Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0680

Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

HL L 119., 2016.5.4, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

ELI: http://data.europa.eu/eli/dir/2016/680/oj

4.5.2016   

HU

Az Európai Unió Hivatalos Lapja

L 119/89


AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/680 IRÁNYELVE

(2016. április 27)

a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel a Régiók Bizottságának véleményére (1),

rendes jogalkotási eljárás keretében (2),

mivel:

(1)

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2)

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelméhez kapcsolódó alapelvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen ami a személyes adataik védelméhez való jogukat illeti. Ez az irányelv szándékoltan hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez.

(3)

A gyors technológiai fejlődésből és a globalizációból adódóan a személyes adatok védelme új kihívásokkal néz szembe. A személyes adatok gyűjtésének és megosztásának mértéke jelentősen megnövekedett. A technológia a személyes adatok minden eddiginél nagyobb mértékű kezelését teszi lehetővé olyan tevékenységek végzése érdekében is, mint a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása.

(4)

Ennek érdekében elő kell segíteni az Unión belül az illetékes hatóságok között a személyes adatok szabad áramlását a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása – többek között az Unión belül a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából, valamint az ilyen személyes adatoknak a harmadik országok és nemzetközi szervezetek részére történő továbbítását, biztosítva egyúttal a személyes adatok magas szintű védelmét. Ezek a fejlemények a személyes adatok védelmére vonatkozó szilárd és következetesebb keret létrehozását teszik szükségessé az Unióban, amelyet a szabályok szigorú betartatása kísér.

(5)

A 95/46/EK európai parlamenti és tanácsi irányelv (3) alkalmazandó a személyes adatoknak a tagállamokban mind a közszférában, mind a magánszférában végzett valamennyi kezelésére. Az említett irányelv mindazonáltal nem vonatkozik a személyes adatoknak a közösségi jog hatályán kívül eső tevékenységek során – így például a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés terén folytatott tevékenységek során – végzett kezelésére.

(6)

A büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területeire a 2008/977/IB tanácsi kerethatározatot (4) kell alkalmazni. E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok kezelésére korlátozódik.

(7)

A büntetőügyekben folytatott hatékony igazságügyi együttműködés és rendőrségi együttműködés biztosítása érdekében alapvető fontosságú a természetes személyek személyes adatainak következetes és magas szintű védelme, valamint a tagállamok illetékes hatóságai között a személyes adatok cseréjének elősegítése. Ebből a célból az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – érdekében végzett személyesadat-kezeléssel összefüggésben a természetes személyek jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A személyes adatok Unió egészére kiterjedő hatékony védelme érdekében mind az érintettek jogait, mind a személyes adatok kezelőinek kötelezettségeit megerősíteni szükséges, valamint a tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatásköröket kell biztosítani.

(8)

Az EUMSZ 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályok megállapítására.

(9)

Ennek alapján az (EU) 2016/679 európai parlamenti és tanácsi rendelet (5) (általános adatvédelmi rendelet) általános szabályokat határoz meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme, valamint az ilyen adatok Unión belüli szabad áramlásának biztosítása céljából.

(10)

A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé.

(11)

Ezért helyénvaló, hogy e területek szabályozása irányelvben történjen, amelyben meg kell határozni azokat a különleges szabályokat, amelyek a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából az illetékes hatóságok általi kezelése tekintetében a természetes személyek védelmére vonatkoznak, tiszteletben tartva e tevékenységek jellegét. Az ilyen illetékes hatóságok körébe nemcsak olyan közhatalmi szervek tartozhatnak, mint az igazságügyi hatóságok, a rendőrség vagy egyéb bűnüldöző hatóságok, hanem bármely egyéb olyan szerv vagy jogalany is, amely a tagállami jog alapján ezen irányelv alkalmazása céljából közfeladatokat lát el és közhatalmi jogosítványokat gyakorol. Ha azonban ez a szerv vagy jogalany ezen irányelv céljaitól eltérő célból kezel személyes adatokat, akkor az (EU) 2016/679 rendeletet kell alkalmazni. A (EU) 2016/679 rendeletet kell éppen ezért az alkalmazni azokban az esetekben, amikor valamely szerv vagy jogalany egyéb célból gyűjt és kezel tovább személyes adatokat annak érdekében, hogy egy rá vonatkozó jogi kötelezettséget teljesítsen. Így például bűncselekmények nyomozása, felderítése és a vádeljárás lefolytatása céljából a pénzügyi intézmények bizonyos általuk kezelt személyes adatokat megőriznek, és azokat kizárólag meghatározott esetekben és a tagállami joggal összhangban az illetékes nemzeti hatóságok részére szolgáltatják. Azokat a szerveket vagy jogalanyokat, amelyek az említett hatóságok nevében ezen irányelv hatályán belül kezelnek személyes adatokat, szerződés vagy egyéb jogi aktus és az ezen irányelv alapján az adatfeldolgozókra alkalmazandó rendelkezések kötelezik, az adatfeldolgozó által ezen irányelv hatályán kívül végzett személyes adatok kezelése tekintetében azonban változatlanul az (EU) 2016/679 rendelet alkalmazandó.

(12)

A rendőrség vagy egyéb bűnüldöző szervek által végzett tevékenységek középpontjában elsősorban a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása áll, ideértve az annak előzetes ismerete nélkül végzett rendőri tevékenységeket is, hogy egy adott eset bűncselekménynek minősül-e. Az ilyen tevékenységek magukban foglalhatják a hatósági jogkör kényszerintézkedések alkalmazásával történő gyakorlását is, így például a tüntetések, jelentős sportesemények és zavargások során végzett rendőrségi tevékenységet is. Ide tartozik továbbá a rendőrségre és egyéb bűnüldöző szervekre ruházott feladatként a közrend és közbiztonság fenntartása annak érdekében, hogy adott esetben védelmet biztosítsanak a közbiztonságot és a jog által védett alapvető társadalmi érdekeket fenyegető – esetleg bűncselekmény elkövetéséhez is vezető – veszélyekkel szemben, és megelőzzék e veszélyeket. A tagállamok megbízhatják az illetékes hatóságokat olyan egyéb feladatokkal is, amelyeknek ellátása nem feltétlenül a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából történik, és ebben az esetben az említett egyéb célokból történő, egyébiránt az uniós jog hatálya alá tartozó személyesadat-kezelés az (EU) 2016/679 rendelet hatálya alá tartozik.

(13)

A bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága (a továbbiakban: Bíróság) általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül.

(14)

Mivel ez az irányelv nem alkalmazandó a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek keretében végzett kezelésére, a nemzetbiztonsággal kapcsolatos tevékenységek, a nemzetbiztonsági ügyekkel foglalkozó ügynökségek vagy egységek tevékenységei, valamint a tagállamok által az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzett személyesadat-kezelés nem tekinthető az ezen irányelv hatálya alá tartozó tevékenységnek.

(15)

Annak érdekében, hogy a természetes személyek az Unió egész területén azonos szintű védelemben részesüljenek jogi úton érvényesíthető jogok révén, valamint azt megelőzendő, hogy az illetékes hatóságok között a személyes adatok cseréjét akadályozó eltérések kialakuljanak, ennek az irányelvnek harmonizált szabályokat kell meghatároznia a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából kezelt személyes adatok védelme és szabad áramlása tekintetében. A tagállamok jogszabályainak közelítése nem vezethet a személyes adatok általuk nyújtott védelmi szintjének csökkenéséhez, hanem ellenkezőleg, e jogközelítés révén az Unión belül magas védelmi szintet kell biztosítani. A tagállamok számára nem tiltható meg, hogy a személyes adatok illetékes hatóságok általi kezelése vonatkozásában az érintett jogainak és szabadságainak védelme érdekében az ezen irányelvben megállapítottnál magasabb szintű garanciákról rendelkezzenek.

(16)

Ez az irányelv nem sértheti a hivatalos iratokhoz való nyilvános hozzáférés elvét. Az (EU) 2016/679 rendelet értelmében a közhatalmi szervek, illetve egyéb, közfeladatot ellátó vagy magánfél szervek az olyan hivatalos dokumentumokban szereplő személyes adatokat, amelyek közérdekű feladat teljesítése érdekében vannak birtokukban, az uniós joggal vagy az említett szervre vonatkozó tagállami joggal összhangban nyilvánosságra hozhatják annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztessék a személyes adatok védelméhez való joggal.

(17)

A természetes személyeket a személyes adataik kezelésével kapcsolatban ezen irányelv által nyújtott védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti.

(18)

A komoly szabálykerülési kockázat veszélyének elkerülése érdekében, a természetes személyek védelmének technológiailag semlegesnek kell lennie, és nem függhet az alkalmazott technikai megoldásoktól. A természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a személyes adatok manuális kezelésére is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak ezen irányelv hatálya alá.

(19)

A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére a 45/2001/EK európai parlamenti és tanácsi rendelet (6) vonatkozik. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat hozzá kell igazítani az (EU) 2016/679 rendelettel megállapított alapelvekhez és szabályokhoz.

(20)

Ez az irányelv nem gátolja meg a tagállamokat abban, hogy a nemzeti büntetőeljárási szabályaikban pontosabban meghatározzák a bíróságok és egyéb igazságügyi hatóságok által végzett személyes adatok kezelésével kapcsolatos adatkezelési műveleteket és adatkezelési eljárásokat, különösen ami a bírósági határozatokban és jegyzőkönyvekben szereplő személyes adatokat illeti.

(21)

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Egy természetes személy azonosíthatóságának megállapításakor minden olyan eszközt figyelembe kell venni – ideértve például a megjelölést –, amelyet az adatkezelő vagy más személy észszerűen feltételezhető módon alkalmaz a természetes személy közvetlen vagy közvetett azonosítására. Annak megállapításakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják alkalmazni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló tudomány és technológia állását. Az adatvédelem elvei ennek megfelelően nem alkalmazhatók az anonim információkra, vagyis az olyan információkra, amelyek nem azonosított vagy nem azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, hogy annak következtében az érintett többé nem azonosítható be.

(22)

Azok a közhatalmi szervek, amelyekkel hivatalos feladataikkal kapcsolatos jogi kötelezettségeik keretében személyes adatokat közölnek, így például az adó- és vámhatóságok, a pénzügyi nyomozóegységek, a független közigazgatási hatóságok, valamint az értékpapírpiacok szabályozásáért és felügyeletéért felelős pénzügyi hatóságok, nem tekinthetők címzettnek, amikor olyan személyes adatokat kapnak, amelyek az uniós vagy a tagállami jog alapján egy konkrét közérdekű vizsgálat lefolytatásához szükségesek. A közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, minden esetben írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását. A személyes adatok kezelése során e közhatalmi szerveknek be kell tartaniuk az adatkezelés céljának megfelelő, alkalmazandó adatvédelmi szabályokat.

(23)

A genetikai adatot olyan, a természetes személy örökölt vagy szerzett genetikai jellemzőivel összefüggő személyes adatként célszerű meghatározni, amely az adott természetes személy fiziológiájára vagy egészségi állapotára vonatkozóan egyedi információt hordoz, és amely az adott természetes személy biológiai mintája elemzésének, így kromoszómaelemzésnek, illetve a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, vagy az ezekből kinyerhető információkkal egyenértékű információk kinyerését lehetővé tevő bármilyen más elem vizsgálatának az eredménye. A genetikai információk összetettségére és érzékenységére figyelemmel jelentős a kockázata annak, hogy az adatkezelő visszaél az ilyen információkkal, és különböző célokra újra felhasználja azokat. A genetikai jellemzők alapján történő bármilyen megkülönböztetés tilos.

