, amely az uniós jog hatályán kívül esik.

    (3)

    2016. április 27-én elfogadásra került az (EU) 2016/679 európai parlamenti és tanácsi rendelet (4) és az (EU) 2016/680 európai parlamenti és tanácsi irányelv (5). Míg a rendelet a természetes személyeknek a személyes adatok kezelésével kapcsolatos védelmére és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó általános szabályokat állapítja meg, addig az irányelv a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén állapítja meg a természetes személyeknek a személyes adatok kezelésével kapcsolatos védelmére, valamint a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó különös szabályokat.

    (4)

    Az (EU) 2016/679 rendelet előírja a 45/2001/EK rendelet kiigazítását annak érdekében, hogy az Unióban szilárd és koherens adatvédelmi keret álljon rendelkezésre, és lehetővé váljék az említett rendeletnek az (EU) 2016/679 rendelettel párhuzamosan történő alkalmazása.

    (5)

    A személyes adatok védelmének az Unión belüli egységes megközelítése és a személyes adatok Unión belüli szabad áramlása érdekében a lehető legnagyobb mértékben összhangba kell hozni az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó adatvédelmi szabályokat a tagállamokban a közszféra számára elfogadott adatvédelmi szabályokkal. Amennyiben e rendelet rendelkezései ugyanazon elveket követik, mint az (EU) 2016/679 rendelet rendelkezései, az említett két rendelet rendelkezéseit az Európai Unió Bírósága (a továbbiakban: a Bíróság) ítélkezési gyakorlata szerint egységesen kell értelmezni, különösen mivel e rendelet struktúrája az (EU) 2016/679 rendelet struktúrájával egyenértékűnek tekintendő.

    (6)

    Védeni kell azokat a személyeket, akiknek a személyes adatait az uniós intézmények és szervek bármilyen összefüggésben kezelik, például azért, mert az érintett személyeket az említett intézmények és szervek foglalkoztatják. Ez a rendelet nem alkalmazandó az elhunyt személyek személyes adatainak kezelésére. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat is.

    (7)

    A komoly szabálykerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie, és az nem függhet az alkalmazott technikai megoldásoktól.

    (8)

    Ezt a rendeletet kell alkalmazni a személyes adatoknak az összes uniós intézmény, szerv, hivatal és ügynökség általi kezelésére. E rendeletet kell alkalmazni a személyes adatok részben vagy teljes egészében automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.

    (9)

    A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé. Az e rendelet külön fejezetében található általános szabályokat kell tehát alkalmazni a műveleti vonatkozású személyes adatok kezelésére, így például olyan személyes adatok esetében, amelyeket uniós szervek, hivatalok vagy ügynökségek bűnügyi nyomozás céljából kezelnek a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén végzett tevékenységek során.

    (10)

    Az (EU) 2016/680 irányelv harmonizált szabályokat állapít meg a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából kezelt személyes adatok védelmére és szabad áramlására vonatkozóan. Annak érdekében, hogy a természetes személyek számára jogi úton érvényesíthető jogok révén Unió-szerte azonos szintű védelmet biztosítsanak, valamint hogy megelőzzék a személyes adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során az uniós szervek, hivatalok vagy ügynökségek és az illetékes hatóságok egymás közötti cseréjét akadályozó eltéréseket, az ilyen uniós szervek, hivatalok vagy ügynökségek által kezelt műveleti vonatkozású személyes adatok védelemére és szabad áramlására vonatkozó szabályoknak összhangban kell állniuk az (EU) 2016/680 irányelvvel.

    (11)

    Az e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetében található általános szabályokat a műveleti vonatkozású személyes adatok uniós szervek, hivatalok és ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelésére vonatkozó különös szabályok sérelme nélkül kell alkalmazni. Az ilyen különös szabályokat az e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetében foglalt rendelkezésekhez képest lex specialisnak kell tekinteni (lex specialis derogat legi generali). A jogi széttagoltság csökkentése érdekében a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelésére vonatkozó különös adatvédelmi szabályoknak összhangban kell lenniük az e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetének alapjául szolgáló elvekkel, valamint e rendeletnek a független felügyeletre, a jogorvoslatokra, a felelősségre és a szankciókra vonatkozó rendelkezéseivel.

    (12)

    Az e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetét alkalmazni kell az uniós szervekre, hivatalokra és ügynökségekre az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során, függetlenül attól, hogy e tevékenységeket fő vagy kiegészítő feladataik körében végzik-e bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása érdekében. Ez a fejezet azonban az Europolra és az Európai Ügyészségre addig nem alkalmazandó, amíg nem kerül sor az Europolt és az Európai Ügyészséget létrehozó jogi aktusok arra irányuló módosítására, hogy ennek a rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezete, kiigazított formájában rájuk is alkalmazandó legyen.

    (13)

    A Bizottságnak felül kell vizsgálnia ezt a rendeletet, különösen e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetét. A Bizottságnak felül kell vizsgálnia azokat a Szerződések alapján elfogadott egyéb jogi aktusokat is, amelyek a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek általi, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek során végzett kezelését szabályozzák. E felülvizsgálatot követően a természetes személyeknek a személyes adatok kezelése tekintetében történő egységes és következetes védelme érdekében a Bizottságnak lehetőséget kell biztosítani arra, hogy bármilyen megfelelő jogalkotási javaslatot tegyen – ideértve e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetének bármely szükséges kiigazítását is – annak az Europolra és az Európai Ügyészségre való alkalmazása céljával. A kiigazításoknak figyelembe kell venniük a független felügyelettel, a jogorvoslatokkal, a felelősséggel és a szankciókkal kapcsolatos rendelkezéseket.

    (14)

    E rendelet hatályának ki kell terjednie az adminisztratív jellegű személyes adatok kezelésére, így például a személyzeti adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységeket folytató uniós szervek, hivatalok vagy ügynökségek általi kezelésére.

    (15)

    Ez a rendelet alkalmazandó a személyes adatoknak az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységeket folytató uniós intézmények, szervek, hivatalok vagy ügynökségek általi kezelésére. Ez a rendelet nem alkalmazandó a személyes adatoknak az EUSZ 42. cikkének (1) bekezdésében, 43. és 44. cikkében említett, a közös biztonság- és védelempolitikát végrehajtó missziók általi kezelésére. A személyes adatok közös biztonság- és védelempolitika területén történő kezelésének további szabályozása érdekében adott esetben erre vonatkozó javaslatokat kell benyújtani.

    (16)

    Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az olyan álnevesített személyes adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, minden objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat és a technológia fejlődését. Az adatvédelem elvei ennek megfelelően nem alkalmazhatók az anonim információkra, vagyis az olyan információkra, amelyek nem azonosított vagy nem azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, hogy annak következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

    (17)

    A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek eleget tegyenek. Az „álnevesítés” e rendeletben történő kifejezett bevezetése nem irányul más adatvédelmi intézkedés kizárására.

    (18)

    A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

    (19)

    Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az őt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. Ugyanakkor az érintettnek rendelkeznie kell a hozzájárulás bármely időpontban történő visszavonásához való joggal, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Annak biztosítása érdekében, hogy a hozzájárulást önkéntesen adják, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a hozzájárulás megadása önkéntesen történt. Gyakran nem lehetséges a tudományos kutatási célú személyesadat-kezelés célját az adatgyűjtés időpontjában teljes mértékben azonosítani. Ezért lehetővé kell tenni az érintettek számára, hogy a tudományos kutatás bizonyos területeire vonatkozóan hozzájárulásukat adják az adatkezeléshez, betartva a tudományos kutatásokra vonatkozó, elismert etikai előírásokat. Az érintettek számára biztosítani kell annak lehetőségét, hogy – annyiban, amennyiben a célok ezt lehetővé teszik – csak egyes kutatási területekre vagy a kutatási projekteknek csupán bizonyos részeire vonatkozóan adjanak hozzájárulást.

    (20)

    A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy azokat milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett természetes személyek személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt tájékoztatni kell a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán őt megillető jogokat. A személyesadat-kezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférést, ezen adatok és ezen eszközök jogosulatlan felhasználását, valamint hogy megakadályozza ezen adatok továbbítás során történő jogosulatlan közlését.

    (21)

    Az elszámoltathatóság elvével összhangban, amennyiben uniós intézmények és szervek személyes adatokat továbbítanak ugyanazon uniós intézményen vagy szerven belül, és a címzett nem része az adatkezelőnek, vagy más uniós intézmények vagy szervek számára továbbítanak személyes adatokat, meg kell vizsgálniuk, hogy e személyes adatok szükségesek-e a címzett hatáskörébe tartozó feladatok jogszerű teljesítéséhez. Különösen a címzettnek a személyes adatok továbbítására vonatkozó kérelmét követően az adatkezelőnek ellenőriznie kell, hogy fennáll-e a személyes adatok jogszerű kezelésének releváns alapja, és ellenőriznie kell a címzett hatáskörét. Az adatkezelőnek továbbá előzetesen értékelnie kell az adatok továbbításának szükségességét. Ha a szükségességgel kapcsolatban kétségek merülnek fel, az adatkezelőnek további tájékoztatást kell kérnie a címzettől. A címzettnek gondoskodnia kell arról, hogy az adatok továbbításának szükségessége utóbb ellenőrizhető legyen.

    (22)

    Az adatfeldolgozás jogszerűsége érdekében a személyes adatokat azon az alapon kell kezelni, hogy az szükséges legyen a közérdekből végzett feladat uniós intézmények és szervek általi végrehajtásához, illetve közhatalmi jogosítványuk uniós intézmények és szervek általi gyakorlásához, hogy az szükséges legyen az adatkezelőt terhelő valamely jogi kötelezettségnek való megfeleléshez, vagy az e rendelet szerinti egyéb jogszerű alapon, beleértve az érintett hozzájárulását vagy egy olyan szerződés teljesítésének szükségességét, amelyben az érintett félként részt vesz, vagy annak érdekében, hogy az érintett kérésére a szerződés megkötése előtt lépéseket lehessen tenni. Az uniós intézmények és szervek által a közérdekből végzett feladatok teljesítése érdekében végzett személyesadat-kezelés magában foglalja az ilyen intézmények és szervek irányításához és működéséhez szükséges személyes adatok kezelését is. Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett vagy más természetes személy élete szempontjából alapvető érdek védelméhez szükséges. Más természetes személy létfontosságú érdekeire hivatkozással személyesadat-kezelésre elvben csak akkor kerülhet sor, ha az adatkezelés egyéb jogalapon nyilvánvalóan nem végezhető. A személyesadat-kezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból – ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében – van szükség.

    (23)

    Az e rendeletben említett uniós jognak világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára a Chartában és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben meghatározott követelményekkel összhangban.

    (24)

    Az e rendeletben említett belső szabályoknak olyan általánosan alkalmazandó, világos és pontos aktusoknak kell lenniük, amelyek célja, hogy joghatással járjanak az érintettekre nézve. Az említett szabályokat az uniós intézmények és szervek legfelső vezetésének kell hatáskörük keretein belül, a működésükkel kapcsolatos kérdéseket illetően elfogadniuk. Az említett szabályokat az Európai Unió Hivatalos Lapjában közzé kell tenni. Az említett szabályok alkalmazásának előreláthatónak kell lennie a hatályuk alá tartozó személyek számára a Charta és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben meghatározott követelményekkel összhangban. A belső szabályok lehetnek határozatok, különösen, ha azokat uniós intézmények fogadják el.

    (25)

    A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető azokkal a célokkal, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Ha az adatkezelés közérdekből végzett feladat teljesítése vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, az uniós jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni. Az uniós jogban foglalt, a személyes adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között az említett eredeti célok és a tervezett további adatkezelési célok között fennálló valamennyi összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat-kezelési műveletek során.

    (26)

    Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az adatkezelési művelethez az érintett hozzájárult. Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette. A 93/13/EGK tanácsi irányelvnek (6) megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek tisztában kell lennie legalább az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

    (27)

    A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményekkel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekekkel kapcsolatos személyi profilok létrehozására és személyes adatok gyűjtésére kell alkalmazni az uniós intézmények és szervek internetes oldalain közvetlenül gyermekeknek kínált szolgáltatások esetén, ideértve például az interperszonális kommunikációs szolgáltatásokat vagy az online jegyértékesítést, valamint amikor a személyes adatok kezelése hozzájáruláson alapul.

    (28)

    Amennyiben az Unióban letelepedett, uniós intézményeken és szerveken kívüli címzettek az uniós intézmények és szervek által számukra továbbított személyes adatokat szeretnének kapni, az említett címzetteknek bizonyítaniuk kell, hogy az adatok továbbítására vagy közérdekből vagy a rájuk ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladataik teljesítéséhez van szükség. Egyéb esetben az említett címzetteknek azt kell bizonyítaniuk, hogy a továbbítás meghatározott közérdekű célból szükséges, az adatkezelőnek pedig meg kell állapítania, hogy van-e ok annak feltételezésére, hogy az érintett jogos érdekei esetleg sérelmet szenvedhetnek. Ilyen esetekben az adatkezelőnek bizonyíthatóan mérlegelnie kell a különböző egymással versengő érdekeket a személyes adatok kért továbbítása arányosságának értékelése érdekében. A meghatározott közérdekű célok kapcsolatosak lehetnek az uniós intézmények és szervek átláthatóságával. Az uniós intézményeknek és szerveknek – az átláthatóság és a jó közigazgatás elvének megfelelve – továbbá bizonyítaniuk kell az adattovábbítás szükségességét, amikor azt ők maguk kezdeményezik. Az e rendeletben meghatározott, az Unióban letelepedett, uniós intézményektől és szervektől eltérő címzetteknek való adattovábbításra vonatkozó követelményeket úgy kell értelmezni, hogy azok kiegészítik a jogszerű adatkezelés feltételeit.

    (29)

    Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen személyes adatok nem kezelhetők, kivéve az e rendeletben meghatározott külön feltételek teljesülése esetén. Ilyen adatnak minősülnek a faji vagy etnikai származásra utaló személyes adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. A fényképek kezelését nem szükséges szisztematikusan a személyes adatok különleges kategóriájára vonatkozó adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel történik az adatkezelés. A különleges adatok kezelésére vonatkozó különös előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek vagy alapítványok végzik, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

    (30)

    A személyes adatok magasabb szintű védelmet igénylő, különleges kategóriáit csak abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében. Ezért a sajátos szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni a személyes egészségügyi adatok különleges kategóriáinak kezelésére vonatkozóan, különösen, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik. Az uniós jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes adatainak védelmére irányulnak.

    (31)

    A népegészségügy területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az érintett hozzájárulása nélkül történő kezelése. Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében megfelelő és célzott intézkedéseket kell hozni. Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben (7) meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi adatok ilyen közérdekű kezelése nem eredményezheti a személyes adatok más célokból való kezelését.

    (32)

    Ha az adatkezelő által kezelt személyes adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelőt az érintett személyazonosságának megállapítása érdekben nem lehet további információk beszerzésére kötelezni annak érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének. Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának elősegítése érdekében nyújtott további információkat. Az azonosítás magában foglalja az érintettek, például olyan hitelesítési mechanizmus révén történő digitális azonosítását, amelynek keretében az érintett ugyanazokat a belépési azonosító adatokat adja meg, amelyeket az adatkezelő által nyújtott online szolgáltatáshoz történő bejelentkezéshez használ.

    (33)

    E rendelet értelmében a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak. Az említett garanciák biztosítják, hogy technikai és szervezési intézkedéseket hozzanak különösen annak érdekében, hogy az adattakarékosság elve érvényesüljön. A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további kezelésére akkor kerülhet sor, ha az adatkezelő előzetesen felmérte, hogy ezek a célok megvalósíthatók olyan személyes adatok kezelésével, amelyek eleve nem vagy a továbbiakban már nem teszik lehetővé az érintettek azonosítását, feltéve, hogy megfelelő garanciák állnak rendelkezésre (mint például a személyes adatok álnevesítése). Az uniós intézményeknek és szerveknek rendelkezniük kell az uniós jogon belüli megfelelő garanciákról a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelése tekintetében; az uniós jog magában foglalhatja az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott belső szabályokat is.

    (34)

    Olyan intézkedéseket kell biztosítani, amelyek megkönnyítik az érintettek e rendeletben biztosított jogainak gyakorlását, ideértve olyan mechanizmusokat is, amelyek által az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését vagy törlését, valamint a tiltakozáshoz való jog gyakorlását. Az adatkezelő ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének nem szándékozik eleget tenni, indokolnia kell azt.

    (35)

    A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő azokat a további információkat is az érintett rendelkezésére bocsátja, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Az érintettet továbbá tájékoztatni kell a profilalkotás tényéről és annak következményeiről. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon. Amikor az ikonokat elektronikus formátumban jelenítik meg, azoknak géppel olvashatóknak kell lenniük.

    (36)

    Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű időn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetőek más címzettel, arról az érintettet a címzettel történő első közléskor tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

    (37)

    Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen. Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, ha lehetséges azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, valamint hogy minderről tájékoztatást kapjon. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. Ha az adatkezelő nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik.

    (38)

    Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését és megilleti őt „az elfeledtetéshez való jog”, ha az ilyen adatok megőrzése sérti e rendeletet vagy olyan uniós jogot, amelynek hatálya az adatkezelőre kiterjed. Az érintett jogosult arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintett visszavonta az adatok kezeléshez adott hozzájárulását, vagy ha személyes adatai kezelése egyéb szempontból nem felel meg e rendeletnek. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig el akarja távolítani az ilyen személyes adatokat, különösen az internetről. Az érintett e jogát gyakorolhatja akkor is, ha már nem gyermek. Ugyanakkor a személyes adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek való megfelelés, illetőleg közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítése miatt, vagy a népegészségügy területét érintő közérdekből, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

    (39)

    Az elfeledtetéshez való jog online környezetben történő megerősítése érdekében a törléshez való jogot emellett oly módon szükséges kiterjeszteni, hogy a személyes adatokat nyilvánosságra hozó adatkezelőnek az ilyen személyes adatokat kezelő adatkezelőket tájékoztatnia kell arról, hogy töröljék az ilyen személyes adatokra mutató linkeket vagy e személyes adatok másolatát, illetve másodpéldányát. E tájékoztatás során az adatkezelőnek észszerű lépéseket kell tennie annak érdekében, hogy – figyelembe véve a rendelkezésre álló technológiát és eszközöket, ideértve a technikai intézkedések alkalmazását is – a személyes adatokat kezelő adatkezelők értesüljenek az érintett kéréséről.