(24)

Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotára. Ide értendőek a természetes személyre vonatkozó olyan személyes adatok, amelyeket a 2011/24/EU európai parlamenti és tanácsi irányelvben (7) említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel és ezen szolgáltatások nyújtása során gyűjtöttek; a természetes személy kizárólag egészségügyi célokból történő azonosítása érdekében a hozzá rendelt szám, jel vagy adat; a valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; és bármilyen, például az érintett betegségével, fogyatékával, betegségkockázatával, kórtörténetével, kórházi kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

(25)

Valamennyi tagállam tagsággal rendelkezik a Nemzetközi Bűnügyi Rendőrség Szervezetben (Interpol). Az Interpol feladatának teljesítése céljából személyes adatokat kap, tárol és továbbít az illetékes hatóságoknak, hogy támogassa őket a nemzetközi bűnözés megelőzésében és a nemzetközi bűnözés ellen folytatott küzdelemben. Indokolt ezért megerősíteni az Unió és az Interpol közötti együttműködést a személyes adatok hatékony cseréjének előmozdításával, biztosítva ugyanakkor a személyes adatok automatikus kezelésével kapcsolatban az alapvető jogok és szabadságok tiszteletben tartását. Ezt az irányelvet – különös tekintettel ennek az irányelvnek a nemzetközi adattovábbításra vonatkozó rendelkezéseit – kell alkalmazni akkor, ha az Unióból személyes adatokat továbbítanak az Interpolnak vagy az Interpolban megbízott tagokkal rendelkező országoknak. Ez az irányelv nem érintheti a 2005/69/IB tanácsi közös álláspontban (8), valamint a 2007/533/IB tanácsi határozatban (9) meghatározott egyedi szabályokat.

(26)

A személyes adatok kezelésének minden esetben jogszerűnek, tisztességesnek és átláthatónak kell lennie az említett természetes személyek vonatkozásában, és arra csak jogszabályban meghatározott konkrét célokból kerülhet sor. Ez önmagában nem akadályozza meg a bűnüldöző szerveket az olyan tevékenységek végzésében, mint például a fedett nyomozás vagy a videokamerás megfigyelés. Ilyen tevékenységek a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végezhetők, ha jogszabályon alapulnak és – kellő tekintettel az említett természetes személyek jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősülnek. A tisztességes adatkezelés elve – mint adatvédelmi elv – a tisztességes eljáráshoz való jognak a Charta 47. cikkében és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény (EJEE) 6. cikkében meghatározott fogalmától elkülönülő fogalom. A természetes személyt tájékoztatni kell a személyes adatai kezelésével járó kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy hogyan élhet az adatkezeléssel kapcsolatban őt megillető jogokkal. A személyes adatok kezelése konkrét céljainak már a személyes adatok gyűjtésének időpontjában kifejezettnek és jogszerűnek, továbbá meghatározottnak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasnak és relevánsnak kell lenniük. Biztosítani kell különösen azt, hogy a gyűjtött személyes adatok mennyisége ne legyen túlzott mértékű, és az adatokat csak az adatkezelés célja szempontjából szükséges ideig tárolják. Személyes adatokat abban az esetben lehet csak kezelni, ha az adatkezelés célját egyéb eszközzel nem lehetséges észszerű módon elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelőnek törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania. A tagállamok megfelelő garanciákat kell, hogy megállapítanak arra az esetre, ha a személyes adatokat közérdekű archiválás céljából, tudományos, statisztikai vagy történelmi felhasználás céljából tovább tárolják.

(27)

A bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása érdekében szükséges, hogy az illetékes hatóságok azokat a személyes adatokat, amelyeket konkrét bűncselekmények megelőzésével, nyomozásával, felderítésével vagy üldözésével összefüggésben gyűjtöttek, ennél szélesebb összefüggésben is kezeljék annak érdekében, hogy megértsék a bűnözői tevékenységeket és a különböző felderített bűncselekmények közötti összefüggéseket feltárják.

(28)

Az adatkezelés biztonságának fenntartása kapcsán és az ezen irányelvet sértő adatkezelés megelőzése érdekében a személyes adatokat oly módon kell kezelni, hogy biztosított legyen a megfelelő szintű biztonság és bizalmas kezelés – többek között megakadályozva a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférést, valamint az említett adatok és eszközök jogosulatlan felhasználását –, amely figyelembe veszi a tudomány és technológia állását, azt, hogy a megvalósítási költségek hogyan viszonyulnak a kockázatokhoz, valamint a védelmet igénylő személyes adatok jellegét.

(29)

A személyes adatokat az ezen irányelv hatálya alá tartozó, meghatározott, egyértelmű és jogszerű célokból lehet gyűjteni, és azokat a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljával össze nem egyeztethető módon kezelni nem lehet. Ha a személyes adatok kezelését azonos vagy más adatkezelő az ezen irányelv hatálya alá tartozó olyan célból végzi, amely eltér attól a céltól, amelyre az adatgyűjtés eredetileg irányult, az ilyen adatkezelést azzal a feltétellel lehetővé kell tenni, hogy az ilyen adatkezelésre a vonatkozó jogi rendelkezések megfelelő felhatalmazást adnak, továbbá az adatkezelés az említett eltérő cél szempontjából szükséges és arányos.

(30)

Az adott adatkezelés jellegére és céljára tekintettel kell az adatok pontosságának elvét alkalmazni. Különösen a bírósági eljárásokban a személyes adatokat tartalmazó nyilatkozatok a természetes személy szubjektív megítélésén alapulnak, amelyek nem mindig visszaellenőrizhetők. A pontosság követelménye következésképpen nem a nyilatkozat pontosságára, hanem pusztán arra a tényre vonatkozik, hogy egy adott nyilatkozat megtételére sor került.

(31)

A személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén történő kezelésével együtt jár, hogy az érintettek különböző kategóriáira vonatkozó személyes adatok kezelésére kerül sor. Ezért – amennyire lehetséges és kivitelezhető – egyértelműen különbséget kell tenni az érintettek különböző kategóriáihoz tartozó személyes adatok között, így a bűncselekmények elkövetésével gyanúsított vagy amiatt elítélt személyekre, az áldozatokra, illetve egyéb érintett felekre, például tanúkra, fontos információk birtokosaira vagy a gyanúsítottak és az elítélt bűnelkövetők kapcsolataira és bűntársaira vonatkozó személyes adatok között. Ez nem akadályozhatja az ártatlanság vélelméhez való jognak a Chartában és az EEJE-ben garantált módon történő alkalmazását, a Bíróság ítélkezési gyakorlata, illetve az Emberi Jogok Európai Bírósága szerinti értelmezéssel összhangban.

(32)

Az illetékes hatóságoknak biztosítaniuk kell, hogy pontatlan, hiányos vagy már nem naprakész személyes adatok ne legyenek továbbíthatók vagy hozzáférhetővé tehetők. Annak érdekében, hogy biztosítsák a természetes személyek védelmét, a továbbított vagy hozzáférhetővé tett személyes adatok pontosságát, teljességét, illetve naprakész jellegét és megbízhatóságát, az illetékes hatóságoknak a személyes adatok továbbításakor a szükséges kiegészítő információkat is meg kell küldeniük.

(33)

Ha ez az irányelv tagállami jogra, jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent – az érintett tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül – valamely parlament által elfogadott jogalkotási eszközt. Mindazonáltal a tagállami jognak, jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazása szempontjából pedig kiszámíthatónak kell lennie az érintettek számára, amint azt a Bíróságnak és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlata megköveteli. A személyes adatok ezen irányelv hatálya alá tartozó kezelését szabályozó tagállami jogban rendelkezni kell legalább a célokról, a kezelendő személyes adatokról, az adatkezelés céljairól, a személyes adatok integritásának és bizalmas jellegének megóvásáról, valamint a személyes adatok megsemmisítésére irányuló eljárásokról, így biztosítva a megfelelő garanciákat az adatokkal való visszaélésnek és az adatok önkényes felhasználásának a kockázata ellen.

(34)

A bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából az illetékes hatóságok által végzett személyesadat-kezelés fogalommeghatározása magában foglalja a személyes adatokon vagy adatállományokon automatizált vagy más módon az említett célokból végzett bármely műveletet vagy műveletek összességét, például a gyűjtést, a rögzítést, a rendszerezést, a tagolást, a tárolást, az átalakítást vagy megváltoztatást, a lekérdezést, a betekintést, a felhasználást, az összehangolást vagy összekapcsolást, az adatkezelés korlátozását, a törlést, illetve megsemmisítést. Így különösen ennek az irányelvnek a szabályai alkalmazandók abban az esetben, ha a személyes adatokat ezen irányelv alkalmazásában olyan címzettnek továbbítják, aki vagy amely nem tartozik ennek az irányelvnek a hatálya alá. Az ilyen címzett fogalma magában foglalja azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely más szervet, akivel vagy amellyel az illetékes hatóság a személyes adatokat jogszerűen közli. Ha a személyes adatokat eredetileg valamely illetékes hatóság gyűjtötte az ezen irányelvben foglalt valamelyik cél érdekében, az (EU) 2016/679 rendeletet kell alkalmazni az említett adatoknak az ezen irányelvben foglalt céloktól eltérő célból történő kezelésére, feltéve, hogy az említett adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Kiváltképpen az (EU) 2016/679 rendeletbe foglalt szabályok alkalmazandók abban az esetben, ha a személyes adatokat az ezen irányelv hatálya alá nem tartozó célokból továbbítják. A személyes adatok olyan címzett által végzett kezelésére, aki vagy amely nem minősül illetékes hatóságnak, illetve nem az ezen irányelv értelmében vett ilyen hatóságként jár el, és akivel vagy amellyel egy illetékes hatóság jogszerűen személyes adatokat közöl, az (EU) 2016/679 rendelet alkalmazandó. Ezenkívül az (EU) 2016/679 rendeletben megállapított feltételek mellett a tagállamok ezen irányelv végrehajtásakor tovább pontosíthatják a rendeletben foglalt szabályok alkalmazását.

(35)

Ahhoz, hogy jogszerű legyen, az ezen irányelv szerinti személyesadat-kezelésnek olyan feladat ellátásához kell szükségesnek lennie, amelyet valamely illetékes hatóság közérdekből, uniós vagy tagállami jog alapján a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végez, ideértve az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges adatkezelést is. Mivel a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása feladatának ellátását a jog intézményesen ruházza az illetékes hatóságokra, azok elrendelhetik vagy megkövetelhetik a természetes személyektől kérésük teljesítését. Ilyen esetben az érintettnek az (EU) 2016/679 rendeletben meghatározott értelemben vett hozzájárulása nem szolgálhat jogalapul a személyes adatok illetékes hatóságok általi kezeléséhez. Ha az érintett jogi kötelezettséget teljesít, nincs valós és szabad választási lehetősége, ezért az érintett reakciója nem tekinthető akarata szabad kinyilvánításának. Ez nem akadályozhatja meg a tagállamokat abban, hogy jogszabályban elő írják azt, hogy az érintett hozzájárulhat a személyes adatainak ezen irányelv alkalmazásában történő kezeléséhez, például bűnügyi nyomozások keretében végzett DNS-vizsgálat lefolytatásához vagy büntetőjogi szankciók végrehajtásakor az érintett feltalálásának elektronikus azonosító igénybevételével történő figyelemmel kíséréséhez.