    (40)

    A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között a kiválasztott személyes adatoknak egy másik adatkezelő rendszerbe történő ideiglenes áthelyezése vagy a felhasználók számára való hozzáférhetőségük megszüntetése, vagy egy honlapról az ott közzétett adatok ideiglenes eltávolítása. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani oly módon, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Azt a tényt, hogy a személyes adatok kezelése korlátozott, egyértelműen jelezni kell a rendszerben.

    (41)

    Ha a személyes adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák. Az adatkezelőket ösztönözni kell, hogy az adathordozhatóságot lehetővé tevő interoperábilis formátumokat fejlesszenek ki. Ez a jog abban az esetben gyakorolható, ha az érintett a személyes adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges. Ezért e jog nem gyakorolható akkor, ha a személyes adatok kezelése valamely, az adatkezelőre alkalmazandó jogi kötelezettségnek való megfeleléshez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges. Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn. Ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait. Ez a jog nem érinti továbbá az érintettnek a jogát arra, hogy a személyes adatainak törlését elérje, sem pedig az e jogra vonatkozóan e rendeletben megállapított korlátozásokat, továbbá nem járhat különösen az érintettre vonatkozó olyan személyes adatok törlésével, amelyeket az érintett valamely szerződés teljesítése céljából bocsátott rendelkezésre, ha és ameddig a személyes adatokra szükség van az adott szerződés teljesítéséhez. Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.

    (42)

    Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetére vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez van szükség. Az adatkezelőnek kell bizonyítania, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet.

    (43)

    Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti, mint például az emberi beavatkozás nélkül folytatott online munkaerő-toborzás. Ilyen adatkezelésnek minősül a „profilalkotás” is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált, személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti.

    Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt az uniós jog kifejezetten megengedi. Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelyek közé tartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen, hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről, és hogy megtámadja a döntést. Az ilyen intézkedés gyermekre nem vonatkozhat. Az érintett szempontjából tisztességes és átlátható adatkezelés biztosítása érdekében – figyelembe véve azokat a körülményeket és kontextust, amelyben a személyes adatokat kezelik – az adatkezelő a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat alkalmaz, olyan technikai és szervezési intézkedéseket vezet be, amelyek biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését, továbbá a személyes adatok biztonságáról oly módon gondoskodik, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és megakadályozza többek között az olyan hatások érvényesülését, amelyek a természetes személyek közötti hátrányos megkülönböztetést eredményeznek faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján, illetve azokat az adatkezeléseket, amelyek ilyen hatást kiváltó intézkedéseket eredményeznek. A személyes adatok különleges kategóriáin alapuló automatizált döntéshozatal és profilalkotás csak bizonyos egyedi feltételek mellett engedélyezhető.

    (44)

    A Szerződések vagy az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott belső szabályok alapján elfogadott jogi aktusok olyan mértékig korlátozhatnak bizonyos elveket, a tájékoztatáshoz való jogot, a személyes adatokhoz való hozzáférési, az azokra vonatkozó helyesbítési vagy törlési jogot, az adathordozhatósághoz való jogot, az elektronikus hírközlési adatok titkosságát, az adatvédelmi incidens érintettel történő közlését, valamint az adatkezelők bizonyos kapcsolódó kötelezettségeit, amilyen mértékig ez egy demokratikus társadalomban szükséges és arányos a közbiztonság védelme, valamint a bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása érdekében. Ez magában foglalja a közbiztonságot fenyegető veszélyekkel szembeni védelmet és azok megelőzését, az emberi élet védelmét, különösen a természeti vagy ember okozta katasztrófákkal szemben, az uniós intézmények és szervek belső biztonságát, az Unió vagy valamely tagállam általános közérdeket szolgáló egyéb fontos célkitűzéseit, különösen az Unió közös kül- és biztonságpolitikájának céljait vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdekét, valamint az állami nyilvántartások vezetését az általános közérdek vagy az érintett védelme vagy mások jogainak és szabadságainak védelme érdekében, beleértve a szociális védelmet, a közegészségügyet és a humanitárius célokat.

    (45)

    A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek megfelelnek e rendeletnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

    (46)

    A természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott természetes személyek –különösen gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

    (47)

    Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni. A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve magas kockázattal járnak-e.

    (48)

    A természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek eleget tesznek különösen a beépített és az alapértelmezett adatvédelem elveinek. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mielőbbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

    (49)

    Az (EU) 2016/679 rendelet előírja az adatkezelők számára, hogy a jóváhagyott tanúsítási mechanizmusokhoz való csatlakozással bizonyítsák a megfelelést. Hasonlóképpen az uniós intézmények és szervek számára is lehetővé kell tenni, hogy a tanúsításnak az (EU) 2016/679 rendelet 42. cikkével összhangban történő megszerzésével is igazolják az e rendeletnek való megfelelést.

    (50)

    Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

    (51)

    Az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelményeknek való megfelelés biztosítása érdekében, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csak olyan adatfeldolgozókat vehet igénybe, amelyek elégséges garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is. Az uniós intézményektől és szervektől eltérő adatfeldolgozó kötelezettségeinek való megfelelés bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz. Az adatkezelésnek az uniós intézménytől vagy szervtől eltérő adatfeldolgozó általi elvégzését az uniós jog alapján létrejött szerződés, illetve adatfeldolgozóként eljáró uniós intézmények és szervek esetében uniós jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is. Az adatkezelő és az adatfeldolgozó számára lehetővé kell tenni, hogy választhasson az egyedi szerződés vagy általános szerződési feltételek alkalmazása között, amelyeket vagy közvetlenül a Bizottság, vagy pedig az európai adatvédelmi biztos, majd a Bizottság fogad el. Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

    (52)

    Az e rendeletnek való megfelelés bizonyítása érdekében az adatkezelőnek nyilvántartást kell vezetnie a hatásköre alapján végzett adatkezelési tevékenységekről, az adatfeldolgozónak pedig nyilvántartást kell vezetnie a hatásköre alapján végzett adatkezelési tevékenységek kategóriáiról. Az uniós intézmények és szervek kötelesek együttműködni az európai adatvédelmi biztossal, és nyilvántartásaikat utóbbi kérésére hozzáférhetővé kell tenniük a számára, az érintett adatkezelési műveletek nyomon követése érdekében. Kivéve, ha ez egy uniós intézmény vagy szerv méretére tekintettel nem megfelelő, az uniós intézményeknek és szerveknek képeseknek kell lenniük az adatkezelési tevékenységeik központi nyilvántartásának létrehozására. Az átláthatóság érdekében lehetővé kell tenni számukra az ilyen nyilvántartás nyilvánosságra hozatalát is.

    (53)

    A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és a technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során mérlegelni kell a személyes adatok kezelése által képviselt olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés –, amelyek különösen fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

    (54)

    Az uniós intézményeknek és szerveknek biztosítaniuk kell az elektronikus hírközlés bizalmas jellegét, a Charta 7. cikkével összhangban. Az uniós intézményeknek és szerveknek biztosítaniuk kell különösen az elektronikus hírközlési hálózataik biztonságát. Az említetteknek védeniük kell a nyilvánosan elérhető weboldalaikhoz és mobil alkalmazásaikhoz való hozzáférést biztosító felhasználói végberendezésekkel kapcsolatos információkat a 2002/58/EK európai parlamenti és tanácsi irányelvnek (8) megfelelően. Az említetteknek védeniük kell a felhasználók nyilvántartásokban tárolt személyes adatait is.

    (55)

    Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha megoldható a tudomásszerzéstől számított legkésőbb 72 órán belül köteles bejelenteni az európai adatvédelmi biztosnak, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha ilyen bejelentésre 72 órán belül nincs mód, abban meg kell jelölni a késedelem okát, az információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. Amennyiben az ilyen késedelem indokolt, az incidensre vonatkozó kevésbé érzékeny vagy kevésbé konkrét információkat a lehető leghamarabb közölni kell, ahelyett, hogy a bejelentést megelőzően teljes mértékben megoldják az alapul szolgáló incidenst.

    (56)

    Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek említett tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve az európai adatvédelmi biztossal, és betartva az általa vagy más érintett hatóságok, például bűnüldöző hatóságok által adott útmutatást.

    (57)

    A 45/2001/EK rendelet általános kötelezettségként előírja az adatkezelő számára, hogy értesítse az adatvédelmi tisztviselőt a személyes adatok kezeléséről. Az adatvédelmi tisztviselőnek nyilvántartást kell vezetnie a bejelentett adatkezelési műveletekről, kivéve, ha ez az uniós intézmény vagy szerv méretére tekintettel nem helyénvaló. Ezen általános kötelezettség mellett hatékony eljárásokat és mechanizmusokat kell létrehozni azon adatkezelési műveletek nyomon követésére, amelyek a jellegüknél, hatókörüknél, körülményeiknél és céljaiknál fogva a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal járnak. Ilyen eljárásokat kell alkalmazni különösen az olyan típusú adatkezelési műveletek esetén, amelyek új technológiákat alkalmaznak, illetve amelyek új fajtájúak, és amelyek esetében az adatkezelő még nem végezte el az adatvédelmi hatásvizsgálatot, vagy amelyek esetében az adatvédelmi hatásvizsgálat az első adatkezelés óta eltelt időre tekintettel vált szükségessé. Ilyen esetekben az adatkezelő – annak érdekében, hogy az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve felmérje a magas kockázat adott valószínűségét és súlyosságát – az adatkezelés előtt adatvédelmi hatásvizsgálatot kell, hogy végezzen. Ennek a hatásvizsgálatnak magában kell foglalnia különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.

    (58)

    Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt konzultálni kell az európai adatvédelmi biztossal. Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait. Az európai adatvédelmi biztos meghatározott időtartamon belül választ ad a konzultáció iránti megkeresésre. Ha azonban az európai adatvédelmi biztos az említett időtartamon belül nem reagál, az nem érinti az európai adatvédelmi biztosnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló bármely beavatkozását, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve. E konzultációs eljárás során lehetővé kell tenni, hogy az adott adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét – és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét – benyújtsák az európai adatvédelmi biztosnak.

    (59)

    Az európai adatvédelmi biztost tájékoztatni kell az uniós intézmények és szervek által elfogadott azon közigazgatási intézkedésekről, valamint konzultálni kell vele az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott azon belső szabályokról, amelyek személyes adatok kezeléséről rendelkeznek, megállapítják az érintettek jogainak korlátozására vonatkozó feltételeket vagy megfelelő biztosítékokat nyújtanak az érintettek jogaira vonatkozóan annak biztosítása érdekében, hogy a tervezett adatkezelés megfeleljen e rendeletnek, különösen az érintett számára fennálló kockázat mérséklése tekintetében.

    (60)

    Az (EU) 2016/679 rendelet létrehozta az Európai Adatvédelmi Testületet mint jogi személyiséggel rendelkező, független uniós szervet. A testületnek hozzá kell járulnia az (EU) 2016/679 rendelet és az (EU) 2016/680 irányelv egységes alkalmazásához az Unió egész területén, többek között a Bizottságnak nyújtott tanácsadás révén. Ugyanakkor az európai adatvédelmi biztosnak továbbra is gyakorolnia kell felügyeleti és tanácsadói feladatait – saját kezdeményezésére vagy kérésre – valamennyi uniós intézmény és szerv tekintetében. Az adatvédelmi szabályok Unió-szerte való egységességének biztosítása érdekében a javaslatok vagy ajánlások előkészítése során a Bizottságnak törekednie kell arra, hogy konzultáljon az európai adatvédelmi biztossal. Kötelezővé kell tenni a Bizottság számára a konzultációt az EUMSZ 289., 290., illetve 291. cikkében meghatározott olyan jogalkotási aktusok elfogadását követően, felhatalmazáson alapuló jogi aktusok, illetve végrehajtási jogi aktusok előkészítése során, valamint a harmadik országokkal és nemzetközi szervezetekkel kötendő megállapodásokra vonatkozó olyan ajánlásoknak és javaslatoknak az EUMSZ 218. cikke szerinti elfogadását követően, amelyek hatással vannak a személyes adatok védeleméhez való jogra. Ilyen esetekben a Bizottság számára kötelezővé kell tenni, hogy konzultáljon az európai adatvédelmi biztossal, kivéve, ha az (EU) 2016/679 rendelet az Európai Adatvédelmi Testülettel való kötelező konzultációról rendelkezik, például a megfelelőségi határozatok vagy a szabványosított ikonokra vonatkozó felhatalmazáson alapuló jogi aktusok, valamint a tanúsítási mechanizmusokra vonatkozó követelmények esetében. Amennyiben az adott jogi aktus különös jelentőséggel bír a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében való védelme szempontjából, a Bizottság számára ezen túlmenően lehetőséget kell biztosítani az Európai Adatvédelmi Testülettel való konzultációra. Ezekben az esetekben az európai adatvédelmi biztosnak – az Európai Adatvédelmi Testület tagjaként – össze kell hangolnia a munkáját az utóbbiéval azzal a céllal, hogy közös véleményt adjanak ki. Az Európai Adatvédelmi Biztos és adott esetben az Európai Adatvédelmi Testület nyolc héten belül írásban tanácsot ad. Sürgős esetekben, vagy ha az egyéb okokból indokolt – például amikor a Bizottság felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat készít elő – ennek a határidőnek rövidebbnek kell lennie.

    (61)

    Az (EU) 2016/679 rendelet 75. cikkével összhangban az európai adatvédelmi biztosnak biztosítania kell az Európai Adatvédelmi Testület titkárságát.

    (62)

    Minden uniós intézménynél és szervnél adatvédelmi tisztviselőnek kell biztosítania e rendelet rendelkezéseinek alkalmazását, valamint tanácsokkal kell ellátnia az adatkezelőket és az adatfeldolgozókat a kötelezettségeik teljesítésével kapcsolatban. Ennek a tisztviselőnek olyan személynek kell lennie, aki szakértői ismeretekkel rendelkezik az adatvédelmi jog és gyakorlatok terén, amely ismereteket különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az érintett személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Az említett adatvédelmi tisztviselő számára biztosítani kell, hogy a kötelezettségeit és feladatait független módon láthassa el.

    (63)

    A személyes adatoknak az uniós intézményektől vagy szervektől harmadik országbeli adatkezelőknek, adatfeldolgozóknak vagy egyéb címzetteknek vagy nemzetközi szervezeteknek történő továbbítása esetén biztosítani kell a természetes személyeknek az Unióban e rendelettel biztosított védelmi szintjét. Ugyanezen biztosítékokat kell alkalmazni a személyes adatoknak harmadik országból vagy nemzetközi szervezettől ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőnek, adatfeldolgozónak vagy nemzetközi szervezetnek történő újbóli továbbítása esetén. Mindenesetre a harmadik országokba és a nemzetközi szervezetekhez való továbbítás csak e rendeletnek való maradéktalan megfelelés és a Chartában foglalt alapvető jogok és szabadságok tiszteletben tartása mellett hajtható végre. A továbbításra akkor kerülhet csak sor, ha az adatkezelő vagy az adatfeldolgozó – e rendelet egyéb rendelkezéseire is figyelemmel – megfelel a harmadik országoknak vagy nemzetközi szervezeteknek történő személyesadat-továbbításra vonatkozó, e rendeletben meghatározott feltételeknek.

    (64)

    A Bizottság az (EU) 2016/679 rendelet 45. cikke vagy az (EU) 2016/680 irányelv 36. cikke értelmében dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, vagy nemzetközi szervezet megfelelő szintű adatvédelmet nyújt. Ilyen esetekben az uniós intézmények vagy szervek további engedély beszerzése nélkül továbbíthatják a személyes adatokat az említett harmadik ország vagy nemzetközi szervezet részére.

    (65)

    Megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról. Ezek a megfelelő garanciák magukban foglalhatják a Bizottság által elfogadott általános adatvédelmi kikötések, az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötések vagy az európai adatvédelmi biztos által engedélyezett szerződési feltételek alkalmazását. Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, ezek a megfelelő garanciák az (EU) 2016/679 rendelet szerinti nemzetközi adattovábbításhoz használt kötelező erejű vállalati szabályokat, magatartási kódexeket és tanúsítási mechanizmusokat is magukban foglalhatnak. Az említett garanciáknak biztosítaniuk kell az adatvédelmi követelményeknek való megfelelést és az érintettek számára az Unión belüli adatkezeléshez megfelelő jogokat, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe és kártérítést igényelhessenek az Unióban vagy egy harmadik országban. A garanciák különösen a személyes adatok kezelésére vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak. Adattovábbítást az uniós intézmények és szervek harmadik országbeli közigazgatási hatóságok vagy szervek vagy hasonló feladatokat vagy funkciókat ellátó nemzetközi szervezetek felé is végezhetnek, többek között a közigazgatási megállapodásokba – például egyetértési megállapodás formájában – beillesztendő, az érintetteknek érvényesíthető és tényleges jogokat biztosító rendelkezések alapján. Az európai adatvédelmi biztos engedélyét be kell szerezni abban az esetben, ha a garanciákat olyan közigazgatási megállapodások tartalmazzák, amelyek jogilag nem kötelező erejűek.

    (66)

    Az a lehetőség, amely szerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötéseket, nem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezeket, sem pedig azt, hogy további rendelkezéseket vagy garanciákat adjon hozzájuk, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

    (67)

    Néhány harmadik ország olyan törvényeket, rendeleteket és más jogszabályokat fogad el, amelyek az uniós intézmények és szervek általi adatkezelési tevékenységek közvetlen szabályozására irányulnak. Ide tartoznak a harmadik országok bíróságai és törvényszékei által hozott ítéletek, valamint közigazgatási hatóságai által hozott döntések, amelyek valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írják elő, és amelyek nem egy olyan hatályos nemzetközi megállapodáson alapulnak, amely a megkereső harmadik ország és az Unió között jött létre. E törvények, rendeletek és más jogszabályok országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja a természetes személyeknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, ha az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor állhat fenn, ha az adatközlés az uniós jogban elismert fontos közérdekből szükséges.