(36)

A tagállamoknak rendelkezniük kell arról, hogy ha a továbbító illetékes hatóságra alkalmazandó uniós vagy tagállami jog a személyes adatok kezelésére vonatkozóan meghatározott körülmények között különös feltételeket ír elő, úgymint adatkezelési kódok használatát, akkor a továbbító illetékes hatóság tájékoztassa a címzettet az ilyen személyes adatokról, az említett feltételekről és a betartásukra vonatkozó követelményről. Az ilyen feltételek között szerepelhet például a személyes adatok más részére történő továbbításának a tilalma, vagy annak tilalma, hogy címzettnek továbbított személyes adatot a továbbításkor fennálló céltól eltérő célra használják fel, illetve annak tilalma, hogy az érintettet ne tájékoztassák a tájékoztatáshoz való jog korlátozása esetén, a továbbító illetékes hatóság előzetes jóváhagyása nélkül. E kötelezettségeket a továbbító illetékes hatóság által harmadik országbeli címzettek vagy nemzetközi szervezetek részére történő adattovábbítások esetében is alkalmazni kell. A tagállamok előírják, hogy az átadó hatóság az említett feltételeket a más tagállambeli címzettekre ne alkalmazza, illetve az EUMSZ V. címének 4. és 5. fejezete szerint létrehozott ügynökségekre, hivatalokra és szervekre, kivéve azokat a feltételeket, amelyek a továbbító illetékes hatóság szerinti tagállamban a hasonló adattovábbítások esetében alkalmazni kell.

(37)

Azok a személyes adatok természetüknél fogva különösen érzékenyek az alapvető jogok és szabadságok szempontjából, különös védelmet érdemelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen személyes adatnak minősül a faji vagy etnikai származásra utaló személyes adat; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés ezen irányelv keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. Az ilyen személyes adatok nem kezelhetők, kivéve, ha az adatkezelésre az érintettek jogaira és szabadságaira vonatkozó, jogszabályban előírt megfelelő garanciák alkalmazandók és az adatkezelés jogszabályban meghatározott esetekben megengedett; vagy ha ezt jogszabály még nem teszi lehetővé, akkor az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy ha az adatkezelés olyan adatra vonatkozik, amelyet az érintett kifejezetten nyilvánosságra hozott. Az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák magukban foglalhatják azt, hogy a kérdéses adatokat kizárólag az említett természetes személyre vonatkozó egyéb adatokhoz kapcsolódóan gyűjthessék, hogy a gyűjtött adatok megfelelő biztosításának lehetősége, hogy az adatokhoz való, az illetékes hatóság személyzete általi hozzáférésre vonatkozóan szigorúbb szabályokat állapítsanak meg, illetve hogy megtiltsák az ilyen adatok továbbítását. Ezeknek az adatoknak a kezelését jogszabály lehetővé teheti abban az esetben is, ha az érintett egyértelműen beleegyezett az olyan adatkezelésbe, amely az számára különösen tolakodó jellegű. Az érintett hozzájárulása azonban önmagában nem szolgálhat jogalapul az ilyen különleges személyes adatok illetékes hatóságok általi kezeléséhez.

(38)

Az érintett számára biztosítani kell a jogot arra, hogy ne terjedhessen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amelynek célja a rá vonatkozó egyes személyes jellemzők értékelése, és amely rá nézve hátrányos joghatással járna vagy őt jelentős mértékben érintené. Ilyen adatkezelésre minden esetben csakis megfelelő garanciák mellett kerülhet sor, ideértve az érintett külön tájékoztatás biztosítását és az ahhoz való jogát, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, ahhoz való jogát, hogy magyarázatot kapjon az effajta értékelés alapján hozott döntésről, és hogy megtámadja a döntést. A természetes személyekre vonatkozó olyan profilalkotás, amely az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok alapján történő megkülönböztetést eredményeznek, a Charta 21. és 52. cikkében meghatározott feltételek szerint tilos.

(39)

Annak érdekében, hogy az érintett gyakorolhassa jogait, az érintettnek nyújtott tájékoztatásnak – az adatkezelő honlapján is – könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt is, hogy azt világos és közérthető nyelven fogalmazzák meg. Az ilyen tájékoztatást hozzá kell igazítani a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek szükségleteihez.

(40)

Az érintettek jogainak gyakorlását elősegítő módokat kell biztosítani az ezen irányelv alapján elfogadott rendelkezések szerint, beleértve különösen a személyes adatokhoz való hozzáférés, valamint azok helyesbítésének, törlésének és az adatkezelés korlátozásának térítésmentes kérelmezésére és adott esetben megszerzésére szolgáló mechanizmusokat. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül adjon választ, kivéve, ha az adatkezelő ezzel az irányelvvel összhangban az érintett jogainak korlátozását alkalmazza. Továbbá, ha a kérelmek egyértelműen megalapozatlanok vagy túlzóak, azaz ha például az érintett indokolatlanul és ismétlődően fordul tájékoztatásért, vagy ha az érintett visszaél a tájékoztatáshoz való jogával és például hamis vagy félrevezető információkat terjeszt elő a kérelmében, az adatkezelő észszerű díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést.

(41)

Ha az adatkezelő az érintett személyazonosságának megerősítéséhez szükséges kiegészítő információk közlését kéri, a megadott információk kizárólag ebből a konkrét célból kezelhetők, és az e célhoz szükségesnél hosszabb ideig nem tárolhatók.

(42)

Az érintett rendelkezésére kell bocsátani legalább a következő információkat: az adatkezelő kilétét, az adatkezelési művelet tényét, az adatkezelés céljait, tájékoztatást a panasz benyújtásának jogáról, valamint az ahhoz való jogról, hogy az érintett az adatokhoz való hozzáférést, az adatok helyesbítését, törlését, illetve az adatkezelés korlátozását kérje az adatkezelőtől. Ezeket az információkat az illetékes hatóság honlapján is közzé lehet tenni. Továbbá, egyedi esetekben és annak érdekében, hogy az érintett gyakorolni tudja a jogait, az érintettet tájékoztatni kell az adatkezelés jogalapjáról és arról, hogy mennyi ideig fogják az adatokat tárolni, ha az adatkezelés konkrét körülményeit figyelembe véve ezekre a kiegészítő információkra szükség van az érintett vonatkozásában a tisztességes adatkezelés garantálásához.

(43)

Minden természetes személy jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint ahhoz, hogy e joggal egyszerűen és észszerű időközönként élhessen az adatkezelés jogszerűségének megállapítása és ellenőrzése céljából. Ezért minden érintett jogosult arra, hogy megismerje és tájékoztatást kapjon arról, hogy az adatokat milyen célokból kezelték, az adatok kezelésének időtartamáról, valamint az adatok címzettjeiről, ideértve a harmadik országbeli címzetteket is. Ha az ilyen tájékoztatások a személyes adatok eredetére vonatkozó információkat tartalmaznak, az említett információk nem fedhetik fel természetes személyek személyazonosságát, különösen abban az esetben, ha bizalmas forrásokról van szó. Az említett jog érvényesüléséhez elegendő, ha a kezelt adatok teljes körű összefoglalását érthető módon az érintett rendelkezésére bocsátják, azaz oly módon, amely lehetővé teszi az érintett számára az adatok megismerését és pontosságuk ellenőrzését, valamint meggyőződhet arról, hogy az adatok kezelése ennek az irányelvnek megfelelően történik, így az érintett számára lehetséges, hogy ezen irányelv szerinti jogait gyakorolja. Az összefoglalás az adatkezelés alatt álló személyes adatok másolataként is rendelkezésre bocsátható.

(44)

A tagállamok számára lehetővé kell tenni, hogy jogalkotási intézkedéseket fogadjanak el az érintettek tájékoztatásának késleltetésére, korlátozására vagy mellőzésére, illetve a személyes adataikhoz való hozzáférésük teljes vagy részleges korlátozására vonatkozóan, amennyiben, illetve mindaddig, amíg az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükségesnek és arányosnak minősül a következők érdekében: ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé; annak elkerülése, hogy a bűncselekmények megelőzése, felderítése, nyomozása, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása veszélybe kerüljön; a közbiztonság vagy nemzetbiztonság védelme; valamint mások jogainak és szabadságainak védelme. Az adatkezelőnek minden egyes eset konkrét és egyedi vizsgálatakor fel kell mérnie, hogy a hozzáférési jog részleges vagy teljes korlátozása szükséges-e.

(45)

Alapértelmezés szerint a hozzáférés megtagadását vagy korlátozását írásban közölni kell az érintettel a döntés ténybeli és jogi indokaival együtt.

(46)

Bármely, az érintett jogaira vonatkozó korlátozásnak meg kell felelnie a Chartának, valamint az EEJE-nek, a Bíróság, illetve az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata szerinti értelmezésnek megfelelően, és mindenekelőtt tiszteletben kell tartania az említett jogok és szabadságok lényeges tartalmát.

(47)

A természetes személyek számára biztosítani kell a rájuk vonatkozó pontatlan személyes adatok – különösen amikor azok tényekre vonatkoznak – helyesbítéséhez való jogot, illetve ha azok kezelése sérti ezen irányelvet, az adatok törléséhez való jogot. A helyesbítéshez való jog azonban nem érintheti például a tanúvallomások tartalmát. A természetes személyek számára biztosítani kell továbbá az adatkezelés korlátozásához való jogot, ha az említett természetes személy vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen, vagy ha a személyes adatokat bizonyítás céljából kell megőrizni. Különösen, ha az adott esetben alapos okkal feltételezhető, hogy a törlés sértheti az érintett jogos érdekeit, a személyes adatok törlése helyett korlátozni kell az adatkezelést. Ilyen esetben a korlátozott adatokat csak abból a célból lehet kezelni, amely megakadályozta a törlésüket. A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között az említett adatoknak – például archiválási céllal – egy másik adatkezelő rendszerbe történő migrálása vagy az említett adatok hozzáférhetőségük megszüntetése. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani. Azt a tényt, hogy a személyes adatok kezelése korlátozott, olyan módon kell jelezni a rendszerben, amelyből egyértelműen kitűnik, hogy az adatkezelés korlátozott jellegű. Az ilyen helyesbítésről, törlésről vagy az adatkezelés korlátozásáról tájékoztatni kell azokat a címzetteket, akikhez az adatokat továbbították, valamint azokat az illetékes hatóságokat, amelyektől a pontatlan adatok származtak. Az adatkezelőknek továbbá tartózkodniuk kell az ilyen adatok további terjesztésétől.

(48)

Ha az adatkezelő megtagadja az érintettől a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez, illetve az adatkezelés korlátozásához való jog gyakorlását, az érintett jogosult arra, hogy kérje az adatkezelés jogszerűségének vizsgálatát a nemzeti felügyeleti hatóságtól. Az érintettet e jogról tájékoztatni kell. Ha a felügyeleti hatóság az érintett nevében jár el, a felügyeleti hatóság legalább arról tájékoztatja az érintettet, hogy minden szükséges ellenőrzést vagy felülvizsgálatot elvégzett. A felügyeleti hatóság az érintettet tájékoztatja a bírósági jogorvoslathoz való jogáról is.

(49)

Ha a személyes adatokat bűnügyi nyomozás és büntetőügyben folytatott bírósági eljárás során kezelik, a tagállamok számára lehetővé kell tenni, hogy a tájékoztatáshoz, a hozzáféréshez, a helyesbítéshez, a törléshez és az adatkezelés korlátozásához való jogot a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban gyakorolják.

(50)

A személyes adatok az adatkezelő által vagy az adatkezelő nevében végzett bármilyen kezelése vonatkozásában az adatkezelő hatáskörét és felelősségét rögzíteni kell. Az adatkezelőt így különösen kötelezni kell arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint bizonyítani kell tudnia, hogy az adatkezelési tevékenységek megfelelnek ezen irányelvnek. Az ilyen intézkedéseket az adatkezelés jellegének, hatókörének, körülményének és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni. Az adatkezelőnek intézkedéseket kell hoznia többek között a kiszolgáltatott helyzetben lévő természetes személyek, így például a gyermekek személyes adatainak kezelése tekintetében alkalmazandó garanciák kidolgozására és alkalmazására.

(51)

Az érintettek jogait és szabadságait veszélyeztető – változó valószínűségű és súlyosságú – kockázatok olyan adatkezelésből származhatnak, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethet, különösen ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérülése, a szakmai titoktartási kötelezettség által védett adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakad; vagy ha az érintettek nem élhetnek jogaikkal és szabadságaikkal, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kerülnek kezelésre, amelyek faji- vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak; valamint a genetikai adatokat vagy biometrikus adatokat a természetes személyek kizárólagos azonosításához kezelnek, illetve az egészségügyi adatok vagy a szexuális életre és szexuális irányultságra, büntetőjogi felelősség megállapítására vonatkozó határozatok, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkozó adatokat kezelnek; vagy ha személyes jellemzők értékelésére, különösen munkahelyi teljesítménnyel kapcsolatos jellemzőkhöz, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére és előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; ha kiszolgáltatott helyzetben lévő természetes személyek – különösen gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

(52)

A kockázat valószínűségét és súlyosságát az adatkezelés jellegére, hatókörére, körülményére és céljaira tekintettel kell meghatározni. A kockázatot objektív értékelés alapján kell felmérni, amely által megállapítható, hogy az adatkezelési műveletek magas kockázattal járnak-e. Magas kockázatnak az a különös kockázat minősül, amely az érintettek jogainak és szabadságainak sérelmével jár.

(53)

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme az ezen irányelv követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát követeli meg. Az említett intézkedések alkalmazása nem függhet kizárólag gazdasági megfontolásoktól. Az adatkezelőnek ahhoz, hogy bizonyítani tudja az ezen irányelvnek való megfelelését, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek tiszteletben tartják mindenekelőtt a beépített adatvédelem és az alapértelmezett adatvédelem elveit. Ha az adatkezelő az ezen irányelv szerinti adatvédelmi hatásvizsgálatot végzett, annak eredményeit az intézkedések és eljárások kidolgozása során figyelembe kell venni. Az említett intézkedések többek között magukban foglalhatják az álnevesítés lehető leghamarabb történő alkalmazását. Az ezen irányelv alkalmazásában történő álnevesítés olyan eszköz lehet, amely előmozdítja különösen a személyes adatoknak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben való szabad áramlását.

(54)

Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatáskör és felelőssége – a felügyeleti hatóságok általi ellenőrzéssel és azok intézkedéseivel összefüggésben is – megköveteli az ezen irányelvbe foglalt felelősségi körök egyértelmű megállapítását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel együttesen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

(55)

Az adatfeldolgozó adatkezelését jogi aktus, például szerződés szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, és amely előírja különösen azt, hogy az adatfeldolgozó kizárólag az adatkezelő utasításai alapján végezheti tevékenységét. Az adatfeldolgozó figyelembe veszi a beépített adatvédelem és az alapértelmezett adatvédelem elvét.

(56)

Az adatkezelő vagy adatfeldolgozó annak érdekében, hogy bizonyítsa, hogy megfelel ennek az irányelvnek, a hatáskörébe tartozó összes adatkezelési tevékenységének kategóriáiról nyilvántartást vezet. Minden adatkezelőt és adatfeldolgozót kötelezni kell arra, hogy a felügyeleti hatósággal együttműködjön és az említett nyilvántartást kérésre hozzáférhetővé tegye, így az érintett adatkezelési műveletek esetlegesen ellenőrizhetők. A nem automatizált adatkezelési rendszerekben személyes adatok kezelését végző adatkezelőnek vagy adatfeldolgozónak hatékony módszereket kell alkalmaznia az adatkezelés jogszerűségének bizonyítására, az önellenőrzés lehetővé tételére, valamint az adatok integritásának és biztonságának szavatolására, például naplók vagy más nyilvántartások formájában.

(57)

Naplózni kell legalább az automatizált adatkezelési rendszerben végzett adatkezelési műveleteket, például a gyűjtést, módosítást, betekintést, a közlést – ideértve a továbbítást is –, az összekapcsolást és a törlést. A naplóban olyan módon kell bejegyezni a személyes adatokba betekintő vagy azokat közlő természetes személyek személyazonosságát, hogy abból a bejegyzésből igazolható legyen az adatkezelési művelet indokoltsága. A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, valamint az adatok integritásának és biztonságának szavatolására, valamint büntetőeljárások keretében használhatók fel. Az önellenőrzés az illetékes hatóságoknál lefolytatott belső fegyelmi eljárásokat is magában foglalja.

(58)

Az adatkezelő adatvédelmi hatásvizsgálatot végez, ha az adatkezelési műveletek a jellegükből, a hatókörükből vagy a céljaikból fakadóan valószínűsíthetően magas kockázatot jelentenek az érintettek jogaira és szabadságaira nézve. A hatásvizsgálat különösen a személyes adatok védelmét biztosító tervezett intézkedésekre, garanciákra és mechanizmusokra, valamint az ezen irányelvvel való összhang bemutatására terjed ki. A hatásvizsgálat tárgyát az adatkezelési műveletek releváns rendszerei és folyamatai kell, hogy képezzék, nem pedig egyedi esetek.

(59)

Az érintettek jogai és szabadságai hatékony védelmének biztosítása érdekében az adatkezelőnek vagy az adatfeldolgozónak bizonyos esetekben konzultálnia kell a felügyeleti hatósággal az adatkezelést megelőzően.

(60)

A biztonság fenntartása és az ezen irányelvet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozónak értékelnie kell az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást kell alkalmaznia. Ezek az intézkedések megfelelő szintű biztonságot – többek között a bizalmas kezelést is – kell, hogy biztosítsanak, figyelembe veszik a tudomány és technológia állását, valamint a végrehajtásnak a kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során mérlegelni kell az adatkezelés jelentette olyan kockázatokat, mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, módosítása, vagy jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés, amelyek különösen fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Az adatkezelőnek és az adatfeldolgozónak gondoskodnia kell arról, hogy a személyes adatok kezelését jogosulatlan személy ne végezhesse.

(61)

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyek számára, ideértve többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérülését, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve az említett természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha ilyen értesítésre 72 órán belül nincs mód, akkor az értesítésben a késedelem okát meg kell jelölni, az előírt információk pedig – további indokolatlan késedelem nélkül – részletekben is közölhetők.

(62)

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a természetes személyeket indokolatlan késedelem nélkül tájékoztatni kell annak érdekében, hogy a szükséges óvintézkedéseket megtehessék. Az tájékoztatásnak egyrészt tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, másrészt az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó ajánlásokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és az általa vagy más érintett hatóságok által adott útmutatások tiszteletben tartásával. Például, a kár közvetlen veszélyének mérséklése az érintettek sürgős tájékoztatását teszi szükségessé, ugyanakkor hosszabb időtartamot indokolhat az, hogy megfelelő intézkedéseket szükséges végrehajtani az adatvédelmi incidens folytatódásának vagy megelőzésének érdekében. Ha a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése, valamint annak elkerülése, hogy a bűncselekmények megelőzése, felderítése, nyomozása, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása sérelmet szenvedjen, továbbá a közbiztonság vagy nemzetbiztonság védelme, illetve mások jogainak és szabadságainak védelme nem valósítható meg azzal, ha késleltetik vagy korlátozzák a természetes személy tájékoztatását az adatvédelmi incidensről, akkor – kivételes körülmények között – a tájékoztatás elmaradhat.

(63)

Az adatkezelő kijelöl egy személyt, aki segítséget nyújt az ezen irányelv alapján elfogadott rendelkezéseknek való belső megfelelés ellenőrzésében, kivéve abban az esetben, ha valamely tagállam úgy határoz, hogy a bíróságok és más független igazságügyi hatóságok részére igazságszolgáltatási feladatkörük ellátása keretében mentességet biztosít. Ez a kijelölt személy lehet az adatkezelő meglévő személyzetének valamely olyan tagja, aki az adatvédelmi joggal és gyakorlattal kapcsolatos külön képzésben részesült annak érdekében, hogy szakértői ismeretekkel rendelkezzen ezen a területen. A szakértői ismeretek szükséges szintjét mindenekelőtt az adatkezelő által végzett adatkezelés, valamint az általa kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. A kijelölt személy a feladatait teljes munkaidőben vagy részmunkaidőben is végezheti. Szervezeti struktúrájuk és méretük figyelembevételével több adatkezelő együttesen is kinevezhet adatvédelmi tisztviselőt például abban az esetben, ha a központi egységeikben közös erőforrásokat használnak fel. Az adatvédelmi tisztviselő az érintett adatkezelők struktúráján belül különböző pozíciókba is kinevezhető. Feladata, hogy az adatkezelő és az adatkezelést végző alkalmazottak munkáját az adatvédelmi kötelezettségeknek való megfelelésre vonatkozó tájékoztatással és tanácsadással segítse. Az ilyen adatvédelmi tisztviselőnek kötelezettségeit és feladatait független módon, a tagállami joggal összhangban kell tudnia ellátni.

(64)

A tagállamok előírják, hogy harmadik országba vagy nemzetközi szervezet részére történő adattovábbításra kizárólag akkor kerüljön sor, ha az bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – érdekében szükséges, és a harmadik országbeli adatkezelő vagy a nemzetközi szervezet az ezen irányelv értelmében vett illetékes hatóságnak minősül. Az adattovábbítást kizárólag adatkezelőként eljáró illetékes hatóságok végezhetik, kivéve abban az esetben, ha adatfeldolgozók kifejezett utasítást kapnak arra, hogy az adatkezelők nevében adattovábbítást végezzenek. Ilyen adattovábbításra csak azokban az esetekben kerülhet sor, amelyeknél a Bizottság úgy ítélte meg, hogy az említett harmadik ország vagy nemzetközi szervezet megfelelő védelmi szintet képes biztosítani, vagy ha megfelelő garanciákat nyújtottak, vagy kivételes esetekben biztosított eltéréseket kell alkalmazni. Ha személyes adatokat az Unióból harmadik országbeli adatkezelőkhöz, adatfeldolgozókhoz, egyéb címzettekhez vagy nemzetközi szervezetek részére történő továbbítanak, az ezen irányelv által az Unióban a természetes személynek biztosított védelem szintje nem sérülhet, és annak fenn kell maradnia akkor is, ha az adott harmadik ország vagy nemzetközi szervezet ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőhöz, adatfeldolgozóhoz vagy nemzetközi szervezet részére újból továbbítja az említett személyes adatokat.