    (68)

    Ha az érintett kifejezett hozzájárulását adta, az adatok továbbítását bizonyos körülmények esetén lehetővé kell tenni, ha az adattovábbítás alkalomszerű, és valamely szerződéssel vagy jogi igénnyel kapcsolatban válik szükségessé, függetlenül attól, hogy a szerződés teljesítésére vagy a jogi igény érvényesítésére bírósági eljárás, illetve közigazgatási vagy egyéb nem bírósági útra tartozó eljárás keretében kerül-e sor, ideértve a szabályozói szervek előtt zajló eljárásokat is. Szintén lehetővé kell tenni az adatok továbbítását, ha azt az uniós jogban megállapított fontos közérdek védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánosság vagy az e tekintetben jogos érdekkel rendelkezők általi betekintés biztosítása. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő személyes adatok vagy adatkategóriák összességére – kivéve, ha ezt az uniós jog megengedi –, valamint ha a nyilvántartás célja a jogos érdekkel rendelkező személyek általi betekintés biztosítása, a nekik való továbbításra csak e személyek kérelmére kerülhet sor, vagy akkor, ha ők a címzettek, teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait.

    (69)

    Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például az uniós intézmények és szervek, valamint a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyeleti hatóságok és a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere érdekében, például fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése vagy a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából. A személyes adatok továbbítása hasonlóképpen jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni. Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriába tartozó adatoknak valamely harmadik országba vagy nemzetközi szervezet részére történő továbbítását. Ha a genfi egyezmények által előírt feladat elvégzése, illetve a nemzetközi humanitárius jog fegyveres konfliktus esetén alkalmazandó rendelkezéseinek történő megfelelés alapján valamely nemzetközi humanitárius szervezet számára olyan érintett személyes adatait továbbítják, akinek fizikailag vagy jogilag nem áll módjában a hozzájárulás megadása, erre úgy lehet tekinteni, mint ami fontos közérdekből vagy az érintett létfontosságú érdeke védelmében szükséges.

    (70)

    Ha a Bizottság az adott harmadik ország viszonylatában nem hozott határozatot a harmadik ország megfelelő adatvédelemi szintjéről, az adatkezelő vagy az adatfeldolgozó olyan megoldásokhoz folyamodhat, amelyek az érintettek számára olyan tényleges és érvényesíthető jogokat biztosítanak, hogy az érintettek az adattovábbítást követően is élvezhetik az őket megillető alapvető jogokat és garanciákat.

    (71)

    A személyes adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen, ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti. Ugyanakkor előfordulhat, hogy a nemzeti felügyeleti hatóságok és az európai adatvédelmi biztos nem tudnak a joghatóságukon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni. A határokon átnyúló összefüggésben tett erőfeszítéseiket az elégtelen megelőzési vagy jogorvoslati hatáskör, az egymásnak ellentmondó jogrendszerek, valamint olyan gyakorlati akadályok is hátráltathatják, mint a források korlátozott volta. Ezért elő kell mozdítani az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok közötti szorosabb együttműködést a nemzetközi partnereikkel való információcsere elősegítése érdekében.

    (72)

    A 45/2001/EK rendelet által létrehozott, a feladatai ellátása és hatáskörei gyakorlása során teljes függetlenséget élvező európai adatvédelmi biztos tisztsége a természetes személyek személyes adataik kezelése tekintetében fennálló védelmének alapvető része. E rendeletnek tovább kell erősítenie és egyértelművé kell tennie az európai adatvédelmi biztos szerepét és függetlenségét. Az európai adatvédelmi biztosnak olyan személynek kell lennie, akinek a függetlenségéhez nem férhet kétség, és aki elismerten rendelkezik az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalatokkal és készségekkel, például azért, mert az (EU) 2016/679 rendelet 51. cikke alapján létrehozott felügyeleti hatóságok valamelyikéhez tartozott.

    (73)

    Az adatvédelmi szabályok Unió-szerte következetes nyomon követésének és érvényesítésének biztosítása érdekében az európai adatvédelmi biztosnak ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell rendelkeznie, mint a nemzeti felügyeleti hatóságoknak, ideértve a vizsgálati hatáskört, a korrekciós hatásköröket és a szankciókat, az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszai esetében, az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén a Bírósághoz forduljon és bírósági eljárást kezdeményezzen az elsődleges joggal összhangban. E hatásköröknek magukban kell foglalniuk az adatkezelés átmeneti vagy végleges korlátozását, ideértve az adatkezelés tilalmának elrendelésére vonatkozó jogosultságot. Annak elkerülésére, hogy az intézkedés az érintett személynek – akit ez hátrányosan érinthet – felesleges költségeket és túlzott kényelmetlenséget okozzon, az európai adatvédelmi biztos valamennyi intézkedésének megfelelőnek, szükségesnek és arányosnak kell lennie az e rendeletnek való megfelelés biztosítása érdekében, és figyelembe kell vennie az egyes esetek körülményeit, tiszteletben tartva azt, hogy minden személynek joga van ahhoz, hogy az érintett egyedi intézkedés meghozatala előtt meghallgassák. Az európai adatvédelmi biztosnak minden jogilag kötelező erejű intézkedését írásban kell meghoznia, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetni rajta az intézkedés meghozatalának időpontját, az európai adatvédelmi biztosnak azt el kell látnia az aláírásával, indokolnia kell és utalnia kell benne a hatékony jogorvoslathoz való jogra.

    (74)

    Annak érdekében, hogy az igazságszolgáltatási feladatai ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a Bíróság függetlensége, az európai adatvédelmi biztos felügyeleti hatásköre nem terjedhet ki a személyes adatoknak a Bíróság általi olyan kezelésére, amelyet a Bíróság igazságszolgáltatási feladatkörében eljárva végez. Az ilyen adatkezelési műveletekre vonatkozóan a Bíróságnak a Charta 8. cikkének (3) bekezdésével összhangban független felügyeletet kell kialakítania, például belső mechanizmusok révén.

    (75)

    Az európai adatvédelmi biztos e rendelet szerint meghatározott, adatkezelési műveletekre vonatkozó mentességekkel, garanciákkal, engedélyekkel és feltételekkel kapcsolatos határozatait a tevékenységi jelentésben kell közzétenni. Az éves tevékenységi jelentés közzétételétől függetlenül az európai adatvédelmi biztos külön témákban is jelentéseket tehet közzé.

    (76)

    Az európai adatvédelmi biztosnak meg kell felelnie az 1049/2001/EK európai parlamenti és tanácsi rendeletnek (9).

    (77)

    A nemzeti felügyeleti hatóságok figyelemmel kísérik az (EU) 2016/679 rendelet alkalmazását és hozzájárulnak annak Unió-szerte történő egységes alkalmazásához annak érdekében, hogy védjék a természetes személyeket a személyes adataik kezelésével kapcsolatban, valamint elősegítsék a személyes adatok belső piacon belüli szabad áramlását. A tagállamokban alkalmazandó és az uniós intézményekre és szervekre alkalmazandó adatvédelmi szabályok egységesebb alkalmazása érdekében az európai adatvédelmi biztosnak hatékonyan együtt kell működnie a nemzeti felügyeleti hatóságokkal.

    (78)

    Bizonyos esetekben az uniós jog rendelkezik az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok közötti megosztott, összehangolt felügyelet modelljéről. Az európai adatvédelmi biztos az Europol felügyeleti hatósága is, és e célból egy tanácsadó funkcióval rendelkező együttműködési testület révén a nemzeti felügyeleti hatóságokkal való együttműködés sajátos modelljét hozták létre. Az anyagi adatvédelmi szabályok hatékony felügyeletének és érvényesítésének javítása érdekében egységes és következetes összehangolt felügyeleti modellt kell bevezetni az Unióban. A Bizottságnak ezért adott esetben jogalkotási javaslatokat kell előterjesztenie az összehangolt felügyelet modelljéről rendelkező uniós jogi aktusok módosítása céljából annak érdekében, hogy összhangba hozza azokat az összehangolt felügyelet e rendelet szerinti modelljével. Az Európai Adatvédelmi Testületnek egységes fórumként kell biztosítania a hatékony összehangolt felügyeletet minden területen.

    (79)

    Minden érintett jogosult arra, hogy panaszt nyújtson be az európai adatvédelmi biztoshoz, és a Szerződésekkel összhangban hatékony bírósági jogorvoslattal éljen a Bíróság előtt, amennyiben úgy ítéli meg, hogy az e rendelet értelmében őt megillető jogokat megsértették, vagy ha az európai adatvédelmi biztos nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges. A panasz benyújtását követően – a konkrét esethez szükséges mértékben – vizsgálatot kell lefolytatni, amely bírósági felülvizsgálat tárgyát képezheti. Az európai adatvédelmi biztosnak észszerű időn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy egy másik nemzeti felügyeleti hatósággal való további együttműködést tesz szükségessé, az érintettet időközben tájékoztatni kell. A panaszok benyújtásának megkönnyítése érdekében az európai adatvédelmi biztosnak intézkedéseket kell tennie, például olyan panasz benyújtására szolgáló formanyomtatványt kell biztosítania, amely elektronikus úton is kitölthető, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

    (80)

    Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért a Szerződésekben foglalt feltételek szerint az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

    (81)

    Az európai adatvédelmi biztos felügyeleti szerepének és e rendelet hatékony végrehajtásának megerősítése érdekében az európai adatvédelmi biztosnak – végső megoldásként – lehetőséget kell adni arra, hogy közigazgatási bírságokat szabjon ki. A bírságoknak arra kell irányulniuk, hogy az e rendelet jövőbeli megsértésének megakadályozása, valamint az uniós intézményeken és szerveken belül a személyes adatok védelme kultúrájának előmozdítása érdekében e rendelet megsértéséért az uniós intézményt vagy szervet, és ne az egyéneket szankcionálják. E rendeletben kell meghatározni a közigazgatási bírságokkal szankcionálható jogsértéseket, valamint a kapcsolódó bírságok összegének felső határát és azok megállapításának szempontjait. A közigazgatási bírság összegét az egyes esetekben az európai adatvédelmi biztos állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, kellő figyelmet fordítva a jogsértés természetére, súlyosságára és időtartamára, a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségeknek való megfelelés biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Közigazgatási bírság uniós intézményre vagy szervre történő kiszabásakor az európai adatvédelmi biztosnak meg kell vizsgálnia a bírság összegének arányosságát. Az uniós intézményekre és szervekre kiszabott bírságokra vonatkozó közigazgatási eljárás során tiszteletben kell tartani az uniós jog általános elveit, a Bíróság általi értelmezésnek megfelelően.

    (82)

    Ha az érintett úgy ítéli meg, hogy az e rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, az uniós jognak vagy a tagállami jognak megfelelően létrehozott, az alapszabályában rögzített közérdekű célokat szolgáló és a személyes adatok védelmével foglalkozó nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be az európai adatvédelmi biztoshoz. Az ilyen szerv, szervezet vagy egyesület számára lehetővé kell tenni azt is, hogy az érintettek nevében a bírósági jogorvoslathoz való jogot gyakorolja, illetve a kártérítéshez való jogot érvényesítse.

    (83)

    Az Unió azon tisztviselője vagy alkalmazottja ellen, aki nem teljesíti az e rendeletben foglalt kötelezettségeket, a 259/68/EGK, Euratom, ESZAK tanácsi rendelettel (10) megállapított, az Európai Unió tisztviselőinek személyzeti szabályzatában és az Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételekben (a továbbiakban: a személyzeti szabályzat) megállapított szabályokkal és eljárásokkal összhangban fegyelmi vagy más eljárás indítható.

    (84)

    E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (11) megfelelően kell gyakorolni. Vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és az adatfeldolgozók közötti, valamint az adatfeldolgozók közötti általános szerződési feltételek elfogadására, azon adatkezelési műveletek jegyzékének elfogadására, amelyek esetében a közérdekből végzett feladat teljesítése érdekében személyes adatot kezelő adatkezelőknek előzetes konzultációt kell folytatniuk az európai adatvédelmi biztossal, valamint a nemzetközi adattovábbításhoz megfelelő garanciákról rendelkező általános szerződési feltételek elfogadására.

    (85)

    Az uniós és a nemzeti statisztikai hatóságok által a hivatalos uniós és a hivatalos nemzeti statisztikák készítéséhez gyűjtött bizalmas adatokat védeni kell. Az uniós statisztikákat az EUMSZ 338. cikkének (2) bekezdésében foglalt statisztikai elveknek megfelelően kell kidolgozni, elkészíteni és terjeszteni. A 223/2009/EK európai parlamenti és tanácsi rendelet (12) további konkrét rendelkezéseket határoz meg az uniós statisztikákra vonatkozó titoktartási kötelezettségekről.

    (86)

    A 45/2001/EK rendeletet és az 1247/2002/EK európai parlamenti, tanácsi és bizottsági határozatot (13) hatályon kívül kell helyezni. A hatályát vesztett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.

    (87)

    A független felügyeleti hatóság tagjai teljes függetlenségének biztosítása érdekében ez a rendelet nem érinti a jelenlegi európai adatvédelmi biztos és a jelenlegi helyettes biztos megbízatását. A jelenlegi helyettes biztos kitölti hivatali idejét, kivéve, ha az európai adatvédelmi biztos megbízatása e rendeletben meghatározott idő előtti megszűnésére vonatkozó feltételek egyike teljesül. E rendelet vonatkozó rendelkezései a helyettes biztosra hivatali ideje lejártáig alkalmazandók.

    (88)

    A természetes személyek személyes adatok kezelése tekintetében azonos szintű védelmének és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó alapvető cél eléréséhez az arányosság elvével összhangban szükséges és helyénvaló, hogy a személyes adatok uniós intézményekben és szervekben történő kezelésére vonatkozóan szabályok megállapítására kerüljön sor. E rendelet az EUSZ 5. cikkének (4) bekezdésével összhangban nem lépi túl a kitűzött célok eléréséhez szükséges mértéket.

    (89)

    Az európai adatvédelmi biztossal a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban konzultációra került sor, és a biztos 2017. március 15-én véleményt nyilvánított (14),

    ELFOGADTA EZT A RENDELETET:

    I. FEJEZET

    ÁLTALÁNOS RENDELKEZÉSEK

    1. cikk

    Tárgy és célkitűzések

    (1)   Ez a rendelet a személyes adatok uniós intézmények és szervek által történő kezelése tekintetében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó szabályokat, valamint a személyes adatok ezen intézmények és szervek közötti, vagy az Unión belül letelepedett más címzettekhez irányuló szabad áramlására vonatkozó szabályokat állapít meg.

    (2)   Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

    (3)   Az európai adatvédelmi biztos figyelemmel kíséri e rendelet rendelkezéseinek valamely uniós intézmény vagy szerv által végzett valamennyi adatkezelési műveletre történő alkalmazását.

    2. cikk

    Hatály

    (1)   E rendeletet kell alkalmazni a személyes adatok valamennyi uniós intézmény és szerv általi kezelésére.

    (2)   A műveleti vonatkozású személyes adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő, uniós szervek, hivatalok és ügynökségek általi kezelésére csak e rendelet 3. cikkét és IX. fejezetét kell alkalmazni.

    (3)   Az (EU) 2016/794 európai parlamenti és tanácsi rendeletnek (15) és az (EU) 2017/1939 tanácsi rendeletnek (16) az e rendelet 98. cikkével összhangban történő kiigazításáig ez a rendelet nem alkalmazandó a műveleti vonatkozású személyes adatoknak az Europol és az Európai Ügyészség általi kezelésére.

    (4)   Ez a rendelet nem alkalmazandó a személyes adatoknak az EUSZ 42. cikkének (1) bekezdésében, valamint a 43. és a 44. cikkében említett missziók általi kezelésére.

    (5)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni.

    3. cikk

    Fogalommeghatározások

    E rendelet alkalmazásában:

    1.

    „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

    2.

    „műveleti vonatkozású személyes adat”: az uniós szervek, hivatalok vagy ügynökségek által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységeik során, az e szerveket, hivatalokat vagy ügynökségeket létrehozó jogi aktusokban meghatározott célok és feladatok teljesítése érdekében kezelt minden személyes adat;

    3.

    „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

    4.

    „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

    5.

    „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen az adott természetes személy munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz, érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

    6.

    „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

    7.

    „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált, illetve funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

    8.

    „adatkezelő”: az az uniós intézmény vagy szerv vagy főigazgatóság vagy bármely más szervezeti egység, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit egy konkrét uniós jogi aktus határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog is meghatározhatja;

    9.

    „uniós intézményektől és szervektől eltérő adatkezelők”: az (EU) 2016/679 rendelet 4. cikkének 7. pontja szerinti adatkezelők, valamint az (EU) 2016/680 irányelv 3. cikkének 8. pontja szerinti adatkezelők;

    10.

    „uniós intézmények és szervek”: az EUSZ, az EUMSZ vagy az Euratom-Szerződés által vagy azok alapján létrehozott uniós intézmények, szervek, hivatalok és ügynökségek;

    11.

    „illetékes hatóság”: bármely olyan tagállami közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését, a vádeljárás lefolytatását vagy büntetőjogi szankciók végrehajtását illetően eljárni jogosult, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is;

    12.

    „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

    13.

    „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Nem tekintendők azonban címzetteknek azok a közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban kaphatnak személyes adatot, és az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

    14.

    „harmadik fél”: az érintettől, az adatkezelőtől, az adatfeldolgozótól és az olyan személyektől eltérő természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy szerv, aki vagy amely az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kapott;

    15.

    „hozzájárulás”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

    16.

    „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

    17.

    „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott természetes személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

    18.

    „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti az adott természetes személy egyedi azonosítását, így például az arckép vagy a daktiloszkópiai adat;

    19.

    „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

    20.

    „információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontjában meghatározott szolgáltatás (17);

    21.

    „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre;

    22.

    „nemzeti felügyeleti hatóság”: egy tagállam által az (EU) 2016/679 rendelet 51. cikke vagy az (EU) 2016/680 irányelv 41. cikke értelmében létrehozott független közhatalmi szerv;

    23.

    „felhasználó”: olyan természetes személy, aki valamely uniós intézmény vagy szerv ellenőrzése mellett üzemeltetett hálózati vagy végberendezést használ;

    24.

    „nyilvántartás”: valamely uniós intézményen vagy szerven belül rendelkezésre álló, illetve uniós intézmények és szervek által közösen használt, nyomtatott vagy elektronikus formában létező, nyilvánosan hozzáférhető felhasználó-nyilvántartás vagy belső felhasználó-nyilvántartás;

    25.

    „elektronikus hírközlési hálózat”: olyan átviteli rendszer – függetlenül attól, hogy állandó infrastruktúrán vagy központosított adminisztrációs kapacitáson alapul-e vagy sem – és adott esetben kapcsoló vagy útválasztó eszközök, valamint egyéb erőforrások – ideértve a nem aktív hálózati elemeket is –, amelyek lehetővé teszik a vezetéken, rádióhullámon, optikai vagy egyéb elektromágneses úton történő jelátvitelt, beleértve a műholdas hálózatokat, a helyhez kötött (vonal- és csomagkapcsolt, beleértve az internetet) és mobil földi hálózatokat, az elektromos vezetékrendszereket annyiban, amennyiben azokat jelek továbbítására használják, a rádió- és televízióműsor-terjesztő hálózatokat, valamint a kábeltelevízió-hálózatokat, a továbbított információtípusra tekintet nélkül;

    26.

    „végberendezések”: a 2008/63/EK bizottsági irányelv (18) 1. cikkének 1. pontjában meghatározott végberendezések.

    II. FEJEZET

    ÁLTALÁNOS ALAPELVEK

    4. cikk

    A személyes adatok kezelésére vonatkozó elvek

    (1)   A személyes adatok:

    a)

    kezelését jogszerűen, tisztességesen és az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

    b)

    gyűjtése meghatározott, egyértelmű és jogszerű célból kell, hogy történjen, és azok további kezelésére nem kerülhet sor ezekkel a célokkal össze nem egyeztethető módon; a 13. cikknek megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

    c)

    az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

    d)

    pontosak és szükség esetén naprakészek kell, hogy legyenek; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljaira figyelemmel pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

    e)

    tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljából szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak annyiban kerülhet sor, amennyiben a személyes adatok kezelésére a 13. cikknek megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintett jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

    f)

    kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

    (2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

    5. cikk

    Az adatkezelés jogszerűsége

    (1)   A személyes adatok kezelése csak akkor és annyiban jogszerű, amennyiben legalább a következők egyike teljesül:

    a)

    az adatkezelés közérdekből vagy az uniós intézményre vagy szervre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges;

    b)

    az adatkezelés az adatkezelőre vonatkozó valamely jogi kötelezettségnek való megfeleléshez szükséges;

    c)

    az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

    d)

    az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

    e)

    az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

    (2)   Az a) és b) pontban említett adatkezelés alapját az uniós jog állapítja meg.

    6. cikk

    Más összeegyeztethető célból történő adatkezelés

    Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 25. cikk (1) bekezdésében említett célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

    a)

    a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

    b)

    a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatra;

    c)

    a személyes adatok jellegét, különösen pedig azt, hogy a 10. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 11. cikk szerinti kezeléséről van-e szó;

    d)

    azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

    e)

    megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

    7. cikk

    A hozzájárulás feltételei

    (1)   Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett hozzájárult a személyes adatainak kezeléséhez.

    (2)   Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

    (3)   Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

    (4)   Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek az említett szerződés teljesítéséhez.

    8. cikk

    A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában

    (1)   Ha az 5. cikk (1) bekezdésének d) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 13. életévét betöltötte. A 13. életévét be nem töltött gyermek esetében a személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

    (2)   Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója megadta, illetve engedélyezte.

    (3)   Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermekkel kapcsolatban kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.

    9. cikk

    Személyes adatok továbbítása az Unióban letelepedett, az uniós intézményektől és szervektől eltérő címzetteknek

    (1)   A 4., az 5., a 6. és a 10. cikk sérelme nélkül, a személyes adatok csak akkor továbbíthatók az Unióban letelepedett, az uniós intézményektől és szervektől eltérő címzettek számára, ha:

    a)

    a címzett igazolja, hogy az adatok közérdekből vagy a címzettre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükségesek; vagy

    b)

    a címzett igazolja, hogy az adatok továbbítása meghatározott közérdekű célból szükséges, és az adatkezelő – ha van bármely ok feltételezni, hogy az érintett jogos érdekei sérelmet szenvedhetnek – igazolja, hogy a személyes adat e meghatározott célból történő továbbítása arányos, miután bizonyíthatóan mérlegelte a különböző, egymással versengő érdekeket.

    (2)   Amennyiben az adatkezelő kezdeményezi az e cikk szerinti továbbítást, bizonyítania kell, hogy a személyes adatok továbbítása az (1) bekezdés a) vagy b) pontjában meghatározott feltételek alkalmazásával a továbbítás céljához szükséges és azzal arányos.

    (3)   Az uniós intézmények és szervek az uniós joggal összhangban összeegyeztetik a személyes adatok védelméhez való jogot a dokumentumokhoz való nyilvános hozzáférés jogával.

    10. cikk

    A személyes adatok különleges kategóriáinak kezelése

    (1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

    (2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a következők valamelyike teljesül:

    a)

    az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

    b)

    az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós jog ezt megengedi;

    c)

    az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

    d)

    az adatkezelés valamely uniós intézménybe vagy szervbe integrált nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében és valamely politikai, világnézeti, vallási vagy szakszervezeti célból történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv tagjaira vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy az adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívül;

    e)

    az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

    f)

    az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges, vagy amikor a Bíróság igazságszolgáltatási feladatkörében jár el;

    g)

    az adatkezelés jelentős közérdek miatt szükséges, uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

    h)

    az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

    i)

    az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és az adatkezelés olyan uniós jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a szakmai titoktartásra vonatkozóan; vagy

    j)

    az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

    (3)   Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, vagy ezen adatok kezelése olyan más személy által történik, aki szintén az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

    11. cikk

    A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése

    A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, valamint a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak az 5. cikk (1) bekezdése alapján történő kezelésére csak abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintettek jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós jog megengedi.

    12. cikk

    Azonosítást nem igénylő adatkezelés

    (1)   Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

    (2)   Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 17–22. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

    13. cikk

    A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák

    A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, amelyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, az említett célokat ilyen módon kell megvalósítani.

    III. FEJEZET

    AZ ÉRINTETT JOGAI

    1. SZAKASZ

    átláthatóság és intézkedések

    14. cikk

    Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

    (1)   Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 15. és a 16. cikkben említett valamennyi információt és a 17–24. és a 35. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

    (2)   Az adatkezelő elősegíti az érintett 17–24. cikk szerinti jogainak a gyakorlását. A 12. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 17–24. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

    (3)   Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 17–24. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

    (4)   Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, és élhet bírósági jogorvoslati jogával.

    (5)   A 15. és a 16. cikk szerint rendelkezésre bocsátott információkat és a 17–24. és a 35. cikk szerinti tájékoztatást és aszerint tett bármely intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

    (6)   A 12. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 17–23. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

    (7)   Az érintett részére a 15. és a 16. cikk értelmében nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatóknak kell lenniük.

    (8)   Amennyiben a Bizottság az (EU) 2016/679 rendelet 12. cikkének (8) bekezdése értelmében felhatalmazáson alapuló jogi aktusokat fogad el az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározásáról, az uniós intézmények és szervek adott esetben az e rendelet 15. és 16. cikke szerinti információkat az ilyen szabványosított ikonokkal együtt adják meg.

    2. SZAKASZ

    tájékoztatás és a személyes adatokhoz való hozzáférés

    15. cikk

    Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik

    (1)   Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

    a)

    az adatkezelő kiléte és elérhetőségei;

    b)

    az adatvédelmi tisztviselő elérhetőségei;

    c)

    a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

    d)

    a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

    e)

    adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 48. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

    (2)   Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintett rendelkezésére bocsátja a következő kiegészítő információkat:

    a)

    a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

    b)

    az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, vagy adott esetben azon joga, hogy tiltakozhat az adatkezelés ellen vagy az adathordozhatósághoz való joga;

    c)

    az 5. cikk (1) bekezdésének d) pontján vagy a 10. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

    d)

    az európai adatvédelmi biztoshoz címzett panasz benyújtásához való jog;

    e)

    az a tény, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul-e vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

    f)

    a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.

    (3)   Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

    (4)   Az (1), a (2) és a (3) bekezdés nem alkalmazandó, ha és amennyiben az érintett már rendelkezik az információkkal.

    16. cikk

    Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

    (1)   Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

    a)

    az adatkezelő kiléte és elérhetőségei;

    b)

    az adatvédelmi tisztviselő elérhetőségei;

    c)

    a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

    d)

    az érintett személyes adatok kategóriái;

    e)

    a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

    f)

    adott esetben annak ténye, hogy az adatkezelő harmadik országbeli címzett vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 48. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

    (2)   Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

    a)

    a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

    b)

    az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, vagy adott esetben azon joga, hogy tiltakozhat az adatkezelés ellen vagy az adathordozhatósághoz való joga;

    c)

    az 5. cikk (1) bekezdésének d) pontján vagy a 10. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

    d)

    az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;

    e)

    a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

    f)

    a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

    (3)   Az adatkezelő az (1) és a (2) bekezdésben említett információkat a következők szerint adja meg:

    a)

    a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

    b)

    ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

    c)

    ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

    (4)   Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

    (5)   Az (1)–(4) bekezdés nem alkalmazandó, ha és amilyen mértékben:

    a)

    az érintett már rendelkezik az információkkal;

    b)

    az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;

    c)

    az adat megszerzését vagy közlését kifejezetten előírja az uniós jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

    d)

    a személyes adatoknak valamely uniós jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

    (6)   Az (5) bekezdés b) pontjában említett esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.

    17. cikk

    Az érintett hozzáférési joga

    (1)   Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

    a)

    az adatkezelés céljai;

    b)

    az érintett személyes adatok kategóriái;

    c)

    azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

    d)

    adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

    e)

    az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

    f)

    az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;

    g)

    ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

    h)

    a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

    (2)   Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 48. cikk szerinti megfelelő garanciákról.

    (3)   Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

    (4)   A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

    3. SZAKASZ

    helyesbítés és törlés

    18. cikk

    A helyesbítéshez való jog

    Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

    19. cikk

    A törléshez való jog („az elfeledtetéshez való jog”)

    (1)   Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha a következő indokok valamelyike fennáll:

    a)

    a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

    b)

    az érintett visszavonja az 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

    c)

    az érintett a 23. cikk (1) bekezdése értelmében tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

    d)

    a személyes adatokat jogellenesen kezelték;

    e)

    a személyes adatokat az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;

    f)

    a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

    (2)   Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve a technikai intézkedéseket is – annak érdekében, hogy tájékoztassa a személyes adatokat kezelő adatkezelőket, illetve az uniós intézményektől és szervektől eltérő, személyes adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük e személyes adatokra mutató linkeknek vagy e személyes adatok másolatának, illetve másodpéldányának a törlését.

    (3)   Az (1) és a (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

    a)

    a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

    b)

    az adatkezelőre alkalmazandó valamely jogi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítése céljából;

    c)

    a 10. cikk (2) bekezdése h) és i) pontjának, valamint a 10. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

    d)

    közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

    e)

    jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

    20. cikk

    Az adatkezelés korlátozásához való jog

    (1)   Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha a következők valamelyike teljesül:

    a)

    az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát, ideértve a teljességüket;

    b)

    az adatkezelés jogellenes, és az érintett ellenzi a személyes adatok törlését, és ehelyett kéri felhasználásuk korlátozását;

    c)

    az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényt tart azokra jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

    d)

    az érintett a 23. cikk (1) bekezdése értelmében tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

    (2)   Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

    (3)   Az adatkezelő az adatkezelés korlátozásának feloldását megelőzően tájékoztatja azon érintettet, akinek a kérésére az (1) bekezdés értelmében korlátozták az adatkezelést.

    (4)   Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel biztosítják. A személyes adatok korlátozásának tényét a rendszerben olyan módon kell feltüntetni, amelyből egyértelmű, hogy a személyes adatok nem használhatók fel.

    21. cikk

    A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

    Az adatkezelő minden olyan címzettet tájékoztat a 18. cikk, a 19. cikk (1) bekezdése, illetve a 20. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

    22. cikk

    Az adathordozhatósághoz való jog

    (1)   Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

    a)

    az adatkezelés az 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy az 5. cikk (1) bekezdésének c) pontja szerinti szerződésen alapul; és

    b)

    az adatkezelés automatizált módon történik.

    (2)   Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – a személyes adatok közvetlenül továbbításra kerüljenek egyik adatkezelőtől a másikhoz, illetve az uniós intézményektől és szervektől eltérő adatkezelőkhöz.

    (3)   Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 19. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges.

    (4)   Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.

    4. SZAKASZ

    tiltakozáshoz való jog és egyedi ügyekben való automatizált döntéshozatal

    23. cikk

    A tiltakozáshoz való jog

    (1)   Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az 5. cikk (1) bekezdésének a) pontján alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

    (2)   Az (1) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

    (3)   A 36. és a 37. cikk sérelme nélkül az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

    (4)   Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekből végzett feladat teljesítése érdekében van szükség.

    24. cikk

    Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

    (1)   Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

    (2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

    a)

    az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

    b)

    meghozatalát olyan uniós jog engedi meg, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

    c)

    az érintett kifejezett hozzájárulásán alapul.

    (3)   A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

    (4)   Az e cikk (2) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 10. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 10. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és sor került a megfelelő intézkedések megtételére az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.

    5. SZAKASZ

    korlátozások

    25. cikk

    Korlátozások

    (1)   A Szerződések alapján elfogadott jogi aktusok, vagy az uniós intézmények vagy szervek működéséhez kapcsolódó ügyekben e szervek által megállapított belső szabályok korlátozhatják a 14–22., a 35. és a 36. cikk alkalmazását, továbbá – a 14–22. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében – a 4. cikk alkalmazását, ha az ilyen korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, és egy demokratikus társadalomban a következők védelméhez szükséges és arányos intézkedésnek tekinthető:

    a)

    a tagállamok nemzetbiztonsága, közbiztonsága vagy honvédelme;

    b)

    bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

    c)

    az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

    d)

    az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is;

    e)

    a bírói függetlenség és a bírósági eljárások védelme;

    f)

    a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

    g)

    az a), b) és c) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

    h)

    az érintett védelme vagy mások jogainak és szabadságainak védelme;

    i)

    polgári jogi követelések érvényesítése.

    (2)   Az (1) bekezdésben említett jogi aktusok, illetve belső szabályok adott esetben részletes rendelkezéseket tartalmaznak a következőkről:

    a)

    az adatkezelés céljai vagy az adatkezelés kategóriái;

    b)

    a személyes adatok kategóriái;

    c)

    a bevezetett korlátozások hatálya;

    d)

    a visszaélés, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozását célzó garanciák;

    e)

    az adatkezelő meghatározása vagy az adatkezelők kategóriáinak meghatározása;

    f)

    az adattárolás időtartama, valamint az alkalmazandó garanciák, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait; és

    g)

    az érintettek jogait és szabadságait érintő kockázatok.

    (3)   Ha a személyes adatok kezelése tudományos és történelmi kutatási célból vagy statisztikai célból történik, az uniós jog – amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is – a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

    (4)   Ha a személyes adatok kezelése közérdekű archiválás céljából történik, az uniós jog – amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is– a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20., a 21., a 22. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

    (5)   Az (1), a (3) és a (4) bekezdésben említett belső szabályoknak világosan és pontosan megfogalmazott, általánosan alkalmazandó, az érintettekre nézve joghatás keletkezését célzó aktusoknak kell lenniük, amelyeket az uniós intézmények és szervek legfelső vezetőségének szintjén kell elfogadni, és azokat az Európai Unió Hivatalos Lapjában közzé kell tenni.

    (6)   Ha az (1) bekezdés értelmében korlátozásra kerül sor, az érintettet tájékoztatni kell – az uniós joggal összhangban – a korlátozás alkalmazásának fő okairól, és arról, hogy joga van panasszal fordulni az európai adatvédelmi biztoshoz.

    (7)   Ha az (1) bekezdés értelmében bevezetett korlátozás alapján megtagadják az érintettől a hozzáférést, az európai adatvédelmi biztos – a panasz kivizsgálásakor – a jogosultat csak arról tájékoztatja, hogy az adatot szabályszerűen kezelték-e, és ha nem, akkor megtörtént-e a szükséges korrekció.

    (8)   Az e cikk (6) és (7) bekezdésében, valamint a 45. cikk (2) bekezdésében említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az e cikk (1) bekezdése értelmében elrendelt korlátozás hatását.

    IV. FEJEZET

    AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

    1. SZAKASZ

    általános kötelezettségek

    26. cikk

    Az adatkezelő feladatai

    (1)   Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogait és szabadságait érintő változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket felül kell vizsgálni és szükség esetén naprakésszé kell tenni.

    (2)   Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat alkalmaz.

    (3)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.

    27. cikk

    Beépített és alapértelmezett adatvédelem

    (1)   Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

    (2)   Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan személyes adatok kezelésére kerüljön sor, amelyek az egyes konkrét adatkezelési célok szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint az egyén beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.

    (3)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmus felhasználható az e cikk (1) és (2) bekezdésében előírt követelményeknek való megfelelés bizonyításának részeként.

    28. cikk

    Közös adatkezelők

    (1)   Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézménytől és szervtől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 15. és a 16. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

    (2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

    (3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

    29. cikk

    Az adatfeldolgozó

    (1)   Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

    (2)   Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

    (3)   Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

    a)

    a személyes adatokat csak az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

    b)

    biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak;

    c)

    meghozza a 33. cikk értelmében előírt intézkedéseket;

    d)

    tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és a (4) bekezdésben említett feltételeket;

    e)

    az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

    f)

    segíti az adatkezelőt a 33–41. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

    g)

    az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő;

    h)

    az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

    Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy más tagállami vagy uniós adatvédelmi rendelkezéseket.

    (4)   Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján e további adatfeldolgozó számára ugyanazokat az adatvédelmi kötelezettségeket kell előírni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak elégséges garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha e további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

    (5)   Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 40. cikkének (5) bekezdésében említett jóváhagyott magatartási kódexekhez vagy az (EU) 2016/679 rendelet 42. cikkében említett jóváhagyott tanúsítási mechanizmushoz való csatlakozása felhasználható annak bizonyítása részeként, hogy biztosítja az e cikk (1) és a (4) bekezdésében említett elégséges garanciákat.

    (6)   Az adatkezelő és az adatfeldolgozó közötti bármely egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek az (EU) 2016/679 rendelet 42. cikke értelmében az uniós intézményektől és szervektől eltérő adatfeldolgozónak megadott tanúsítvány részét képezik.

    (7)   A Bizottság – a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

    (8)   Az európai adatvédelmi biztos általános szerződési feltételeket fogadhat el a (3) és a (4) bekezdésben foglaltakra vonatkozóan.

    (9)   A (3) és a (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

    (10)   A 65. és a 66. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

    30. cikk

    Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

    Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat csak az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jogi aktus kötelezi.