(65)

Ha valamely tagállamból személyes adatokat továbbítanak harmadik országoknak vagy nemzetközi szervezeteknek, az adattovábbításra alapértelmezés szerint csak azután kerülhet sor, hogy az a tagállam, amelyből az adatok származnak, engedélyezte azt. A hatékony bűnüldözési együttműködés szükségessé teszi azt, ha egy tagállam vagy harmadik ország közbiztonságát vagy egy tagállam alapvető érdekeit fenyegető veszély jellegénél fogva olyan közvetlen, hogy nincs mód az előzetes engedély kellő időben történő beszerzésére, akkor az illetékes hatóság számára lehetővé kell tenni, hogy a vonatkozó személyes adatokat az említett előzetes engedély nélkül továbbíthassa az érintett harmadik országnak vagy nemzetközi szervezetnek. A tagállamok előírják, hogy az adattovábbítás esetleges különös feltételeit a harmadik országokkal vagy a nemzetközi szervezetekkel közölni kell. A személyes adatok újbóli továbbítására kizárólag az eredeti adattovábbítást végző illetékes hatóság előzetes engedélyével kerülhet sor. Amikor az eredeti adattovábbítást végző illetékes hatóság az újbóli továbbítás engedélyezése iránti kérelemről határoz, figyelembe vesz minden releváns tényezőt, többek között a bűncselekmény súlyosságát, azt, hogy az eredeti adattovábbítás milyen egyedi feltételekkel és milyen céllal történt, a büntetőjogi szankció jellegét és végrehajtásának feltételeit, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy annál a nemzetközi szervezetnél, amely a személyes adatok újbóli továbbításának címzettje. Az eredeti adattovábbítást végző illetékes hatóság külön feltételekhez is kötheti az újbóli továbbítás engedélyezését. Ezeket a külön feltételeket például adatkezelési kódokkal lehet ismertetni.

(66)

A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy bizonyos harmadik országok, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosítónak tekintett harmadik országok vagy nemzetközi szervezetek vonatkozásában. Ilyen esetekben a személyes adatok az említett országokba történő továbbításához külön engedély beszerzése nem szükséges, kivéve amikor, ha az adattovábbításhoz egy másik tagállamnak – mégpedig annak a tagállamnak, amelytől az adatok származnak – engedélyt kell adnia.

(67)

A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy a harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, valamint az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. A harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív kritériumokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan garanciákat kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében egyenértékű – védelmi szintet biztosítanak, különösen amikor egy vagy több konkrét ágazatban történik az adatkezelés. A harmadik országnak gondoskodnia kell különösen a hatékony, független adatvédelmi felügyeletről, valamint a tagállami adatvédelmi hatóságokkal való együttműködés mechanizmusairól, továbbá biztosítania kell, hogy az érintettek hatékony és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

(68)

A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során az egyének védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottságnak a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultálnia kell az (EU) 2016/679 rendelettel létrehozott Európai Adatvédelmi Testülettel (a továbbiakban: a Testület). A Bizottság figyelembe veszi továbbá, hogy van-e az (EU) 2016/679 rendelet 45. cikkével összhangban elfogadott, releváns bizottsági megfelelőségi határozat.

(69)

A Bizottság ellenőrzi a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított védelem szintjével kapcsolatos határozatokban foglaltak érvényesülését. A megfelelőségi határozataiban a Bizottság rendelkezik a határozatokban foglaltak érvényesülése időszakos felülvizsgálatának mechanizmusáról. Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni.

(70)

A Bizottság azt is megállapíthatja, hogy valamely harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet a továbbiakban már nem biztosít megfelelő szintű adatvédelmet. Következésképpen a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha az ebben az irányelvben foglalt, adattovábbításhoz kapcsolódó követelmények a megfelelő garanciák és kivételes esetekre vonatkozó eltérések alá esnek. A Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról rendelkezik. A Bizottság megfelelő időben tájékoztatja az érintett harmadik országot vagy nemzetközi szervezetet az indokokról, és a helyzet orvoslása érdekében konzultációkat folytat vele.

(71)

Ha az adattovábbítás nem ilyen megfelelőségi határozaton alapul, akkor az adattovábbítás csak akkor lehetséges, ha a személyes adatok védelmét biztosító jogilag kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak, vagy ha az adatkezelő az adattovábbítás valamennyi körülményét megvizsgálta, és e vizsgálat alapján úgy véli, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn. Ilyen jogilag kötelező erejű jogi eszközök lehetnek például az olyan, tagállamok által kötött, jogilag kötelező erejű kétoldalú megállapodások, amelyeket a tagállamok átültettek belső jogrendjükbe, és amelyeket az érintettek érvényesíthetnek, továbbá amelyek biztosítják az adatvédelmi követelményeknek való megfelelést és az érintettek jogainak – köztük a hatékony közigazgatási vagy bírósági jogorvoslat igénybevételéhez való jognak – az érvényesülését. Az adatkezelő az adattovábbítás valamennyi körülményének megvizsgálásakor figyelembe kell, hogy vegye az Europol vagy az Eurojust és a harmadik országok által kötött, a személyes adatok cseréjét lehetővé tevő együttműködési megállapodásokat is. Az adatkezelő azt is figyelembe veszi azt a tényt is, ha a személyes adatok továbbítására titoktartási kötelezettség és a célhoz kötöttség elve vonatkozik, mivel ezek biztosítják, hogy az adatok nem használhatók fel az adattovábbítás céljától eltérő célra. Emellett az adatkezelő figyelembe veszi azt is, hogy a személyes adatokat halálbüntetés vagy egyéb kegyetlen és embertelen bánásmód kérelmezéséhez, kiszabásához vagy végrehajtásához ne használják fel. Annak ellenére, hogy az ezek a feltételek olyan megfelelő garanciáknak tekinthetők, amelyek lehetővé teszik az adattovábbítást, az adatkezelő számára lehetővé kell tenni, hogy további garanciákat is megkövetelhessen.

(72)

Megfelelőségi határozat, illetve megfelelő garanciák hiányában az adatok, illetve adatkategóriák továbbítására csak kivételes esetekben kerülhet sor, ha az az érintett vagy más személy létfontosságú érdekeinek védelme, az érintett jogos érdekeinek a személyes adatot továbbító tagállam joga által előírt biztosítása vagy valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása miatt szükséges, illetve ha bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése –, illetve jogi igények előterjesztése, érvényesítése és védelme – miatt szükséges. Az említett eltéréseket megszorítóan kell értelmezni, és azok nem tehetik lehetővé a személyes adatok gyakori, jelentős mértékű és strukturális továbbítását, vagy adatok nagy mennyiségben történő továbbítását, azonban az adattovábbításnak a feltétlenül szükséges adatokra kell korlátozódnia. Az adattovábbítást dokumentálni kell, és a felügyeleti hatóság kérésére annak rendelkezésére kell bocsátani annak érdekében, hogy ellenőrizze az adattovábbítás jogszerűségét.

(73)

A tagállamok illetékes hatóságai a számukra jogilag előírt feladatok végrehajtása érdekében, a releváns adatok cseréjéhez, jelenleg is alkalmaznak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén a harmadik országokkal kötött hatályos két- és többoldalú nemzetközi megállapodásokat. Erre alapértelmezés szerint, ezen irányelv alkalmazásában, az érintett harmadik országok illetékes hatóságain keresztül vagy legalább azok közreműködésével kerül sor, néha akár két- vagy többoldalú nemzetközi megállapodás hiányában is. Bizonyos egyedi esetekben azonban az ilyen harmadik országbeli hatósággal való kapcsolatfelvételt előíró rendes eljárások nem hatékonyak vagy nem megfelelőek, elsősorban azért, mert az adattovábbítást nem lehetne időben végrehajtani, vagy mert a harmadik országbeli hatóság nem tartja tiszteletben a jogállamiságot vagy a nemzetközi emberi jogi normákat és előírásokat, és ezért a tagállamok illetékes hatóságai úgy határozhatnak, hogy közvetlenül harmadik országbeli címzettek részére továbbítják a személyes adatokat. Ilyen helyzet merülhet fel, ha fennáll a veszély, hogy valamely személy bűncselekmény áldozatává válik és a személyes adatok továbbítása az említett természetes személy életének megmentése érdekében, illetve valamely bűncselekmény – ideértve a terrorcselekményt – azonnali elkövetésének megelőzése érdekében sürgősen szükséges. Noha az illetékes hatóságok és a harmadik országbeli címzettek közötti efféle adattovábbításra csak egyedi és meghatározott helyzetekben kerülhet sor, ennek az irányelvnek rendelkezéseket kell megállapítania az ilyen eseteket szabályozó feltételekre vonatkozóan is. Ezek a rendelkezések nem tekinthetők a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területére vonatkozó, bármely hatályos két- vagy többoldalú nemzetközi megállapodások rendelkezéseitől való eltérésnek. Ezeket a szabályokat továbbá ezen irányelv egyéb szabályaival, különösen az adatkezelés jogszerűségére vonatkozó, illetve az V. fejezetben foglalt szabályokkal együttesen kell alkalmazni.

(74)

Ha a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy a természetes személyek nem képesek gyakorolni adatvédelmi jogaikat annak érdekében, hogy védekezzenek az említett adatok jogellenes felhasználása vagy közlése ellen érdekében. Ugyanakkor előfordulhat, hogy a felügyeleti hatóságoknak az országuk határain kívül folyó tevékenységek tekintetében nem áll módjukban a panaszok kapcsán eljárni vagy vizsgálatot folytatni. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, valamint az egymásnak ellentmondó jogrendszerek is. Ezért elő kell mozdítani az adatvédelmi felügyeleti hatóságok és külföldi partnereik közötti szorosabb együttműködést az információcsere elősegítése érdekében.

(75)

Ahhoz, hogy a természetes személyek a személyes adataik kezelése tekintetében megfelelő védelemben részesüljenek, elengedhetetlen, hogy a tagállamokban a feladataikat teljes mértékben függetlenül ellátó felügyeleti hatóságok jöjjenek létre. A felügyeleti hatóságok a természetes személyek személyes adataik kezelése tekintetében történő védelmének biztosítása érdekében figyelemmel kísérik ezen irányelv alapján elfogadott rendelkezések alkalmazását, és hozzájárulnak annak az Unió egész területén történő egységes alkalmazásához. A felügyeleti hatóságoknak ebből a célból együttműködnek egymással és a Bizottsággal.

(76)

A tagállamok az (EU) 2016/679 rendelet alapján korábban létrehozott felügyeleti hatóságra ruházhatják az ezen irányelv alapján létrehozandó nemzeti felügyeleti hatóság által ellátandó feladatokat.

(77)

A tagállamok számára lehetővé kell tenni, hogy saját alkotmányos, szervezeti és közigazgatási szerkezetükhöz igazodva egynél több felügyeleti hatóságot is létrehozhatnak. A felügyeleti hatóság számára biztosítani kell a feladatai – beleértve az Unió bármely másik felügyeleti hatóságával való kölcsönös segítségnyújtáshoz és együttműködéshez kapcsolódó feladatokat is – hatékony ellátásához szükséges anyagi és személyzeti forrásokat, helyiségeket és infrastruktúrát. Minden felügyeleti hatóság saját, éves költségvetéssel rendelkezik, amely a nemzeti vagy állami költségvetés részét képezheti.

(78)

A felügyeleti hatóságokat a pénzügyi kiadásaikat illetően független ellenőrzési vagy nyomonkövetési mechanizmusnak kell alávetni, feltéve, hogy az ilyen pénzügyi felügyelet nem érinti a függetlenségüket.