    31. cikk

    Az adatkezelési tevékenységek nyilvántartása

    (1)   Minden adatkezelő nyilvántartást vezet a felelősségébe tartozóan végzett adatkezelési tevékenységekről. E nyilvántartás tartalmazza az összes következő információt:

    a)

    az adatkezelő, az adatvédelmi tisztviselő, valamint – ha van ilyen – az adatfeldolgozó és a közös adatkezelő neve és elérhetősége;

    b)

    az adatkezelés céljai;

    c)

    az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

    d)

    azon címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a más tagállambeli és harmadik országbeli címzetteket, valamint a nemzetközi szervezeteket is;

    e)

    adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciákra vonatkozó dokumentáció;

    f)

    ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

    g)

    ha lehetséges, a 33. cikkben említett technikai és szervezési biztonsági intézkedések általános leírása.

    (2)   Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról, amely nyilvántartás tartalmazza a következő információkat:

    a)

    az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, valamint minden egyéb olyan adatkezelő neve és elérhetőségei, akinek vagy amelynek a nevében az adatfeldolgozó eljár, továbbá az adatvédelmi tisztviselő neve és elérhetőségei;

    b)

    az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

    c)

    adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciákra vonatkozó dokumentáció;

    d)

    ha lehetséges, a 33. cikkben említett technikai és szervezési biztonsági intézkedések általános leírása.

    (3)   Az (1) és a (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

    (4)   Az uniós intézmények és szervek a nyilvántartást megkeresés esetén az európai adatvédelmi biztos rendelkezésére bocsátják.

    (5)   Kivéve, ha ez az uniós intézmény vagy szerv méretére tekintettel nem helyénvaló, az uniós intézmények és szervek adatkezelési tevékenységeikről központi nyilvántartást vezetnek. A nyilvántartást nyilvánosan hozzáférhetővé teszik.

    32. cikk

    Együttműködés az európai adatvédelmi biztossal

    Az uniós intézmények és szervek megkeresésre együttműködnek az európai adatvédelmi biztossal a feladatai ellátása során.

    2. SZAKASZ

    a személyes adatok biztonsága

    33. cikk

    Az adatkezelés biztonsága

    (1)   Az adatkezelő és az adatfeldolgozó a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy biztosítsa a kockázat mértékének megfelelő szintű adatbiztonságot, ideértve, többek között, adott esetben:

    a)

    a személyes adatok álnevesítését és titkosítását;

    b)

    a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítását;

    c)

    fizikai vagy műszaki incidens esetén a személyes adatok rendelkezésre állása és a hozzájuk való hozzáférés kellő időben való helyreállításának a képességét;

    d)

    az adatkezelés biztonságának biztosítására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

    (2)   A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

    (3)   Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek csak az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre az uniós jog kötelezi őket.

    (4)   Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható az e cikk (1) bekezdésében előírt követelményeknek való megfelelés bizonyítása részeként.

    34. cikk

    Az adatvédelmi incidens bejelentése az európai adatvédelmi biztosnak

    (1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem okait.

    (2)   Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

    (3)   Az (1) bekezdésben említett bejelentésben legalább:

    a)

    ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

    b)

    közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit;

    c)

    ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

    d)

    ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

    (4)   Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

    (5)   Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt az adatvédelmi incidensről.

    (6)   Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikknek való megfelelést.

    35. cikk

    Az érintett tájékoztatása az adatvédelmi incidensről

    (1)   Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

    (2)   Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 34. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

    (3)   Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

    a)

    az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

    b)

    az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogait és szabadságait érintő, az (1) bekezdésben említett magas kockázat valószínűsíthetően már nem valósul meg;

    c)

    a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

    (4)   Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

    3. SZAKASZ

    az elektronikus hírközlés bizalmas jellege

    36. cikk

    Az elektronikus hírközlés bizalmas jellege

    Az uniós intézmények és szervek biztosítják az elektronikus hírközlés bizalmas jellegét, különösen elektronikus hírközlési hálózataik biztonságossá tétele révén.

    37. cikk

    A felhasználói végberendezésekre továbbított, azokon tárolt, azokkal kapcsolatos, azok által kezelt és azokról gyűjtött információk védelme

    Az uniós intézmények és szervek a 2002/58/EK irányelv 5. cikkének (3) bekezdésével összhangban védik a nyilvánosan elérhető weboldalaikhoz és mobil alkalmazásaikhoz hozzáférő felhasználói végberendezésekre továbbított, azokon tárolt, azokkal kapcsolatos, azok által kezelt és azokról gyűjtött információkat.

    38. cikk

    Felhasználó-nyilvántartások

    (1)   A felhasználó-nyilvántartásokban tárolt személyes adatok körét és az ilyen nyilvántartásokhoz való hozzáférést a nyilvántartás konkrét céljához feltétlenül szükségesre kell korlátozni.

    (2)   Az uniós intézmények és szervek minden szükséges intézkedést megtesznek annak érdekében, hogy megakadályozzák az említett nyilvántartásokban szereplő személyes adatok közvetlen üzletszerzés céljára történő felhasználását, függetlenül attól, hogy az adatok a nyilvánosság számára hozzáférhetők-e vagy sem.

    4. SZAKASZ

    adatvédelmi hatásvizsgálat és előzetes konzultáció

    39. cikk

    Adatvédelmi hatásvizsgálat

    (1)   Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek hogyan érintik a személyes adatok védelmét. Olyan hasonló típusú adatkezelési műveletek, amelyek hasonló magas kockázatot képviselnek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

    (2)   Az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor kikéri az adatvédelmi tisztviselő tanácsát.

    (3)   Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen a következő esetekben kell elvégezni:

    a)

    természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

    b)

    a 10. cikkben említett személyes adatok különleges kategóriáinak, vagy a 11. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak nagy számban történő kezelése; vagy

    c)

    nyilvános helyek nagymértékű, módszeres megfigyelése.

    (4)   Az európai adatvédelmi biztos összeállítja és nyilvánosságra hozza az adatkezelési műveletek azon típusainak jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni.

    (5)   Az európai adatvédelmi biztos összeállíthatja és nyilvánosságra hozhatja az adatkezelési műveletek azon típusainak jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

    (6)   Az e cikk (4) és (5) bekezdésében említett jegyzékek elfogadását megelőzően, abban az esetben, ha olyan adatkezelő adatkezelési műveleteire vonatkoznak, amely adatkezelő egy vagy több, az uniós intézményektől és szervektől eltérő adatkezelővel közösen jár el, az európai adatvédelmi biztos felkéri az (EU) 2016/679 rendelet 68. cikkével felállított Európai Adatvédelmi Testületet az ilyen jegyzékeknek az említett rendelet 70. cikke (1) bekezdésének e) pontjával összhangban történő megvizsgálására.

    (7)   A hatásvizsgálat kiterjed legalább:

    a)

    a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére;

    b)

    az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

    c)

    az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

    d)

    a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendeletnek való megfelelés igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

    (8)   Az adatfeldolgozók által – különösen az adatvédelmi hatásvizsgálatok céljából –végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy az adott, az uniós intézményektől és szervektől eltérő adatfeldolgozók megfelelnek-e az (EU) 2016/679 rendelet 40. cikkében említett jóváhagyott magatartási kódexeknek.

    (9)   Az adatkezelő adott esetben – a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

    (10)   Ha az 5. cikk (1) bekezdésének a) vagy b) pontja szerinti adatkezelés jogalapját a Szerződések alapján elfogadott jogi aktus írja elő, és e jogi aktus a kérdéses konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogi aktus elfogadása előtt általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor e cikk (1)–(6) bekezdését nem kell alkalmazni, kivéve, ha az említett jogi aktus ettől eltérően rendelkezik.

    (11)   Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által képviselt kockázat változása esetén ellenőrzést végez annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

    40. cikk

    Előzetes konzultáció

    (1)   Az adatkezelő az adatkezelési tevékenység előtt konzultál az európai adatvédelmi biztossal, ha a 39. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat a rendelkezésre álló technológiák és a végrehajtási költségek figyelembevételével nem mérsékelhető észszerű módon. Az adatkezelő kikéri az adatvédelmi tisztviselő tanácsát az előzetes konzultáció szükségességéről.

    (2)   Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdés szerint tervezett adatkezelés sértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az európai adatvédelmi biztos az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított legfeljebb nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt és adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg az európai adatvédelmi biztos nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

    (3)   Az adatkezelő az európai adatvédelmi biztossal az (1) bekezdés értelmében folytatott konzultáció során tájékoztatja az európai adatvédelmi biztost:

    a)

    adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről;

    b)

    a tervezett adatkezelés céljairól és módjairól;

    c)

    az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

    d)

    az adatvédelmi tisztviselő elérhetőségéről;

    e)

    a 39. cikkben meghatározott adatvédelmi hatásvizsgálatról; és

    f)

    az európai adatvédelmi biztos által kért bármely egyéb információról.

    (4)   A Bizottság végrehajtási jogi aktusban meghatározhatja azon esetek jegyzékét, amelyekben az adatkezelőknek konzultálniuk kell az európai adatvédelmi biztossal, és be kell szerezniük annak előzetes engedélyét akkor is, ha valamely közérdekből végzett feladat teljesítéséhez kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

    5. SZAKASZ

    tájékoztatás és jogalkotási konzultáció

    41. cikk

    Tájékoztatás és konzultáció

    (1)   Az uniós intézmények és szervek értesítik az európai adatvédelmi biztost azoknak a közigazgatási intézkedéseknek és belső szabályoknak a kidolgozásakor, amelyek a személyes adatok egy uniós intézmény vagy szerv által önállóan vagy más uniós intézménnyel vagy szervvel közösen végzett kezelésére vonatkoznak.

    (2)   Az uniós intézmények és szervek konzultálnak az európai adatvédelmi biztossal a 25. cikkben említett belső szabályok kidolgozásakor.

    42. cikk

    Jogalkotási konzultáció

    (1)   A Bizottság konzultál az európai adatvédelmi biztossal az olyan jogalkotási aktusra vonatkozó javaslatok és az EUMSZ 218. cikke szerinti, a Tanácshoz intézett ajánlások vagy javaslatok elfogadását követően, valamint az olyan felhatalmazáson alapuló jogi aktusok vagy végrehajtási jogi aktusok előkészítése során, amelyek a személyes adatok kezelése tekintetében kihatnak az egyének jogainak és szabadságainak védelmére.

    (2)   Amennyiben az (1) bekezdésben említett jogi aktus különös jelentőséggel bír az egyének jogainak és szabadságainak a személyes adatok kezelése tekintetében való védelme szempontjából, a Bizottság konzultálhat az Európai Adatvédelmi Testülettel is. Ilyen esetekben az európai adatvédelmi biztos és az Európai Adatvédelmi Testület közös vélemény kiadása céljából összehangolja tevékenységét.

    (3)   Az (1) és a (2) bekezdésben említett tanácsot az (1) és a (2) bekezdésben említett konzultáció iránti kérelem kézhezvételétől számított legfeljebb nyolc héten belül írásban kell adni. Sürgős vagy egyébként indokolt esetekben a Bizottság lerövidítheti a határidőt.

    (4)   Ez a cikk nem alkalmazandó, ha az (EU) 2016/679 rendelet értelmében a Bizottságnak konzultálnia kell az Európai Adatvédelmi Testülettel.

    6. SZAKASZ

    az adatvédelmi tisztviselő

    43. cikk

    Az adatvédelmi tisztviselő kijelölése

    (1)   Minden uniós intézmény vagy szerv adatvédelmi tisztviselőt jelöl ki.

    (2)   Az uniós intézmények és szervek közös adatvédelmi tisztviselőt jelölhetnek ki többedmaguk számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

    (3)   Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlatok szakértői szintű ismerete, valamint a 45. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

    (4)   Az adatvédelmi tisztviselő az uniós intézmény vagy szerv személyzetének tagja. Figyelembe véve nagyságukat, és amennyiben a (2) bekezdés szerinti lehetőséggel nem élnek, az uniós intézmények és szervek kijelölhetnek olyan adatvédelmi tisztviselőt, aki feladatait szolgáltatási szerződés keretében látja el.

    (5)   Az uniós intézmények vagy szervek közzéteszik az adatvédelmi tisztviselő elérhetőségeit, és azokat közlik az európai adatvédelmi biztossal.

    44. cikk

    Az adatvédelmi tisztviselő jogállása

    (1)   Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

    (2)   Az uniós intézmények és szervek támogatják az adatvédelmi tisztviselőt a 45. cikkben említett feladatai ellátásában azáltal, hogy biztosítják számára azokat a forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

    (3)   Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő említett feladatai ellátásával kapcsolatban senkitől ne fogadjon el utasításokat. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

    (4)   Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

    (5)   Az adatvédelmi tisztviselőt és személyzetét feladataik teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti, az uniós joggal összhangban.

    (6)   Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

    (7)   Az adatkezelő és az adatfeldolgozó, az érintett személyzeti bizottság, valamint bármely természetes személy a hivatali út igénybevétele nélkül konzultálhat az adatvédelmi tisztviselővel az e rendelet értelmezésével vagy alkalmazásával kapcsolatos bármely kérdésről. Senkit sem érhet joghátrány amiatt, hogy olyan ügyet hoz az illetékes adatvédelmi tisztviselő tudomására, amely megítélése szerint e rendelet rendelkezéseit sérti.

    (8)   Az adatvédelmi tisztviselő kinevezése háromtól öt évre szól, és megújítható. Az adatvédelmi tisztviselőt az őt kijelölő uniós intézmény vagy szerv mentheti fel, ha az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek, és csak az európai adatvédelmi biztos hozzájárulásával.

    (9)   Kinevezése után az adatvédelmi tisztviselőt az őt kinevező uniós intézmény vagy szerv felveteti az európai adatvédelmi biztos által vezetett nyilvántartásba.

    45. cikk

    Az adatvédelmi tisztviselő feladatai

    (1)   Az adatvédelmi tisztviselő a következő feladatokat látja el:

    a)

    tájékoztat és tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

    b)

    független módon biztosítja e rendelet belső alkalmazását; ellenőrzi az e rendeletnek, valamint az egyéb alkalmazandó, adatvédelmi rendelkezéseket tartalmazó uniós jognak, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

    c)

    biztosítja, hogy az érintetteket tájékoztassák az e rendelet szerinti jogaikról és kötelezettségeikről;

    d)

    kérésre tanácsot ad az adatvédelmi incidensről szóló bejelentésnek vagy tájékoztatásnak a 34. és a 35. cikk szerinti szükségessége tekintetében;

    e)

    kérésre tanácsot ad az adatvédelmi hatásvizsgálat tekintetében, és nyomon követi annak végrehajtását a 39. cikk értelmében, valamint konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az adatvédelmi hatásvizsgálat szükségességével kapcsolatban;

    f)

    kérésre tanácsot ad az európai adatvédelmi biztossal való, a 40. cikk szerinti előzetes konzultáció szükségessége tekintetében; konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az előzetes konzultáció szükségességével kapcsolatban;

    g)

    válaszol az európai adatvédelmi biztos megkereséseire illetékességi körén belül az európai adatvédelmi biztossal való együttműködés és konzultáció érdekében a biztos kérésére vagy saját kezdeményezése alapján;

    h)

    biztosítja, hogy az adatkezelési műveletek során ne sérüljenek az érintettek jogai és szabadságai.

    (2)   Az adatvédelmi tisztviselő ajánlásokat tehet az adatkezelő és az adatfeldolgozó számára az adatvédelem gyakorlati javítására, továbbá tanácsokat adhat számukra az adatvédelmi rendelkezések alkalmazásával kapcsolatos kérdésekben. Az adatvédelmi tisztviselő továbbá saját kezdeményezésére, illetve az adatkezelő vagy az adatfeldolgozó, az érintett személyzeti bizottság vagy bármely egyén kérelmére, megvizsgálhatja a feladataihoz közvetlenül kapcsolódó és tudomására jutó ügyeket és tényeket, és vizsgálatáról jelentést küldhet a vizsgálatot kérő személynek, az adatkezelőnek vagy az adatfeldolgozónak.

    (3)   Az egyes uniós intézmények vagy szervek az adatvédelmi tisztviselőre vonatkozóan további végrehajtási szabályokat fogadnak el. A végrehajtási szabályok különösen az adatvédelmi tisztviselő feladataira, kötelességeire és hatásköreiére vonatkoznak.

    V. FEJEZET

    A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

    46. cikk

    Az adattovábbításra vonatkozó általános elv

    Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben biztosított védelem szintje ne sérüljön.

    47. cikk

    Adattovábbítás megfelelőségi határozat alapján

    (1)   Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése, vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése értelmében úgy határozott, hogy a harmadik ország, a harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy az adott nemzetközi szervezet megfelelő szintű védelmet biztosít, és ha a személyes adatokat kizárólag az adatkezelő hatáskörébe tartozó feladatok elvégzésének lehetővé tétele érdekében továbbítják.

    (2)   Az uniós intézmények vagy szervek értesítik a Bizottságot és az európai adatvédelmi biztost azokról az esetekről, amelyekben úgy vélik, hogy egy adott harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy adott nemzetközi szervezet nem biztosít megfelelő szintű védelmet az (1) bekezdés értelmében.

    (3)   Az uniós intézmények és szervek megteszik a szükséges intézkedéseket annak érdekében, hogy megfeleljenek a Bizottság határozatának abban az esetben, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) vagy (5) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) vagy (5) bekezdése értelmében megállapítja, hogy egy harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy nemzetközi szervezet megfelelő szintű védelmet biztosít, vagy már nem biztosítja azt.

    48. cikk

    Megfelelő garanciák alapján történő adattovábbítások

    (1)   Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti határozat hiányában az adatkezelő vagy az adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat nyújtott, és azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

    (2)   Az európai adatvédelmi biztos bármely külön engedélyéhez nem kötött, az (1) bekezdésben említett megfelelő garanciákat a következők jelenthetik:

    a)

    közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

    b)

    a Bizottság által a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében elfogadott általános adatvédelmi kikötések;

    c)

    az európai adatvédelmi biztos által elfogadott és a Bizottság által a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás értelmében jóváhagyott általános adatvédelmi kikötések;

    d)

    amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének b), e) és f) pontja szerinti kötelező erejű vállalati szabályok, magatartási kódexek vagy tanúsítási mechanizmusok.

    (3)   Az európai adatvédelmi biztos engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen a következők is szolgálhatnak:

    a)

    az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy

    b)

    közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

    (4)   Az európai adatvédelmi biztos által a 45/2001/EK rendelet 9. cikkének (7) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén az európai adatvédelmi biztos nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

    (5)   Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.

    49. cikk

    Az uniós jog által nem megengedett továbbítás és közlés

    Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, csak akkor ismerhető el vagy hajtható végre bármely módon, ha az az adatok megismerését igénylő harmadik ország és az Unió között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb okainak sérelme nélkül.

    50. cikk

    Különös helyzetekben biztosított eltérések

    (1)   Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti megfelelőségi határozat, illetve e rendelet 48. cikke szerinti megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak a következő feltételek legalább egyikének teljesülése esetén kerülhet sor:

    a)

    az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – lehetséges kockázatokról;

    b)

    az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

    c)

    az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

    d)

    az adattovábbítás fontos közérdekből szükséges;

    e)

    az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

    f)

    az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy

    g)

    a továbbítást olyan nyilvántartásból végzik, amely az uniós jognak megfelelően a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság számára, vagy bármely, jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, de csak olyan mértékben, amilyenben az uniós jog által a betekintésre megállapított feltételek az adott esetben teljesülnek.

    (2)   Az (1) bekezdés a), b) és c) pontja nem alkalmazandó az uniós intézmények és szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

    (3)   Az (1) bekezdés d) pontjában említett közérdeknek az uniós jogban elismertnek kell lennie.

    (4)   Az (1) bekezdés g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét, kivéve, ha azt az uniós jog megengedi. Ha a nyilvántartásba csak olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra csak e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

    (5)   Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását.

    (6)   Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.

    51. cikk

    A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

    A harmadik országokkal és nemzetközi szervezetekkel kapcsolatban az európai adatvédelmi biztos a Bizottsággal és az Európai Adatvédelmi Testülettel együttműködésben megfelelő lépéseket tesz annak érdekében, hogy:

    a)

    a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

    b)

    a személyes adatok védelméről szóló jogszabályok érvényesítése terén kölcsönös nemzetközi segítségnyújtást biztosítsanak, egyebek mellett értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

    c)

    az érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

    d)

    előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országok viszonylatában felmerülő joghatósági összeütközéseket is.

    VI. FEJEZET

    EURÓPAI ADATVÉDELMI BIZTOS

    52. cikk

    Európai adatvédelmi biztos

    (1)   E rendelettel létrejön az európai adatvédelmi biztos.

    (2)   A személyes adatok kezelése tekintetében az európai adatvédelmi biztos felelős annak biztosításáért, hogy az uniós intézmények és szervek tiszteletben tartsák a természetes személyek alapvető jogait és szabadságait, különösen az adatvédelemhez való jogukat.

    (3)   Az európai adatvédelmi biztos feladata, hogy a személyes adatok uniós intézmény vagy szerv általi kezelésével kapcsolatban figyelemmel kísérje és biztosítsa az e rendelet és bármely más, a természetes személyek alapvető jogainak és szabadságainak védelméről szóló uniós jogi aktus rendelkezéseinek alkalmazását, valamint a személyes adatok kezelésével kapcsolatos minden ügyben tanáccsal szolgáljon az uniós intézmények és szervek, valamint az érintettek számára. Az említett célok érdekében az európai adatvédelmi biztos ellátja az 57. cikkben megállapított feladatokat, és gyakorolja az 58. cikkben biztosított hatásköröket.

    (4)   Az 1049/2001/EK rendeletet alkalmazni kell az európai adatvédelmi biztos birtokában levő dokumentumokra. Az európai adatvédelmi biztos részletes szabályokat fogad el az 1049/2001/EK rendeletnek az említett dokumentumok tekintetében történő alkalmazására vonatkozóan.

    53. cikk

    Az európai adatvédelmi biztos kinevezése

    (1)   Az Európai Parlament és a Tanács közös megegyezéssel nevezi ki az európai adatvédelmi biztost ötéves időtartamra, a Bizottság által nyílt pályázati felhívást követően elkészített lista alapján. A pályázati felhívás lehetővé teszi, hogy az egész Unión belül valamennyi érdekelt fél benyújthassa pályázatát. A Bizottság által a pályázókról összeállított lista nyilvános, és legalább három pályázót tartalmaz. A Bizottság által összeállított lista alapján az Európai Parlament illetékes bizottsága dönthet úgy, hogy meghallgatást tart annak lehetővé tétele érdekében, hogy kifejezze, melyik pályázót részesíti előnyben.

    (2)   Az (1) bekezdésben említett, pályázókról összeállított listán olyan személyek szerepelnek, akiknek függetlenségéhez nem férhet kétség, és akik elismerten rendelkeznek az adatvédelemmel kapcsolatos szakmai tudással és az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalattal és készségekkel.

    (3)   Az európai adatvédelmi biztos megbízatása egyszer megújítható.

    (4)   Az európai adatvédelmi biztos megbízatása megszűnik a következő körülmények fennállása esetén:

    a)

    ha az európai adatvédelmi biztos helyére mást neveznek ki;

    b)

    ha az európai adatvédelmi biztos lemond tisztségéről;

    c)

    ha az európai adatvédelmi biztost felmentik vagy kötelező nyugdíjazást írnak elő számára.

    (5)   Az európai adatvédelmi biztost az Európai Parlament, a Tanács vagy a Bizottság kérelmére a Bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

    (6)   A megbízatás lejárta vagy önkéntes lemondás esetén az európai adatvédelmi biztos mindazonáltal mindaddig hivatalában marad, amíg utódjáról nem gondoskodnak.

    (7)   Az Európai Unió kiváltságairól és mentességeiről szóló jegyzőkönyv 11–14., valamint 17. cikkét az európai adatvédelmi biztosra is alkalmazni kell.

    54. cikk

    Az európai adatvédelmi biztos feladatkörének ellátására vonatkozó szabályozás és általános feltételek, személyi és anyagi erőforrások

    (1)   Az európai adatvédelmi biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott egyéb kedvezmények meghatározása tekintetében a Bíróság bíráival egyenrangú.

    (2)   A költségvetési hatóság biztosítja, hogy az európai adatvédelmi biztos rendelkezzen a feladatainak elvégzéséhez szükséges személyi és anyagi erőforrásokkal.

    (3)   Az európai adatvédelmi biztos költségvetése az Unió általános költségvetése igazgatási kiadásokhoz kapcsolódó szakaszának külön tételében jelenik meg.

    (4)   Az európai adatvédelmi biztos munkáját titkárság segíti. A titkárság tisztviselőit és egyéb alkalmazottait az európai adatvédelmi biztos nevezi ki, felettesük az európai adatvédelmi biztos. Kizárólag az ő irányítása alá tartoznak. Létszámukról évente a költségvetési eljárás keretében döntenek. Az európai adatvédelmi biztos hivatalának azon alkalmazottaira, akik részt vesznek az Európai Adatvédelmi Testület uniós jog által meghatározott feladatainak ellátásában az (EU) 2016/679 rendelet 75. cikkének (2) bekezdése alkalmazandó.

    (5)   Az európai adatvédelmi biztos titkárságának tisztviselőire és más alkalmazottaira az Unió tisztviselőire és egyéb alkalmazottaira vonatkozó szabályok és szabályzatok vonatkoznak.

    (6)   Az európai adatvédelmi biztos székhelye Brüsszelben van.

    55. cikk

    Függetlenség

    (1)   Az európai adatvédelmi biztos az e rendelet alapján ráruházott feladatai elvégzése és hatáskörei gyakorlása során teljesen függetlenül jár el.

    (2)   Az európai adatvédelmi biztos az e rendelettel összhangban ráruházott feladatai végzése és hatáskörei gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen jár el, és senkitől sem kérhet vagy fogadhat el utasítást.

    (3)   Az európai adatvédelmi biztos tartózkodik minden olyan cselekedettől, amely feladataival nem egyeztethető össze, és hivatali ideje alatt sem javadalmazás ellenében, sem anélkül nem vállalhat egyéb szakmai tevékenységet.

    (4)   Az európai adatvédelmi biztos megbízatásának lejárta után köteles a kinevezések és előnyök elfogadása tekintetében feddhetetlen és tartózkodó magatartást tanúsítani.

    56. cikk

    Szakmai titoktartás

    Az európai adatvédelmi biztost és személyzetét a megbízatási idejük alatt és után egyaránt szakmai titoktartási kötelezettség terheli minden olyan bizalmas információ tekintetében, amelyről hivatali feladataik ellátása során szereztek tudomást.

    57. cikk

    Feladatok

    (1)   Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, az európai adatvédelmi biztos a következő feladatokat látja el:

    a)

    figyelemmel kíséri és biztosítja e rendeletnek az uniós intézmények és szervek általi alkalmazását, kivéve a személyes adatoknak a Bíróság általi kezelését, amennyiben az igazságszolgáltatási feladatkörében jár el;

    b)

    elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában. Különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;

    c)

    felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;

    d)

    kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik a nemzeti felügyeleti hatóságokkal;

    e)

    kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 67. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

    f)

    vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján is;

    g)

    saját kezdeményezésére vagy kérésre tanácsot ad az uniós intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

    h)

    figyelemmel kíséri a vonatkozó fejleményeket – különösen az információtechnológia és hírközlési technológia fejlődését –, amennyiben azok hatással vannak a személyes adatok védelmére;

    i)

    elfogadja a 29. cikk (8) bekezdésében és a 48. cikk (2) bekezdésének c) pontjában említett általános szerződési feltételeket;

    j)

    a 39. cikk (4) bekezdése értelmében az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban jegyzéket állít össze és vezeti azt;

    k)

    részt vesz az Európai Adatvédelmi Testület tevékenységeiben;

    l)

    biztosítja az Európai Adatvédelmi Testület titkárságát, az (EU) 2016/679 rendelet 75. cikkével összhangban;

    m)

    tanácsot ad a 40. cikk (2) bekezdésében említett adatkezeléssel kapcsolatban;

    n)

    engedélyezi a 48. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;

    o)

    belső nyilvántartást vezet e rendelet megsértéséről és az 58. cikk (2) bekezdése szerint meghozott intézkedésekről;

    p)

    ellát bármely egyéb, a személyes adatok védelméhez kapcsolódó feladatot; és

    q)

    megállapítja saját eljárási szabályzatát.

    (2)   Az európai adatvédelmi biztos megkönnyíti az (1) bekezdés e) pontjában említett panaszok benyújtását, például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközöket sem.

    (3)   Az európai adatvédelmi biztos az érintett számára térítésmentesen végzi feladatait.

    (4)   Ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az európai adatvédelmi biztos megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az európai adatvédelmi biztost terheli.

    58. cikk

    Hatáskörök

    (1)   Az európai adatvédelmi biztos a következő vizsgálati hatáskörében eljárva:

    a)

    utasítja az adatkezelőt és az adatfeldolgozót, hogy adják meg számára a feladatai elvégzéséhez szükséges tájékoztatást;

    b)

    vizsgálatot folytat adatvédelmi auditok formájában;

    c)

    értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;

    d)

    hozzáférést kap az adatkezelőtől és az adatfeldolgozótól a feladataik teljesítéséhez szükséges minden személyes adathoz és minden információhoz;

    e)

    az uniós joggal összhangban hozzáférést kap az adatkezelő és az adatfeldolgozó bármely helyiségéhez, ideértve minden adatkezeléshez használt felszerelést és eszközt.

    (2)   Az európai adatvédelmi biztos a következő korrekciós hatáskörében eljárva:

    a)

    figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy a tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

    b)

    elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

    c)

    az ügyeket az érintett adatkezelő vagy adatfeldolgozó, illetve szükség esetén az Európai Parlament, a Tanács és a Bizottság elé utalja;

    d)

    utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;

    e)

    utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időtartamon belül – hozza összhangba e rendelet rendelkezéseivel;

    f)

    utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

    g)

    átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

    h)

    a 18., a 19. és a 20. cikkben foglaltak értelmében elrendeli a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását, valamint a 19. cikk (2) bekezdése és a 21. cikk értelmében elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;

    i)

    a 66. cikk értelmében közigazgatási bírságot szab ki, ha valamely uniós intézmény vagy szerv nem felel meg az e bekezdés d)–h) és j) pontjában említett intézkedéseknek, az egyes esetek körülményeitől függően;

    j)

    elrendeli a tagállambeli vagy harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.

    (3)   Az európai adatvédelmi biztos a következő engedélyezési és tanácsadási hatáskörökkel rendelkezik:

    a)

    tanácsot ad az érintetteknek jogaik gyakorlásával kapcsolatban;

    b)

    tanácsot ad az adatkezelőnek a 40. cikkben említett előzetes konzultációs eljárással és a 41. cikk (2) bekezdésével összhangban;

    c)

    saját kezdeményezésére vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki uniós intézmények és szervek, valamint a nyilvánosság részére;

    d)

    elfogadja a 29. cikk (8) bekezdésben és a 48. cikk (2) bekezdésének c) pontjában említett általános adatvédelmi kikötéseket;

    e)

    engedélyezi a 48. cikk (3) bekezdésének a) pontjában említett szerződéses feltételeket;

    f)

    engedélyezi a 48. cikk (3) bekezdésének b) pontjában említett közigazgatási megállapodásokat;

    g)

    engedélyezi a 40. cikk (4) bekezdése szerint elfogadott végrehajtási jogi aktusok szerinti adatkezelési műveleteket.

    (4)   Az európai adatvédelmi biztos jogosult a Bíróság elé utalni az ügyet a Szerződésekben meghatározott feltételek mellett, továbbá beavatkozni a Bíróság előtt indított keresetekbe.

    (5)   Az e cikk értelmében az európai adatvédelmi biztosra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós jogban meghatározott hatékony bírósági jogorvoslatokat és tisztességes eljárást is.

    59. cikk

    Az adatkezelőknek és az adatfeldolgozóknak a feltételezett jogsértésekre vonatkozóan fennálló válaszadási kötelezettsége

    Amennyiben az európai adatvédelmi biztos gyakorolja az 58. cikk (2) bekezdésének a), b) és c) pontjában előírt hatásköröket, az érintett adatkezelő vagy adatfeldolgozó az európai adatvédelmi biztos által meghatározandó észszerű határidőn belül tájékoztatja az európai adatvédelmi biztost, figyelembe véve az egyes esetek körülményeit. A válasz az európai adatvédelmi biztos észrevételei nyomán tett intézkedések – amennyiben voltak ilyenek – leírását is tartalmazza.

    60. cikk

    Tevékenységi jelentés

    (1)   Az európai adatvédelmi biztos tevékenységéről éves jelentést nyújt be az Európai Parlamenthez, a Tanácshoz és a Bizottsághoz, és azt egyidejűleg nyilvánosságra hozza.

    (2)   Az európai adatvédelmi biztos az (1) bekezdésben említett jelentést továbbítja a többi uniós intézménynek és szervnek, amelyek észrevételeket tehetnek a jelentésnek az Európai Parlament által történő esetleges vizsgálata céljából.

    VII. FEJEZET

    EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG

    61. cikk

    Együttműködés az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok között

    Az európai adatvédelmi biztos együttműködik a nemzeti felügyeleti hatóságokkal és a 2009/917/IB tanácsi határozat (19) 25. cikke alapján létrehozott közös ellenőrző hatósággal a feladataik ellátásához szükséges mértékben, különösen azáltal, hogy egymás rendelkezésére bocsátják a vonatkozó információkat, felkérik egymást hatáskörük gyakorlására, és választ adnak egymás megkereséseire.

    62. cikk

    Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok által koordinált felügyelet

    (1)   Amennyiben egy uniós jogi aktus e cikkre hivatkozik, az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok – mindegyik saját hatáskörén belül eljárva – aktívan együttműködnek felelősségi köreiken belül a nagyméretű IT-rendszerek és az uniós szervek, hivatalok és ügynökségek hatékony felügyeletének biztosítása érdekében.

    (2)   Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok hatáskörükön és felelősségi köreiken belül eljárva, szükség esetén, egymás között releváns információkat cserélnek, segítséget nyújtanak egymásnak az auditok és vizsgálatok végzéséhez, megvizsgálják az e rendelet és más alkalmazandó uniós jogi aktusok értelmezésével és alkalmazásával kapcsolatos nehézségeket, tanulmányozzák a független felügyelet vagy az érintettek jogainak gyakorlásával kapcsolatos problémákat, harmonizált javaslatokat dolgoznak ki az esetleges problémák megoldására és előmozdítják az adatvédelmi jogokkal kapcsolatos tudatosságot.

    (3)   A (2) bekezdésben meghatározott célokból az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok legalább évente kétszer üléseznek az Európai Adatvédelmi Testület keretében. E célból az Európai Adatvédelmi Testület szükség esetén további munkamódszereket dolgozhat ki.

    (4)   Az Európai Adatvédelmi Testület kétévente a tevékenységek koordinált felügyeletéről szóló közös jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.

    VIII. FEJEZET

    JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

    63. cikk

    Az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog

    (1)   Az egyéb bírósági, közigazgatási vagy bíróságon kívüli jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt nyújtson be az európai adatvédelmi biztoshoz, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

    (2)   Az európai adatvédelmi biztos tájékoztatja a panaszost a panaszhoz fűződő fejleményekről és eredményekről, ideértve a 64. cikk szerinti bírósági jogorvoslat lehetőségét is.

    (3)   Amennyiben az európai adatvédelmi biztos nem foglalkozik a panasszal, vagy a panasz állásáról vagy eredményéről három hónapon belül nem tájékoztatja a panaszost, úgy kell tekinteni, hogy az európai adatvédelmi biztos elutasító határozatot hozott.

    64. cikk

    A hatékony bírósági jogorvoslathoz való jog

    (1)   Az e rendelet rendelkezéseivel kapcsolatos valamennyi jogvitában – ideértve a kártérítési igényeket is – a Bíróság rendelkezik hatáskörrel.

    (2)   Az európai adatvédelmi biztos határozataival szemben – ideértve a 63. cikk (3) bekezdése szerinti határozatokat is – a Bíróságnál lehet keresetet benyújtani.

    (3)   A Bíróság korlátlan hatáskörrel rendelkezik a 66. cikkben említett közigazgatási bírságok felülvizsgálata tekintetében. A Bíróság a 66. cikkben megadott határokon belül törölheti, csökkentheti vagy megemelheti e bírságok összegét.

    65. cikk

    A kártérítéshez való jog

    Minden olyan személy, aki e rendelet megsértésének következményeként vagyoni vagy nem vagyoni kárt szenved, az elszenvedett kárért a Szerződésekben foglalt feltételek szerint kártérítésre jogosult az uniós intézménytől vagy szervtől.