(79)

A felügyeleti hatóság tagjára vagy tagjaira vonatkozó általános feltételeket a tagállamok jogszabályban kell rögzíteni, és elő kell írni azt, hogy az említett tagokat az adott tagállam parlamentje vagy kormánya vagy államfője nevezi ki a kormány, a kormány egyik tagja, a parlament vagy valamelyik parlamenti kamara javaslata alapján, vagy pedig azt, hogy a tagokat a tagállami jogban a kinevezéssel megbízott független szerv átlátható eljárás keretében nevezi ki. A felügyeleti hatóság függetlenségének biztosítása érdekében, az említett tag vagy tagok feddhetetlenül járnak el, tartózkodniuk kell a feladatkörükkel össze nem egyezethető cselekményektől, valamint hivatali idejük alatt nem vállalhatnak semmilyen azzal összeférhetetlen – akár kereső, akár ingyenesen végzett – szakmai tevékenységet. A felügyeleti hatóság függetlenségének biztosítása érdekében a hatóság személyzetét a felügyeleti hatóság választja ki; a kiválasztásban részt vehet egy a tagállami jogban ezzel megbízott független szerv is.

(80)

Bár ezt az irányelvet a tagállami bíróságok és egyéb igazságügyi hatóságok tevékenységére is alkalmazni kell, a felügyeleti hatóságok illetékessége nem terjed ki a személyes adatok kezelésére abban az esetben, amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el, annak érdekében, hogy a bírák függetlenségének megőrzése biztosított legyen igazságszolgáltatási feladataik ellátása során. Ez a kivétel azonban a bírósági ügyekben ellátott igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyekben a bírák esetleg a tagállami jognak megfelelően még részt vehetnek. A tagállamok azt is előírhatják, hogy a felügyeleti hatóság hatásköre nem terjed ki az olyan személyes adatok kezelésre, amelyet az egyéb független igazságügyi hatóságok – például az ügyészségek – igazságszolgáltatási feladatkörükben eljárva végeznek. Mindenesetre, az ezen irányelvben foglalt szabályoknak a bíróságok és egyéb független igazságügyi hatóságok általi tiszteletben tartása minden esetben a Charta 8. cikkének (3) bekezdésével összhangban független ellenőrzés alá tartozik.

(81)

A felügyeleti hatóság bármely érintett által benyújtott panasszal kapcsolatban eljár, és kivizsgálja az ügyet vagy átadja azt az illetékes felügyeleti hatóságnak. A panaszt követő vizsgálatot – amely bírósági felülvizsgálat tárgyát képzi – a konkrét esethez szükséges mértékben kell lefolytatni. A felügyeleti hatóság észszerű határidőn belül tájékoztatja az érintettet a panasszal kapcsolatos fejleményekről és eredményekről. Ha az ügy további vizsgálatot vagy egy másik felügyeleti hatóság együttműködését teszi szükségessé, az érintett számára időközben tájékoztatást kell nyújtani.

(82)

Annak érdekében, hogy a Bíróság által értelmezett EUMSZ-nek megfelelően az Unió egészében hatékonyan, megbízhatóan és következetesen nyomon lehessen követni ezen irányelv végrehajtását és az ezen irányelvnek való megfelelést, a felügyeleti hatóságokat a tagállamokban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a feladatok elvégzéséhez szükséges vizsgálati, korrekciós és tanácsadási hatáskört. E hatóságok hatáskörei ugyanakkor nem sérthetik a büntetőeljárásokra vonatkozó – ezen belül a bűncselekmények nyomozására és üldözésére – különös szabályokat, illetve az igazságszolgáltatás függetlenségét. Az ügyészségek tagállami jogban biztosított hatásköreinek tiszteletben tartása mellett a felügyeleti hatóságokat is fel kell jogosítani arra, hogy ezen irányelv megsértése esetén az igazságügyi hatóságokhoz forduljanak vagy bírósági eljárást kezdeményezzenek. A felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban meghatározott megfelelő eljárási garanciákkal összhangban, pártatlanul, tisztességesen és észszerű határidőn belül kell, hogy gyakorolják. Különösképpen, az ezen irányelvnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon. A helyiségekbe való belépést illetően a vizsgálati hatáskört a tagállami jogban előírt vonatkozó követelményekkel összhangban kell gyakorolni, ilyen például az előzetes bírói engedély beszerzésének követelménye. A jogilag kötelező erejű döntések bírósági felülvizsgálatnak vethetők az adott döntést elfogadó felügyeleti hatóság tagállamában.

(83)

A felügyeleti hatóságok feladataik ellátásában segítik egymást, és kölcsönös segítséget nyújtanak egymásnak annak érdekében, hogy a belső piacon biztosítsák ezen irányelv alapján elfogadott rendelkezések egységes alkalmazását és végrehajtását.

(84)

A Testület az Unió egész területén hozzájárul ezen irányelv következetes alkalmazásához, ideértve a Bizottság részére történő tanácsadást és a felügyeleti hatóságok közötti, Unión belüli együttműködés előmozdítását is.

(85)

Minden érintett jogosult, hogy panaszt tegyen egyetlen felügyeleti hatóságnál, és a Charta 47. cikkével összhangban hatékony bírósági jogorvoslattal éljen, ha az érintett úgy ítéli meg, hogy az ezen irányelv alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges. A panaszt követően vizsgálatot kell lefolytatni – amely bírósági felülvizsgálat tárgyát képezheti – a konkrét esethez szükséges mértékben. Az illetékes felügyeleti hatóság észszerű határidőn belül tájékoztatja az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy további vizsgálatot vagy egy másik felügyeleti hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani. A panaszok benyújtásának megkönnyítése érdekében a felügyeleti hatóság intézkedéseket hoz, például olyan panasz benyújtására szolgáló formanyomtatványt biztosít, amely elektronikus úton is kitölthető, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(86)

Minden természetes vagy jogi személy számára biztosítani kell, hogy a valamely felügyeleti hatóság által hozott és az említett természetes vagy jogi személyekre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróság előtt. Ide tartoznak különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések. Mindazonáltal ez a jog nem vonatkozik a felügyeleti hatóságok egyéb, jogilag kötelező erővel nem bíró intézkedéseire, például a felügyeleti hatóság által kibocsátott véleményekre vagy általa adott tanácsokra. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást a tagállami jog szerint kell lefolytatni. Ezek a bíróságok teljes körű joghatósággal rendelkeznek, amely magában foglalja a tárgyalt jogvita szempontjából releváns összes ténybeli és jogi körülmény vizsgálatát.

(87)

Ha az érintett úgy ítéli meg, hogy az ezen irányelv értelmében fennálló jogait megsértették, jogosult megbízni egy – az érintetteknek a személyes adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott –, a tagállami jognak megfelelően létrehozott szervet, hogy az a nevében eljárva panaszt tegyen valamely felügyeleti hatóságnál, és éljen a bírósági jogorvoslathoz való jogával. Az érintettek képviselethez való joga nem sértheti a tagállami eljárásjogot, amely előírhatja, hogy érintetteket kötelezően a tagállami bíróságok előtt a 77/249/EGK tanácsi irányelvben (10) foglalt fogalommeghatározás szerinti ügyvéd képviselje.

(88)

Az ezen irányelv alapján elfogadott rendelkezéseket sértő adatkezelés miatt felmerült kárt az adatkezelő vagy a tagállami jog szerint illetékes más hatóság megtéríti a kárt szenvedett személynek. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze ezen irányelv céljait. Ez nem érinti az uniós vagy tagállami jog egyéb szabályainak megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Ahol ez az irányelv jogszerűtlen vagy az ezen irányelv alapján elfogadott rendelkezéseit sértő adatkezelést említ, azon az ezen irányelvvel összhangban elfogadott végrehajtási jogi aktusoknak nem megfelelő adatkezelést is érteni kell. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.

(89)

Szankciót kell kiróni minden olyan természetes vagy jogi személyre – függetlenül attól, hogy a magánjog vagy a közjog hatálya alá tartozik-e –, aki, illetve amely megsérti ezt az irányelvet. A tagállamoknak biztosítaniuk kell hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és meg kell hozniuk minden szükséges intézkedést ezek végrehajtására.

(90)

Ezen irányelv végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a következőkre vonatkozóan: a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint, a kölcsönös segítségnyújtás formátuma és eljárásai, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus úton történő információcserére vonatkozó szabályok. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek megfelelően kell gyakorolni (11).

(91)

A vizsgálóbizottsági eljárást kell alkalmazni a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szintről, a kölcsönös segítségnyújtás formátumáról és eljárásairól, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus úton történő információcserére vonatkozó szabályokról szóló végrehajtási jogi aktusok elfogadására, mivel ezek a jogi aktusok általános hatállyal bírnak.

(92)

A Bizottságnak azonnal alkalmazandó végrehajtási jogi aktusokat kell elfogadnia, ha kellően indokolt esetben ez rendkívül sürgős okból szükséges, amikor a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet már nem biztosít megfelelő védelmi szintet.

(93)

Mivel ezen irányelv céljait, nevezetesen az érintettek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguknak – megóvását, valamint annak biztosítását, hogy az Unión belül az illetékes hatóságok a személyes adatokat szabadon cserélhessék, a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme vagy hatása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ezen irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.

(94)

A büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén az ezen irányelv elfogadásának időpontját megelőzően elfogadott olyan jogi aktusok bizonyos rendelkezései, amelyek a személyes adatok tagállamok közötti kezelését és a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozzák, változatlanul hatályban maradnak, ideértve például a 2008/615/IB tanácsi határozat (12) alapján a személyes adatok védelmére vonatkozóan alkalmazott különös rendelkezéseket, illetve az Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezmény (13) 23. cikkét. Mivel a Charta 8. cikke és az EUMSZ 16. cikke előírja, hogy a személyes adatok védelméhez való alapvető jogot az Unió egész területén következetesen biztosítani kell, a Bizottság megvizsgálja, hogy az ezen irányelv és az elfogadásának időpontját megelőzően elfogadott – a személyes adatok tagállamok közötti kezelését vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó – jogi aktusok egymáshoz való viszonyának fényében szükséges-e ezeket a rendelkezéseket ehhez az irányelvhez igazítani. Ha szükséges, a Bizottság javaslatokat nyújt be annak biztosítása érdekében, hogy egységes jogi normák szabályozzák a személyes adatok kezelését.

(95)

Annak érdekében, hogy a személyes adatok átfogó és következetes védelme biztosított legyen az Unióban, azok a nemzetközi megállapodások, amelyeket a tagállamok ezen irányelv hatálybalépésének napját megelőzően kötöttek, és amelyek megfelelnek az ezen időpont előtt alkalmazandó vonatkozó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig hatályban maradnak.

(96)

A tagállamok számára ezen irányelv átültetésére ezen irányelv hatálybalépésének napjától számított két éves időszakot meg nem haladó időtartamot kell előírni. A hatálybalépés napján már folyamatban lévő adatkezelést ezen irányelv hatálybalépésének időpontjától számított két éven belül összhangba kell hozni ezen irányelvvel. Mindazonáltal az ezen irányelv hatálybalépésének napja előtt az alkalmazandó uniós jognak megfelelő adatkezelés esetében az ezen irányelvben foglalt, a felügyeleti hatósággal folytatott előzetes konzultációra vonatkozó előírásokat nem kell alkalmazni az említett időpontban már folyamatban lévő adatkezelésre, tekintettel arra, hogy ezeket a követelményeket természetüknél fogva már az adatkezelés megkezdése előtt teljesíteni kell. Ha a tagállamok élnek a hosszabb végrehajtási időtartam lehetőségével, és az ezen irányelv hatálybalépése előtt létesített automatizált adatkezelési rendszerek tekintetében az ezen irányelv hatálybalépésének napjától számított hét éven belül tesznek eleget a naplózási kötelezettségnek, az adatkezelőnek vagy az adatfeldolgozónak az adatkezelés jogszerűségének bizonyítására, az önellenőrzés lehetővé tételére, valamint az adatok integritásának és adatbiztonságának szavatolására, például naplók vagy más nyilvántartások formájában, hatékony módszereket kell alkalmaznia.

(97)

Ez az irányelv nem sértheti a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemre vonatkozóan a 2011/93/EU európai parlamenti és tanácsi irányelvben (14) megállapított rendelkezéseket.

(98)

A 2008/977/IB kerethatározatot ezért hatályon kívül kell helyezni.

(99)

Az EUSZ-hez és az EUMSZ-hez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 6a. cikkével összhangban az Egyesült Királyságot és Írországot nem kötelezik az ezen irányelvben meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4., illetve 5. fejezetének alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak, amennyiben az Egyesült Királyságot vagy Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy a rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az EUMSZ 16. cikk alapján meghatározott rendelkezések betartását.

(100)

Az EUSZ-hez és az EUMSZ-hez csatolt, Dánia helyzetéről szóló 22. jegyzőkönyv 2. és 2a. cikkével összhangban Dániára nézve nem kötelezőek és nem alkalmazandóak az ezen irányelvben megállapított azon szabályok, amelyek a személyes adatoknak a tagállamok által, az EUMSZ harmadik része V. címe 4., illetve 5. fejezete alkalmazási körébe tartozó tevékenységek során végzett kezelésére vonatkoznak. Mivel ez az irányelv az EUMSZ harmadik része V. címének értelmében a schengeni vívmányokon alapul, Dánia az említett jegyzőkönyv 4. cikkének megfelelően az ezen irányelv elfogadását követő hat hónapon belül dönt arról, hogy azt nemzeti jogában végrehajtja-e.

(101)

Izland és Norvégia tekintetében ez az irányelv az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között kötött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás (15) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(102)

Svájc tekintetében ez az irányelv az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról kötött megállapodás (16) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(103)

Liechtenstein tekintetében ez az irányelv az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség közötti, a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról szóló jegyzőkönyv (17) értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(104)

Ezen irányelv tiszteletben tartja az alapvető jogokat és betartja a Charta által elismert, az EUMSZ-ben rögzített elveket, különösen a magán- és a családi élet tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot. Az e jogokat érintő korlátozások összhangban vannak a Charta 52. cikkének (1) bekezdésével, mivel elengedhetetlenek az Unió által elismert általános érdekű célok megvalósításához, vagy mások jogainak és szabadságainak védelmét szolgálják.

(105)

A tagállamok és a Bizottság magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza ezen irányelv elemei és az azt átültető nemzeti intézkedések megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt.

(106)

Az európai adatvédelmi biztossal való konzultáció a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban megtörtént; a biztos 2012. március 7-én (18) nyilvánított véleményt.

(107)

Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy nemzeti büntetőeljárási szabályaikban rendelkezzenek az érintetteket a büntetőeljárás során megillető tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez és az adatkezelés korlátozásához fűződő jog gyakorlásáról, valamint ezek esetleges korlátozásáról,

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

Általános rendelkezések

1. cikk

Tárgy és célok

(1)   Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.

(2)   A tagállamok ezen irányelvvel összhangban:

a)

védik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat, és

b)

biztosítják, hogy a személyes adatok illetékes hatóságok közötti, Unión belüli cseréje – ha e cserét az uniós vagy tagállami jog írja elő – ne legyen korlátozás vagy tiltás tárgya a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.

(3)   Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az érintettek jogainak és szabadságainak védelme érdekében a személyes adatok illetékes hatóságok által végzett kezelésére az ezen irányelvben megállapítottnál magasabb védelmi szintet biztosító garanciákról rendelkezzenek.

2. cikk

Hatály

(1)   Ez az irányelv a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett kezelésére alkalmazandó.

(2)   Ezt az irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(3)   Ezen irányelv nem alkalmazandó:

a)

a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére;

b)

a személyes adatoknak az Unió intézményei, szervei, hivatalai és ügynökségei által végzett kezelésére.

3. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

1.   „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2.   „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, a közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, az összehangolás vagy összekapcsolás, korlátozás, a törlés, illetve a megsemmisítés;

3.   „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4.   „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

5.   „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információ felhasználása nélkül a továbbiakban már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azt azonosított vagy azonosítható természetes személyhez többé nem lehet kapcsolni;

6.   „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7.   „illetékes hatóság”:

a)

olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy

b)

bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

8.   „adatkezelő”: az az illetékes hatóság, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy a kijelölésre vonatkozó különös szempontokat az uniós vagy tagállami jog is meghatározhatja;

9.   „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely más szerv, amely az adatkezelő nevében személyes adatokat kezel;

10.   „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely más szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Nem tekintendők azonban címzettnek azok a közhatalmi szervek, amelyek egy egyedi vizsgálat keretében a tagállami joggal összhangban kaphatnak személyes adatot, és az említett adatok e közhatalmi szervek általi kezelése során az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályokat be kell tartani;

11.   „adatvédelmi incidens”: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

12.   „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozóegyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;

13.   „biometrikus adat”: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzői vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

14.   „egészségügyi adat”: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

15.   „felügyeleti hatóság”: a tagállam által a 41. cikk alapján létrehozott független közhatalmi szerv;

16.   „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

4. cikk

A személyes adatok kezelésére vonatkozó elvek

(1)   A tagállamok előírják, hogy a személyes adatok:

a)

kezelését jogszerűen és tisztességesen kell végezni;

b)

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

c)

az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;

d)

pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;

e)

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;

f)

kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

(2)   Az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:

a)

az adatkezelő az uniós vagy tagállami joggal összhangban jogosult az említett személyes adatokat az említett célból kezelni, és

b)

az adatkezelés az uniós vagy tagállami joggal összhangban, az említett egyéb cél szempontjából szükséges és arányos.

(3)   Az azonos vagy más adatkezelő által végzett adatkezelésbe beletartozhat az 1. cikk (1) bekezdésében meghatározott célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás is, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak.

(4)   Az adatkezelő felel az (1), (2) és (3) bekezdésnek való megfelelésért, és képesnek kell lennie a megfelelés bizonyítására.

5. cikk

A tárolásra és a felülvizsgálatra vonatkozó határidők

A tagállamok megfelelő határidőket állapítanak meg a személyes adatok törlésére vagy tárolásuk szükségességének rendszeres felülvizsgálatára. E határidők betartását eljárásjogi intézkedésekkel kell biztosítani.

6. cikk

Az érintettek különböző kategóriái közötti különbségtétel

A tagállamok előírják az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között az alábbiak szerint:

a)

olyan személyek, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni;

b)

bűncselekmény elkövetéséért elítélt személyek;

c)

bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozatai lehetnek, és

d)

a bűncselekmény kapcsán érintett egyéb felek, például olyan személyek, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során felszólíthatók vallomástételre, bűncselekményről információval szolgálhatnak, vagy az a) és b) pontban említett személyekkel kapcsolatban vannak vagy e személyek bűntársai.

7. cikk

A személyes adatok és a személyes adatok minőségének ellenőrzése közötti különbségtétel

(1)   A tagállamok előírják, hogy amennyire lehetséges, különbséget kell tenni a tényeken alapuló és a személyes értékelésen alapuló személyes adatok között.

(2)   A tagállamok az illetékes hatóságok számára előírják, hogy minden észszerű intézkedést tegyenek meg annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész személyes adatokat ne lehessen továbbítani vagy hozzáférhetővé tenni. E célból az illetékes hatóságok a továbbítást vagy hozzáférhetővé tételt megelőzően – amennyire ez a gyakorlatban megvalósítható – ellenőrzik a személyes adatok minőségét. Amennyire lehetséges, minden személyesadat-továbbításkor csatolni kell azokat a szükséges információkat, amelyek lehetővé teszik az adatokat átvevő illetékes hatóság számára, hogy a személyes adatok pontosságát, teljességét, megbízhatóságát és naprakészségét értékelje.

(3)   Ha kiderül, hogy pontatlan személyes adatokat továbbítottak vagy a személyes adatokat jogszerűtlenül továbbították, a címzettet erről haladéktalanul értesíteni kell. Ebben az esetben a 16. cikkel összhangban a személyes adatokat helyesbíteni, törölni vagy az adatkezelést korlátozni kell.

8. cikk

Az adatkezelés jogszerűsége

(1)   A tagállamok biztosítják, hogy az adatkezelés csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az 1. cikk (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.

(2)   Az ezen irányelv hatálya alá tartozó adatkezelést szabályozó tagállami jogban rendelkezni kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.

9. cikk

Különös adatkezelési feltételek

(1)   Az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból gyűjtött személyes adatok az 1. cikk (1) bekezdésében meghatározottaktól eltérő célból nem kezelhetők, kivéve, ha az az ilyen adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Ha személyes adatokat ilyen más célokból kezelnek, az (EU) 2016/679 rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

(2)   Ha a tagállami jog az 1. cikk (1) bekezdésében meghatározott célokból végzett feladatoktól eltérő feladatok elvégzését írja elő az illetékes hatóságok számára, az ilyen célokból történő adatkezelésre, ideértve a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelést is, az (EU) 2016/679 rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

(3)   A tagállamok előírják, hogy ha a továbbító illetékes hatóságra alkalmazandó uniós vagy tagállami jog az adatkezelésre vonatkozóan különös feltételeket ír elő, a továbbító illetékes hatóság tájékoztassa a személyes adatok címzettjét, az említett feltételekről és a betartásukra vonatkozó követelményről.

(4)   A tagállamok előírják, hogy a továbbító illetékes hatóság ne alkalmazzon más tagállambeli címzettekre, illetve az EUMSZ V. címének 4. és 5. fejezete szerint létrehozott ügynökségekre, hivatalokra és szervekre a (3) bekezdés szerinti olyan feltételeket, amelyeket a továbbító illetékes hatóság szerinti tagállamon belüli hasonló adattovábbításokra sem kell alkalmazni.

10. cikk

A személyes adatok különleges kategóriáinak kezelése

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése csak akkor megengedett, az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett, ha arra feltétlenül szükség van és:

a)

az uniós vagy tagállami jog lehetővé teszi;

b)

az érintett vagy más természetes személy létfontosságú érdekeinek védelmét szolgálja; vagy

c)

az ilyen adatkezelés olyan adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.

11. cikk

Automatizált döntéshozatal egyedi ügyekben

(1)   A tagállamok előírják, hogy az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés, amelynek joghatása az érintettre nézve hátrányos vagy őt jelentős mértékben érinti, tilos, kivéve, ha az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciákról is rendelkezik, ideértve legalább az érintett jogát arra, hogy az adatkezelőtől emberi beavatkozást kérjen.

(2)   Az e cikk (1) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 10. cikkben említett különleges kategóriáin, kivéve, ha az érintett jogainak, szabadságainak és jogos érdekeinek védelmét megfelelő intézkedések biztosítják.

(3)   A személyes adatok 10. cikk szerinti különleges kategóriái alapján történő olyan profilalkotást, amely a természetes személyekre vonatkozóan megkülönböztetést eredményez, az uniós joggal összhangban tiltani kell.