    66. cikk

    Közigazgatási bírságok

    (1)   Az európai adatvédelmi biztos az egyes esetek körülményeitől függően közigazgatási bírságot szabhat ki az uniós intézményekre és szervekre, amennyiben valamely uniós intézmény vagy szerv nem tesz eleget az európai adatvédelmi biztos által az 58. cikk (2) bekezdésének d) – h) és j) pontja értelmében hozott határozatnak. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

    a)

    a jogsértés jellege, súlyossága és időtartama, figyelembe véve az adott adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

    b)

    az uniós intézmény vagy szerv részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

    c)

    az uniós intézmény vagy szerv felelősségének mértéke, figyelembe véve az általuk a 27. és a 33. cikk értelmében foganatosított technikai és szervezési intézkedéseket;

    d)

    az uniós intézmény vagy szerv által korábban elkövetett hasonló jogsértések;

    e)

    az európai adatvédelmi biztossal a jogsértés orvoslása és a jogsértés esetleges negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

    f)

    a jogsértés által érintett személyes adatok kategóriái;

    g)

    az, ahogyan az európai adatvédelmi biztos tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az uniós intézmény vagy szerv jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

    h)

    az érintett uniós intézménnyel vagy szervvel szemben korábban elrendelt, az 58. cikkben említett valamely intézkedésnek való megfelelés. A bírságok kiszabásához vezető eljárásokat az ügy körülményeinek megfelelően észszerű határidőn belül kell lefolytatni, figyelembe véve a 69. cikkben említett vonatkozó fellépéseket és eljárásokat.

    (2)   Uniós intézmény vagy szerv a 8., a 12., a 27–35., a 39., a 40., a 43., a 44. és a 45. cikk szerinti kötelezettségeinek megsértése esetén az e cikk (1) bekezdésével összhangban jogsértésenként legfeljebb 25 000 EUR összegű közigazgatási bírság szabható ki, és a bírság éves felső határa 250 000 EUR.

    (3)   Uniós intézmény vagy szerv a következő rendelkezések megsértése esetén az (1) bekezdéssel összhangban jogsértésenként legfeljebb 50 000 EUR, évente összesen legfeljebb 500 000 EUR összegű közigazgatási bírság szabható ki:

    a)

    az adatkezelés elvei – ideértve a hozzájárulás feltételeit is – a 4., az 5., a 7. és a 10. cikk értelmében;

    b)

    az érintettek jogai a 14–24. cikk értelmében;

    c)

    személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása a 46–50. cikk értelmében.

    (4)   Ha egy uniós intézmény vagy szerv egyazon adatkezelési művelet vagy egymáshoz kapcsolódó vagy folyamatos adatkezelési műveletek tekintetében e rendelet több rendelkezését, vagy ugyanazon rendelkezését több alkalommal is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

    (5)   Az e cikk szerinti határozatok meghozatala előtt az európai adatvédelmi biztos biztosítja az európai adatvédelmi biztos által lefolytatott eljárás tárgyát képező uniós intézmény vagy szerv számára a lehetőséget, hogy kifejtse álláspontját azon ügyekben, amelyek ellen az európai adatvédelmi biztos kifogást emelt. Az európai adatvédelmi biztos határozatait csak olyan kifogásokra alapozza, amelyekkel kapcsolatban az érintett felek megtehették észrevételeiket. A panaszosokat szorosan bevonják az eljárásokba.

    (6)   Az érintett felek védekezéshez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az érintett felek jogosultak arra, hogy hozzáférjenek az európai adatvédelmi biztos aktájához, figyelemmel az egyéneknek vagy vállalkozásoknak a személyes adataik vagy üzleti titkaik védeleméhez fűződő jogos érdekére.

    (7)   Az e cikk szerint kiszabott bírságok révén beszedett összegek az Unió általános költségvetésének bevételét képezik.

    67. cikk

    Az érintettek képviselete

    Az érintett jogosult arra, hogy panaszának az európai adatvédelmi biztoshoz a nevében történő benyújtásával, a 63. és a 64. cikkben említett jogainak nevében való gyakorlásával, valamint a 65. cikkben említett kártérítéshez való jognak a nevében történő gyakorlásával olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet az uniós jognak vagy valamely tagállam jogának megfelelően hoztak létre, amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

    68. cikk

    Az Unió személyzete által benyújtott panaszok

    Az uniós intézmények vagy szervek által alkalmazott bármely személy a hivatali út igénybevétele nélkül is panaszt nyújthat be az európai adatvédelmi biztoshoz az e rendelet rendelkezéseinek feltételezett megsértésével kapcsolatban. Senki sem szenvedhet sérelmet amiatt, hogy valamely feltételezett jogsértéssel kapcsolatban panaszt nyújtott be az európai adatvédelmi biztoshoz.

    69. cikk

    Szankciók

    Ha az Unió tisztviselője vagy más alkalmazottja az e rendeletben foglalt kötelezettségeit szándékosan vagy gondatlanságból megszegi, az érintett tisztviselő vagy más alkalmazott ellen a személyzeti szabályzatban megállapított szabályoknak és eljárásoknak megfelelően fegyelmi eljárás indul, vagy vele szemben más intézkedést foganatosítanak.

    IX. FEJEZET

    A MŰVELETI VONATKOZÁSÚ SZEMÉLYES ADATOKNAK AZ EUMSZ HARMADIK RÉSZE V. CÍME 4. VAGY 5. FEJEZETÉNEK HATÁLYA ALÁ TARTOZÓ TEVÉKENYSÉGEK VÉGZÉSE SORÁN TÖRTÉNŐ, UNIÓS SZERVEK, HIVATALOK ÉS ÜGYNÖKSÉGEK ÁLTALI KEZELÉSE

    70. cikk

    A fejezet hatálya

    Ez a fejezet csak a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok és ügynökségek általi, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek során végzett kezelésére vonatkozik, az ilyen uniós szervekre, hivatalokra vagy ügynökségekre vonatkozó különös adatvédelmi szabályok sérelme nélkül.

    71. cikk

    A műveleti vonatkozású személyes adatok kezelésére vonatkozó elvek

    (1)   A műveleti vonatkozású személyes adatok:

    a)

    kezelését jogszerűen és tisztességesen kell végezni („jogszerűség és tisztességes eljárás”);

    b)

    gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és nem kezelhetők ezzel a céllal össze nem egyeztethető módon („célhoz kötöttség”);

    c)

    az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk („adattakarékosság”);

    d)

    pontosnak kell lenniük, és szükség esetén naprakésszé kell tenni őket; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

    e)

    tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a műveleti vonatkozású személyes adatok kezelése céljából szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);

    f)

    kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a műveleti vonatkozású személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is („integritás és bizalmas jelleg”).

    (2)   Az azonos vagy más adatkezelő által az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt, a műveleti vonatkozású személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, amennyiben:

    a)

    az adatkezelő számára az uniós joggal összhangban megengedett az említett műveleti vonatkozású személyes adatok ilyen célból történő kezelése; és

    b)

    az adatkezelés az uniós joggal összhangban az említett egyéb cél szempontjából szükséges és arányos.

    (3)   Az azonos vagy más adatkezelő által végzett adatkezelésbe beletartozhat az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás is, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak.

    (4)   Az adatkezelő felel az (1), a (2) és a (3) bekezdésnek való megfelelésért, és képesnek kell lennie a megfelelés bizonyítására.

    72. cikk

    A műveleti vonatkozású személyes adatok kezelésének jogszerűsége

    (1)   A műveleti vonatkozású személyes adatok kezelése csak akkor és annyiban jogszerű, ha és amennyiben az adatkezelés az uniós szervek, hivatalok és ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek keretében végzett feladat ellátásához szükséges, és az az uniós jog alapján történik.

    (2)   Az e fejezet hatályán belüli adatkezelést szabályozó egyedi uniós jogi aktusok meghatározzák legalább az adatkezelés célkitűzéseit, a kezelendő műveleti vonatkozású személyes adatokat, az adatkezelés céljait és a műveleti vonatkozású személyes adatok tárolásának vagy a további tárolás iránti igény rendszeres felülvizsgálatának határidejét.

    73. cikk

    Különbségtétel az érintettek különböző kategóriái között

    Az adatkezelőnek – adott esetben és amennyire lehetséges – egyértelműen különbséget kell tennie az érintettek különböző kategóriáinak műveleti vonatkozású személyes adatai között, így például az uniós szerveket, hivatalokat és ügynökségeket létrehozó jogi aktusokban felsorolt kategóriák szerint.

    74. cikk

    Különbségtétel a műveleti vonatkozású személyes adatok között és a műveleti vonatkozású személyes adatok minőségének ellenőrzése

    (1)   Az adatkezelőnek – amennyire lehetséges – különbséget kell tennie a tényeken alapuló és a személyes értékelésen alapuló műveleti vonatkozású személyes adatok között.

    (2)   Az adatkezelőnek minden észszerű intézkedést meg kell tennie annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész műveleti vonatkozású személyes adatokat ne lehessen továbbítani vagy hozzáférhetővé tenni. E célból az adatkezelő a továbbítást vagy hozzáférhetővé tételt megelőzően – amennyire a gyakorlatban megvalósítható és szükség esetén – ellenőrzi a műveleti vonatkozású személyes adatok minőségét, például úgy, hogy konzultál azzal az illetékes hatósággal, amelytől az adatok származnak. Amennyire lehetséges, az adatkezelőnek minden műveleti vonatkozású személyes adat továbbításakor csatolnia kell azokat a szükséges információkat, amelyek lehetővé teszik a címzett számára, hogy értékelje a műveleti vonatkozású személyes adatok pontosságát, teljességét, megbízhatóságát és naprakészségének mértékét.

    (3)   Amennyiben kiderül, hogy helytelen műveleti vonatkozású személyes adatokat továbbítottak vagy a műveleti vonatkozású személyes adatokat jogszerűtlenül továbbították, a címzettet erről haladéktalanul értesíteni kell. Ebben az esetben a 82. cikkel összhangban az érintett műveleti vonatkozású személyes adatokat helyesbíteni vagy törölni kell, vagy azok kezelését korlátozni kell.

    75. cikk

    Egyedi adatkezelési feltételek

    (1)   Amennyiben a továbbítást végző adatkezelőre vonatkozó uniós jog egyedi feltételeket ír elő az adatkezelésre vonatkozóan, az adatkezelő tájékoztatja a műveleti vonatkozású személyes adatok címzettjét az említett feltételekről és a betartásukra vonatkozó követelményről.

    (2)   Az adatkezelőnek meg kell felelnie az adatokat továbbító illetékes hatóság által az (EU) 2016/680 irányelv 9. cikkének (3) és (4) bekezdésével összhangban előírt egyedi adatkezelési feltételeknek.

    76. cikk

    A műveleti vonatkozású személyes adatok különleges kategóriáinak kezelése

    (1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló műveleti vonatkozású személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai adatok, biometrikus adatok, az egészségre vagy a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó műveleti vonatkozású személyes adatok kezelése csak akkor megengedett, ha arra működési célból feltétlenül szükség van, az érintett uniós szerv, hivatal vagy ügynökség megbízatásának keretében, és csak az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett. A természetes személyeknek az említett személyes adatok alapján történő megkülönböztetése tilos.

    (2)   Ennek a cikknek az alkalmazásáról az adatvédelmi tisztviselőt indokolatlan késedelem nélkül tájékoztatni kell.

    77. cikk

    Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

    (1)   A kizárólag automatizált adatkezelésen – többek között a profilalkotáson – alapuló döntés, amelynek joghatása az érintettre nézve hátrányos, vagy amely őt jelentős mértékben érinti, tilos, kivéve, ha az adatkezelőre alkalmazandó uniós jog megengedi, és az az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciákról is rendelkezik, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen.

    (2)   Az e cikk (1) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 76. cikkben említett különleges kategóriáin, kivéve, ha az érintett jogainak, szabadságainak és jogos érdekeinek védelmét megfelelő intézkedések biztosítják.

    (3)   A személyes adatok 76. cikkben említett különleges kategóriái alapján történő olyan profilalkotást, amely a természetes személyekre vonatkozóan megkülönböztetést eredményez, az uniós joggal összhangban tiltani kell.

    78. cikk

    Tájékoztatás és az érintett jogainak gyakorlására vonatkozó módok

    (1)   Az adatkezelő észszerű intézkedéseket tesz annak érdekében, hogy az érintett részére az adatok kezelésére vonatkozó, a 79. cikkben említett bármilyen információt és a 80–84. és a 92. cikk szerinti bármilyen tájékoztatást tömör, érthető és könnyen hozzáférhető formában, egyértelműen és közérthetően megfogalmazva nyújtsa. Az információ bármilyen megfelelő módon – így elektronikus úton is – nyújtható. Az adatkezelő az információkat főszabályként a kérelem formájával megegyező formában nyújtja.

    (2)   Az adatkezelő elősegíti az érintett 79–84. cikk szerinti jogainak gyakorlását.

    (3)   Az adatkezelő indokolatlan késedelem nélkül, de mindenképpen a kérelem kézhezvételétől számított három hónapon belül írásban tájékoztatja az érintettet a kérelme elbírálásának fejleményeiről.

    (4)   Az adatkezelő a 79. cikk szerinti információkat, valamint a 80–84. és a 92. cikkek szerinti tájékoztatást, illetve intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő megtagadhatja a kérelem teljesítését. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

    (5)   Ha az adatkezelőnek megalapozott kétségei vannak a 80. vagy a 82. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

    79. cikk

    Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk

    (1)   Az adatkezelő az érintett rendelkezésére bocsátja legalább a következő információkat:

    a)

    az uniós szerv, hivatal vagy ügynökség megnevezése és elérhetősége;

    b)

    az adatvédelmi tisztviselő elérhetősége;

    c)

    a műveleti vonatkozású személyes adatok tervezett kezelésének célja;

    d)

    az európai adatvédelmi biztosnál való panaszbenyújtási joga és az európai adatvédelmi biztos elérhetőségei;

    e)

    az érintett azon joga, hogy kérheti az adatkezelőtől a rá vonatkozó műveleti vonatkozású személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.

    (2)   Annak érdekében, hogy az érintett gyakorolni tudja jogait, az adatkezelő az uniós jogban meghatározott konkrét esetekben az (1) bekezdésben említetteken felül tájékoztatja a címzettet:

    a)

    az adatkezelés jogalapjáról;

    b)

    a műveleti vonatkozású személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

    c)

    adott esetben a műveleti vonatkozású személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;

    d)

    szükség esetén további információkról, különösen akkor, ha a műveleti vonatkozású személyes adatok gyűjtésére az érintett tudomása nélkül került sor.

    (3)   Az adatkezelő az érintett (2) bekezdés szerinti tájékoztatását annyiban és addig késleltetheti, korlátozhatja vagy mellőzheti, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

    a)

    ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

    b)

    ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

    c)

    biztosított legyen a tagállamok közbiztonságának védelme;

    d)

    biztosított legyen a tagállamok nemzetbiztonságának védelme;

    e)

    biztosított legyen mások – például a sértettek és a tanúk – jogainak és szabadságainak védelme.

    80. cikk

    Az érintett hozzáférési joga

    Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy műveleti vonatkozású személyes adatait kezelik-e, és ha igen, az érintett jogosult a műveleti vonatkozású személyes adatokhoz és a következő információkhoz hozzáférni:

    a)

    az adatkezelés céljai és jogalapja;

    b)

    az érintett műveleti vonatkozású személyes adatok kategóriái;

    c)

    azon címzettek vagy a címzettek azon kategóriái, akikkel, illetve amelyekkel a műveleti vonatkozású személyes adatokat közölték, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

    d)

    adott esetben a műveleti vonatkozású személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

    e)

    az érintett azon joga, hogy kérheti az adatkezelőtől a rá vonatkozó műveleti vonatkozású személyes adatok helyesbítését, törlését, vagy kezelésének korlátozását;

    f)

    az európai adatvédelmi biztosnál való panaszbenyújtási joga és az európai adatvédelmi biztos elérhetősége;

    g)

    tájékoztatás az adatkezelés tárgyát képező műveleti vonatkozású személyes adatokról és az azok forrására vonatkozó minden elérhető információ.

    8 l. cikk

    A hozzáférési jog korlátozása

    (1)   Az adatkezelő teljesen vagy részlegesen korlátozhatja az érintett hozzáférési jogát annyiban és addig, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

    a)

    ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

    b)

    ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

    c)

    biztosított legyen a tagállamok közbiztonságának védelme;

    d)

    biztosított legyen a tagállamok nemzetbiztonságának védelme;

    e)

    biztosított legyen mások – például a sértettek és a tanúk – jogainak és szabadságainak védelme.

    (2)   Az (1) bekezdésben említett esetekben az adatkezelő írásban és indokolatlan késedelem nélkül tájékoztatja az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha annak nyújtása ellentétes lenne az (1) bekezdésben foglalt valamelyik céllal. Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz. Az adatkezelő nyilvántartja a döntés ténybeli vagy jogi indokait. Ezeket az információkat kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

    82. cikk

    A műveleti vonatkozású személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog

    (1)   Bármely érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan műveleti vonatkozású személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos műveleti vonatkozású személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

    (2)   Az adatkezelő indokolatlan késedelem nélkül törli a műveleti vonatkozású személyes adatokat, az érintett pedig jogosult arra, hogy kérésére a rá vonatkozó műveleti vonatkozású személyes adatokat az adatkezelő indokolatlan késedelem nélkül törölje, ha az adatkezelés sérti a 71. cikket, a 72. cikk (1) bekezdését vagy a 76. cikket, vagy ha a műveleti vonatkozású személyes adatokat az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez törölni kell.

    (3)   Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:

    a)

    az érintett vitatja a személyes adatok pontosságát, és pontosságuk vagy pontatlanságuk nem állapítható meg egyértelműen; vagy

    b)

    a személyes adatokat bizonyítás céljából meg kell őrizni.

    Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.

    A zárolt adatokat csak abból a célból lehet kezelni, amely miatt törlésükre nem kerülhetett sor.

    (4)   Az adatkezelő írásban tájékoztatja az érintettet, ha megtagadja a műveleti vonatkozású személyes adatok helyesbítését, törlését vagy az adatkezelés korlátozását, valamint a megtagadás okairól. Az adatkezelő teljesen vagy részlegesen korlátozhatja az ilyen információk rendelkezésre bocsátását annyiban, amennyiben e korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

    a)

    ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

    b)

    ne szenvedjen sérelmet a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

    c)

    biztosított legyen a tagállamok közbiztonságának védelme;

    d)

    biztosított legyen a tagállamok nemzetbiztonságának védelme;

    e)

    biztosított legyen mások – például a sértettek és a tanúk – jogainak és szabadságainak védelme.

    Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz.

    (5)   Az adatkezelő tájékoztatja a pontatlan műveleti vonatkozású személyes adatok helyesbítéséről azt az illetékes hatóságot, amelytől a műveleti vonatkozású pontatlan személyes adat származik.

    (6)   Ha a műveleti vonatkozású személyes adatokat helyesbítették vagy törölték, illetve az adatkezelést korlátozták az (1), a (2) vagy a (3) bekezdés értelmében, az adatkezelő értesíti a címzetteket, és tájékoztatja őket, hogy saját felelősségi körükön belül kell a műveleti vonatkozású személyes adatokat helyesbíteniük vagy törölniük, illetve azok kezelését korlátozniuk.

    83. cikk

    A hozzáférés joga a bűnügyi nyomozások és büntetőeljárások során

    Ha a műveleti vonatkozású személyes adatok illetékes hatóságtól származnak, az uniós szerveknek, hivataloknak és ügynökségeknek az érintett hozzáférési jogáról való döntést megelőzően ellenőrizniük kell az érintett illetékes hatóságnál, hogy az ilyen személyes adatokat az említett illetékes hatóság tagállamában bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy nyilvántartás vagy ügyirat tartalmazza-e. Amennyiben igen, a hozzáférés jogáról való döntést az érintett illetékes hatósággal konzultálva és vele szoros együttműködésben kell meghozni.

    84. cikk

    Az érintett jogainak gyakorlása és az európai adatvédelmi biztos általi ellenőrzés

    (1)   A 79. cikk (3) bekezdése, a 81. cikk és a 82. cikk (4) bekezdésében említett esetekben az érintett jogainak gyakorlására az európai adatvédelmi biztos közreműködésével is sor kerülhet.

    (2)   Az adatkezelő tájékoztatja az érintettet arról, hogy jogait az (1) bekezdés értelmében az európai adatvédelmi biztos közreműködésével is gyakorolhatja.

    (3)   Az (1) bekezdésben említett jog gyakorlása esetén az európai adatvédelmi biztos az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. Az európai adatvédelmi biztos arról is tájékoztatja az érintettet, hogy joga van bírósági jogorvoslatért a Bírósághoz fordulni.

    85. cikk

    Beépített és alapértelmezett adatvédelem

    (1)   Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben és az adatkezelőt létrehozó jogi aktusban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

    (2)   Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan műveleti vonatkozású személyes adatok kezelésére kerüljön sor, amelyek megfelelőek, relevánsak és nem lépik túl az adatkezelés céljához szükséges mértéket. Ez a kötelezettség vonatkozik a gyűjtött műveleti vonatkozású személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a műveleti vonatkozású személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.

    86. cikk

    Közös adatkezelők

    (1)   Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézményektől és szervektől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 79. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

    (2)   Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettel szembeni szerepét és a vele való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

    (3)   Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában vagy mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

    87. cikk

    Az adatfeldolgozó

    (1)   Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet és az adatkezelőt létrehozó jogi aktus követelményeinek való megfelelését és az érintett jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

    (2)   Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

    (3)   Az adatfeldolgozó által végzett adatkezelést – az adatkezelés tárgyát, időtartamát, jellegét és célját, a műveleti vonatkozású személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – olyan szerződésnek vagy olyan uniós vagy a tagállami jog szerinti más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

    a)

    csak az adatkezelő utasítása alapján jár el;

    b)

    biztosítja azt, hogy a műveleti vonatkozású személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló, megfelelő titoktartási kötelezettség alatt állnak;

    c)

    minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;

    d)

    az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden műveleti vonatkozású személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós jog vagy a tagállami jog a műveleti vonatkozású személyes adatok tárolását írja elő;

    e)

    az e cikkben meghatározott kötelezettségek teljesítésének bizonyításához szükséges minden információt az adatkezelő rendelkezésére bocsát;

    f)

    teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) bekezdésben és az e bekezdésben említett feltételeket.

    (4)   A (3) bekezdésben említett szerződést vagy más jogi aktust írásba – ideértve az elektronikus formátumot is – kell foglalni.

    (5)   Ha egy adatfeldolgozó e rendeletet vagy az adatkezelőt létrehozó jogi aktust sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor az adatfeldolgozót az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

    88. cikk

    Naplózás

    (1)   Az adatkezelő naplót vezet az automatizált adatkezelési rendszerben végrehajtott következő adatkezelési műveletekről: a műveleti vonatkozású személyes adatok gyűjtése, megváltoztatása, az azokat érintő hozzáférés, betekintés, azok közlése – ideértve a továbbítást is –, összekapcsolása és törlése. A betekintésre és a közlésre vonatkozó naplóknak lehetővé kell tenniük e műveletek indokoltságának, dátumának és időpontjának, valamint a műveleti vonatkozású személyes adatba betekintők vagy azt közlők személyazonosságának, illetve – lehetőség szerint – az ilyen műveleti vonatkozású személyes adatok címzettjei személyazonosságának a megállapítását.

    (2)   A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, a műveleti vonatkozású személyes adatok integritásának és biztonságának biztosítására, valamint büntetőeljárások keretében használhatók fel. Az ilyen naplókat három év elteltével törölni kell, kivéve, ha azokra folyamatban lévő ellenőrzés céljából továbbra is szükség van.

    (3)   Az adatkezelők kérésre a naplókat saját adatvédelmi tisztviselőjük és az európai adatvédelmi biztos rendelkezésére bocsátják.

    89. cikk

    Adatvédelmi hatásvizsgálat

    (1)   Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a műveleti vonatkozású személyes adatok védelmét hogyan érintik.

    (2)   Az (1) bekezdésben említett hatásvizsgálatnak ki kell terjednie legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelését célzó tervezett intézkedésekre, a műveleti vonatkozású személyes adatok védelmét és az adatvédelmi szabályoknak való megfelelés igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákra, biztonsági intézkedésekre és mechanizmusokra.

    90. cikk

    Előzetes egyeztetés az európai adatvédelmi biztossal

    (1)   Az adatkezelő konzultál az európai adatvédelmi biztossal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:

    a)

    a 89. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy

    b)

    az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.

    (2)   Az európai adatvédelmi biztos létrehozhat egy listát azokról az adatkezelési műveletekről, amelyek az (1) bekezdés értelmében előzetes konzultáció tárgyát képezik.

    (3)   Az adatkezelő az európai adatvédelmi biztos rendelkezésére bocsátja a 89. cikkben említett adatvédelmi hatásvizsgálatot, valamint kérésre az összes olyan egyéb információt, amely lehetővé teszi az európai adatvédelmi biztos számára az adatkezelés megfelelőségének, valamint különösen az érintett műveleti vonatkozású személyes adatainak védelmére vonatkozó kockázatoknak és a kapcsolódó garanciáknak a vizsgálatát.

    (4)   Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdésben említett tervezett adatkezelés megsértené e rendeletet vagy az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktust – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított legfeljebb hat héten belül írásban tanácsot ad az adatkezelőnek. Ez a határidő – a tervezett adatkezelés összetettségétől függően – egy hónappal meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt a meghosszabbításról és a késedelem okairól.

    91. cikk

    A műveleti vonatkozású személyes adatok kezelésének biztonsága

    (1)   Az adatkezelő a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot biztosítson, különösen a műveleti vonatkozású személyes adatok különleges kategóriáinak kezelését illetően.

    (2)   Az automatizált adatkezelés tekintetében az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően intézkedéseket tesz a következő célok érdekében:

    a)

    a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez („berendezésekhez való hozzáférés ellenőrzése”);

    b)

    az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása („adathordozók ellenőrzése”);

    c)

    a műveleti vonatkozású személyes adatok jogosulatlan bevitelének, valamint a tárolt műveleti vonatkozású személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása („tárolás ellenőrzése”);

    d)

    az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása „(felhasználók ellenőrzése”);

    e)

    annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek csak a hozzáférési engedélyben meghatározott műveleti vonatkozású személyes adatokhoz férjenek hozzá („az adatokhoz való hozzáférés ellenőrzése”);

    f)

    annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a műveleti vonatkozású személyes adatokat adatátvitel útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre („adatátvitel ellenőrzése”);

    g)

    annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely műveleti vonatkozású személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a műveleti vonatkozású személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);

    h)

    a műveleti vonatkozású személyes adatok jogosulatlan leolvasásának, másolásának, módosításának vagy törlésének megakadályozása a műveleti vonatkozású személyes adatok továbbítása vagy az adathordozók szállítása során („szállítás ellenőrzése”);

    i)

    annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók legyenek („helyreállítás”);

    j)

    annak biztosítása, hogy a rendszer teljesítse feladatait, hogy a feladatok során fellépő hibákról jelentés készüljön („megbízhatóság”), és hogy a tárolt műveleti vonatkozású személyes adatok a rendszer hibás működése esetén ne sérüljenek („integritás”).

    92. cikk

    Az adatvédelmi incidens bejelentése az európai adatvédelmi biztosnak

    (1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

    (2)   Az (1) bekezdésben említett bejelentésben legalább:

    a)

    ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett műveleti vonatkozású személyes adatok kategóriáit és hozzávetőleges számát;

    b)

    közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit;

    c)

    ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

    d)

    ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

    (3)   Ha és amennyiben nem lehetséges a (2) bekezdésben említett információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

    (4)   Az adatkezelő nyilvántartja az (1) bekezdésben említett összes adatvédelmi incidenst, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikk követelményeinek való megfelelést.

    (5)   Ha az adatvédelmi incidens során olyan műveleti vonatkozású személyes adat sérült, amelyet az illetékes hatóságok továbbítottak, vagy amelyet részükre továbbítottak, az adatkezelőnek a (2) bekezdésben említett információkat indokolatlan késedelem nélkül közölnie kell az érintett illetékes hatóságokkal.

    93. cikk

    Az érintett tájékoztatása az adatvédelmi incidensről

    (1)   Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

    (2)   Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 92. cikk (2) bekezdésének b), c) és d) pontjában előírt információkat és ajánlásokat.

    (3)   Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

    a)

    az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett műveleti vonatkozású személyes adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – például a titkosítást –, amelyek a műveleti vonatkozású személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

    b)

    az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogait és szabadságait érintő, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

    c)

    a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

    (4)   Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

    (5)   Az érintettnek az e cikk (1) bekezdésében említett tájékoztatása a 79. cikk (3) bekezdésében említett feltételekkel és okokból késleltethető, korlátozható vagy elhagyható.

    94. cikk

    Műveleti vonatkozású személyes adatok továbbítása harmadik országoknak és nemzetközi szervezeteknek

    (1)   Az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban megállapított korlátozások és feltételek mellett az adatkezelő továbbíthat műveleti vonatkozású személyes adatokat egy harmadik országbeli hatóságnak vagy egy nemzetközi szervezetnek, amennyiben e továbbítás az adatkezelő feladatainak ellátásához szükséges, és csak akkor, ha az e cikkben rögzített következő feltételek teljesülnek:

    a)

    a Bizottság az (EU) 2016/680 irányelv 36. cikkének (3) bekezdésével összhangban megfelelőségi határozatot fogadott el arról, hogy a harmadik ország vagy a harmadik országon belüli terület vagy adatkezelő ágazat, vagy az érintett nemzetközi szervezet megfelelő szintű védelmet biztosít;

    b)

    a Bizottság a) pont szerinti megfelelőségi határozatának hiányában az Unió és a harmadik ország vagy nemzetközi szervezet által az EUMSZ 218. cikke értelmében nemzetközi megállapodás jött létre, amely megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme tekintetében;

    c)

    a Bizottság a) pont szerinti megfelelőségi határozatának vagy a b) pont szerinti nemzetközi megállapodásnak hiányában együttműködési megállapodást kötöttek meg, amely lehetővé teszi a műveleti vonatkozású személyes adatok cseréjét az adott uniós szerv, hivatal vagy ügynökség és az érintett harmadik ország között az érintett uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktus alkalmazásának kezdőnapja előtt;

    (2)   Az uniós szerveket, hivatalokat és ügynökségeket létrehozó jogi aktus fenntarthatja a műveleti vonatkozású személyes adatok nemzetközi továbbításának feltételeire vonatkozó rendelkezéseket, vagy részletesebb rendelkezéseket vezethet be, különösen a személyes adatok továbbítására vonatkozóan megfelelő garanciák és a konkrét helyzetekre vonatkozó eltérések bevezetésével.

    (3)   Az adatkezelő a honlapján olyan jegyzéket tesz közzé és tart naprakészen, amely tartalmazza az (1) bekezdés a) pontjában említett megfelelőségi határozatokat, a megállapodásokat, az igazgatási megállapodásokat, valamint a műveleti vonatkozású személyes adatoknak az (1) bekezdéssel összhangban történő továbbítására vonatkozó egyéb jogi eszközöket.

    (4)   Az adatkezelő részletesen dokumentálja az ezen cikk értelmében végzett összes adattovábbítást.

    95. cikk

    Az igazságügyi vizsgálatok és a büntetőeljárások titkossága

    Az uniós szerveket, hivatalokat vagy ügynökségeket létrehozó jogi aktusok az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése tekintetében előírhatják az európai adatvédelmi biztos számára, hogy felügyeleti hatáskörének gyakorlása során az uniós vagy tagállami joggal összhangban a lehető legnagyobb mértékben vegye figyelembe az igazságügyi vizsgálatok és a büntetőeljárások titkosságát.

    X. FEJEZET

    VÉGREHAJTÁSI JOGI AKTUSOK

    96. cikk

    A bizottsági eljárás

    (1)   A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

    (2)   Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

    XI. FEJEZET

    FELÜLVIZSGÁLAT

    97. cikk

    Felülvizsgálatra vonatkozó rendelkezés

    A Bizottság legkésőbb 2022. április 30-ig, és azt követően ötévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet alkalmazásáról, szükség esetén megfelelő jogalkotási javaslatokkal együtt.

    98. cikk

    Uniós jogi aktusok felülvizsgálata

    (1)   A Bizottság 2022. április 30-ig felülvizsgálja azokat a Szerződések alapján elfogadott jogi aktusokat, amelyek a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelését szabályozzák annak érdekében, hogy

    a)

    értékelje az (EU) 2016/680 irányelvvel és e rendelet IX. fejezetével való egységességet;

    b)

    azonosítsa azokat az eltéréseket, amelyek akadályozhatják a műveleti vonatkozású személyes adatoknak az adott területhez tartozó tevékenységeket végző uniós szervek, hivatalok vagy ügynökségek és az illetékes hatóságok közötti cseréjét; és

    c)

    azonosítsa azokat az eltéréseket, amelyek az uniós adatvédelmi jogszabályok széttagoltságát okozhatják.

    (2)   E felülvizsgálat alapján a természetes személyeknek az adatkezelés tekintetében történő egységes és következetes védelme érdekében a Bizottság, különösen e rendelet IX. fejezetének az Europolra és az Európai Ügyészségre való alkalmazása – ideértve e rendelet IX. fejezetének szükség szerinti kiigazítását is – érdekében megfelelő jogalkotási javaslatokat terjeszthet elő.

    XII. FEJEZET

    ZÁRÓ RENDELKEZÉSEK

    99. cikk

    A 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezése

    A 45/2001/EK rendelet és az 1247/2002/EK határozat 2018. december 11-ével kezdődően hatályát veszti. A hatályon kívül helyezett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.

    100. cikk

    Átmeneti intézkedések

    (1)   Ez a rendelet nem érinti a 2014/886/EU európai parlamenti és tanácsi határozatot (20), valamint az európai adatvédelmi biztos és a helyettes biztos jelenlegi megbízatását.

    (2)   A helyettes biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott más díjazások meghatározása tekintetében a Bíróság hivatalvezetőjével egyenrangúnak tekintendő.

    (3)   A jelenlegi helyettes biztosra e rendelet 53. cikkének (4), (5) és (7) bekezdését, valamint 55. és 56. cikkét hivatali ideje végéig kell alkalmazni.

    (4)   A helyettes biztos a jelenlegi helyettes biztos hivatali idejének lejártáig segíti az európai adatvédelmi biztost a feladatai ellátásában, és helyettesíti az európai adatvédelmi biztost a távolléte vagy akadályoztatása esetén.

    101. cikk

    Hatálybalépés és alkalmazás

    (1)   Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

    (2)   E rendelet azonban 2019. december 12. [a pe-cons 37/2018 dokumentumban található rendelet alkalmazásának időpontja] -tól/-től alkalmazandó a személyes adatok Eurojust által végzett kezelésére.

    Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

    Kelt Strasbourgban, 2018. október 23-án.

    az Európai Parlament részéről

    az elnök

    A. TAJANI

    a Tanács részéről

    az elnök

    K. EDTSTADLER


    (1)  HL C 288., 2017.8.31., 107. o.

    (2)  Az Európai Parlament 2018. szeptember 13-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2018. október 11-i határozata.

    (3)  Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

    (4)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

    (5)  Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).

    (6)  A Tanács 93/13/EGK irányelve (1993. április 5.) a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről (HL L 95., 1993.4.21., 29. o.).

    (7)  Az Európai Parlament és a Tanács 1338/2008/EK rendelete (2008. december 16.) a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.).

    (8)  Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).

    (9)  Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).

    (10)  HL L 56., 1968.3.4., 1. o.

    (11)  Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

    (12)  Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről (HL L 87., 2009.3.31., 164. o.).

    (13)  Az Európai Parlament, a Tanács és a Bizottság 1247/2002/EK határozata (2002. július 1.) az európai adatvédelmi biztos feladatainak ellátására vonatkozó szabályokról és általános feltételekről (HL L 183., 2002.7.12., 1. o.).

    (14)  HL C 164., 2017.5.24., 2. o.

    (15)  Az Európai Parlament és a Tanács (EU) 2016/794 rendelete (2016. május 11.) a Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, a 2009/934/IB, a 2009/935/IB, a 2009/936/IB és a 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről (HL L 135., 2016.5.24., 53. o.).

    (16)  A Tanács (EU) 2017/1939 rendelete (2017. október 12.) az Európai Ügyészség létrehozására vonatkozó megerősített együttműködés bevezetéséről (HL L 283., 2017.10.31., 1. o.).

    (17)  Az Európai Parlament és a Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.).

    (18)  A Bizottság 2008/63/EK irányelve (2008. június 20.) a távközlési végberendezések piacán folyó versenyről (HL L 162., 2008.6.21., 20. o.).

    (19)  A Tanács 2009/917/IB határozata (2009. november 30.) az információs technológia vámügyi alkalmazásáról (HL L 323., 2009.12.10., 20. o.).

    (20)  Az Európai Parlament és a Tanács 2014/886/EU határozata (2014. december 4.) az európai adatvédelmi biztos és a helyettes biztos kinevezéséről (HL L 351., 2014.12.9., 9. o.).


    Top