III. FEJEZET

Az érintett jogai

12. cikk

Tájékoztatás és az érintett jogainak gyakorlására vonatkozó módok

(1)   A tagállamok előírják, hogy az adatkezelőnek megfelelő lépéseket kell hoznia annak érdekében, hogy az érintett részére az adatok kezelésére vonatkozó, a 13. cikkben említett valamennyi információt és a 11., a 14–18. és a 31. cikk szerinti bármilyen tájékoztatást tömör, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. Az információ bármilyen megfelelő módon – így elektronikus úton is – nyújtható. Az adatkezelő az információkat főszabályként a kérelem formájával megegyező formában nyújtja.

(2)   A tagállamok előírják, hogy az adatkezelőnek elő kell segítenie az érintett 11. és 14–18. cikk szerinti jogainak gyakorlását.

(3)   A tagállamok előírják, hogy az érintettet az adatkezelőnek írásban és indokolatlan késedelem nélkül tájékoztatnia kell kérelme elbírálásának fejleményeiről.

(4)   A tagállamok előírják, hogy a 13. cikk szerinti információkat, valamint a 11., a 14–18. és a 31. cikkek szerinti tájékoztatást, illetve intézkedést díjmentesen kell biztosítani, illetve meghozni. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő:

a)

észszerű összegű díjat számíthat fel, figyelemmel a kért információ vagy tájékoztatás nyújtásával, illetve a kért intézkedés meghozatalával járó adminisztratív költségekre; vagy

b)

megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(5)   Ha az adatkezelőnek megalapozott kétségei vannak a 14. vagy 16. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

13. cikk

Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk

(1)   A tagállamok előírják, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania legalább az alábbi információkat:

a)

az adatkezelő személye és elérhetőségei;

b)

adott esetben az adatvédelmi tisztviselő elérhetőségei;

c)

a személyes adatok tervezett kezelésének célja;

d)

panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

e)

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.

(2)   Annak érdekében, hogy az érintett gyakorolni tudja jogait, a tagállamok jogszabályban rendelkeznek arról, hogy az adatkezelőnek meghatározott esetekben az (1) bekezdésben említetteken felül tájékoztatnia kell a címzettet:

a)

az adatkezelés jogalapjáról;

b)

a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

c)

adott esetben a személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;

d)

szükség esetén további információkról, különösen akkor, ha az adatok gyűjtésére az érintett tudomása nélkül került sor.

(3)   A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintett (2) bekezdés szerinti tájékoztatásának annyiban és addig történő késleltetésére, korlátozására vagy mellőzésére, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

(4)   A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen a (3) bekezdés valamely pontjának hatálya alá.

14. cikk

Az érintett hozzáférési joga

A 15. cikkre is figyelemmel a tagállamok előírják, hogy az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a)

az adatkezelés céljai és jogalapja;

b)

az érintett személyes adatok kategóriái;

c)

olyan címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d)

adott esetben, a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését, vagy kezelésének korlátozását;

f)

panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

g)

tájékoztatás az adatkezelés tárgyát képező személyes adatokról és az azok forrására vonatkozó minden elérhető információ.

15. cikk

A hozzáférési jog korlátozása

(1)   A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintettek hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

(2)   A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen az (1) bekezdés a)–e) pontjának hatálya alá.

(3)   A tagállamok előírják, hogy az (1) és (2) bekezdésben említett esetekben az adatkezelőnek írásban haladéktalanul tájékoztatnia kell az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha e tájékoztatás nyújtása ellentétes lenne az (1) bekezdésbe foglalt valamelyik céllal. A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet a felügyeleti hatósághoz címezhető panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

(4)   A tagállamok előírják, hogy az adatkezelőnek nyilván kell tartania a döntés ténybeli vagy jogi indokait. Ezeket az információkat a felügyeleti hatóságok rendelkezésére kell bocsátani.

16. cikk

A személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog

(1)   A tagállamok előírják, hogy az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatok kezelésének célját, a tagállamok előírják, hogy az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

(2)   A tagállamok előírják, hogy az adatkezelőnek indokolatlan késedelem nélkül törölnie kell a személyes adatokat, az érintett pedig jogosult arra, hogy kérésére a rá vonatkozó személyes adatokat az adatkezelő indokolatlan késedelem nélkül törölje, ha az adatkezelés sérti a 4., 8. vagy 10. cikk alapján elfogadott rendelkezéseket, vagy ha a személyes adatokat az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez törölni kell.

(3)   Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:

a)

az érintett vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen; vagy

b)

a személyes adatokat bizonyítás céljából meg kell őrizni.

Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.

(4)   A tagállamok előírják, hogy az adatkezelőnek az érintettet írásban tájékoztatnia kell a helyesbítésnek, a törlésnek vagy az adatkezelés korlátozásának a megtagadásáról és a megtagadás indokairól. A tagállamok jogalkotási intézkedéseket fogadhatnak el az ilyen információkra vonatkozó tájékoztatási kötelezettség annyiban történő teljes vagy részleges korlátozására, amennyiben e korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül ahhoz, hogy:

a)

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b)

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c)

biztosított legyen a közbiztonság védelme;

d)

biztosított legyen a nemzetbiztonság védelme;

e)

biztosított legyen mások jogainak és szabadságainak védelme.

A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

(5)   A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell a pontatlan személyes adatok helyesbítéséről azt az illetékes hatóságot, amelytől a pontatlan személyes adat származik.

(6)   A tagállamok előírják, hogy amennyiben a személyes adatokat helyesbítették vagy törölték, illetve az adatkezelést korlátozták az (1), (2) és (3) bekezdés szerinti esetekben, az adatkezelőnek értesítenie kell a címzetteket, akiknek vagy amelyeknek saját felelősségi körükön belül kell a személyes adatokat helyesbíteniük vagy törölniük, illetve azok kezelését korlátozniuk.

17. cikk

Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés

(1)   A 13. cikk (3) bekezdése, a 15. cikk (3) bekezdése és a 16. cikk (4) bekezdése szerinti esetekben a tagállamok olyan rendelkezéseket fogadnak el, amelyek értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet.

(2)   A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy jogait a felügyeleti hatóság közreműködésével is gyakorolhatja az (1) bekezdésnek megfelelően.

(3)   Amennyiben az (1) bekezdés szerinti jog gyakorlására sor kerül, a felügyeleti hatóság az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. A felügyeleti hatóság az érintetett a bírósági jogorvoslathoz való jogáról is tájékoztatja.

18. cikk

Az érintettet a bűnügyi nyomozások és büntetőeljárások során megillető jogok

A tagállamok előírhatják, hogy a 13., 14. és 16. cikkben említett jogokat a tagállami joggal összhangban kell gyakorolni, ha a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy jegyzőkönyv vagy ügyirat tartalmazza.

IV. FEJEZET

Adatkezelő és adatfeldolgozó

1. szakasz

Általános kötelezettségek

19. cikk

Az adatkezelő kötelezettségei

(1)   A tagállamok előírják, hogy az adatkezelőnek az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából, hogy az adatok kezelése ezen irányelvvel összhangban történik. Ezeket az intézkedéseket felül kell vizsgálni és szükség esetén naprakésszé kell tenni.

(2)   Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

20. cikk

Beépített és alapértelmezett adatvédelem

(1)   A tagállamok előírják, hogy az adatkezelőnek a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezésii intézkedéseket – például álnevesítést – kell végrehajtania, amelyek célja egyrészt adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2)   A tagállamok előírják, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítják, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne váljanak hozzáférhetővé meghatározatlan számú személy számára.

21. cikk

Közös adatkezelők

(1)   A tagállamok előírják, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, közös adatkezelőnek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák az ezen irányelv teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót kell kijelölni. A tagállamok kijelölhetik, hogy a közös adatkezelők közül melyik az az egyedüli kapcsolattartó, akihez az érintettek jogaik gyakorlása érdekében fordulhatnak.

(2)   Az (1) bekezdésben említett megállapodás feltételeitől függetlenül a tagállamok rendelkezhetnek arról, hogy az érintett az ezen irányelv alapján elfogadott rendelkezések szerinti jogait mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja.

22. cikk

Adatfeldolgozó

(1)   A tagállamok előírják, hogy ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek kellő garanciákat nyújtanak az adatkezelés ezen irányelv követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2)   A tagállamok előírják, hogy az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezzel a változtatásokkal szemben kifogást emeljen.

(3)   A tagállamok előírják, hogy az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan, az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződésnek vagy más jogi aktusnak különösen elő kell írnia, hogy az adatfeldolgozó:

a)

kizárólag az adatkezelő utasítása alapján jár el;

b)

biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)

minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;

d)

az adatkezelési szolgáltatásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő;

e)

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben foglaltak teljesítésének igazolásához szükséges;

f)

teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (3) bekezdésben említett feltételeket.

(4)   A (3) bekezdésben említett szerződést vagy más jogi aktust írásba – ideértve az formátumot is – kell foglalni.

(5)   Ha egy adatfeldolgozó ezen irányelvet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

23. cikk

Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

A tagállamok előírják, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

24. cikk

Az adatkezelési tevékenységek nyilvántartása

(1)   A tagállamok előírják, hogy az adatkezelőknek a felelősségükbe tartozóan végzett adatkezelési tevékenységek kategóriáiról nyilvántartást kell vezetniük. E nyilvántartás a következő információkat tartalmazza:

a)

az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelő és az adatvédelmi tisztviselő neve és elérhetősége;

b)

az adatkezelés céljai;

c)

olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket;

d)

az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

e)

adott esetben a profilalkotás alkalmazásának jelzése;

f)

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbításának kategóriái;

g)

azon adatkezelési művelet, ideértve az adattovábbítást is, jogalapjának megjelölése, amelyre a személyes adatok vonatkoznak;

h)

ha lehetséges, a személyes adatok különböző kategóriáinak törlésére előirányzott határidők;

i)

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

(2)   A tagállamok előírják, hogy minden adatfeldolgozónak nyilvántartást kell vezetnie az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

a)

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, minden olyan adatkezelő neve és elérhetősége, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatvédelmi tisztviselő neve és elérhetőségei;

b)

az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, ha erre az adatkezelő kifejezetten utasítást ad, ideértve a harmadik ország vagy a nemzetközi szervezet azonosítását is;

d)

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

(3)   Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

Az adatkezelő és az adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja az említett nyilvántartást.

25. cikk

Naplózás

(1)   A tagállamok előírják, hogy legalább a következő adatkezelési műveleteket automatizált adatkezelési rendszerben kell naplózni: gyűjtés, megváltoztatás, betekintés, közlés – ideértve a továbbítást is –, összekapcsolás, illetve törlés. A betekintésre és a közlésre vonatkozó naplók lehetővé kell, hogy tegyék e műveletek indokoltságának, dátumának és időpontjának, valamint – lehetőség szerint – a személyes adatba betekintő vagy azt közlő személyek személyazonosságának, illetve az ilyen személyes adatok címzettjei személyazonosságának a megállapítását.

(2)   A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, a személyes adatok integritásának és biztonságának szavatolására, valamint büntetőeljárások keretében használhatók fel.

(3)   Az adatkezelő és az adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja a a naplókat.

26. cikk

Együttműködés a felügyeleti hatósággal

A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó a feladataik végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködni köteles.

27. cikk

Adatvédelmi hatásvizsgálat

(1)   Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a tagállamok előírják, hogy az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

(2)   Az (1) bekezdésben említett vizsgálat kiterjed legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelése céljából tervezett intézkedésekre, a személyes adatok védelmét és az ezen irányelvben foglalt rendelkezésekkel való összhang igazolására szolgáló garanciákra, biztonsági intézkedésekre és mechanizmusokra, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit.

28. cikk

Előzetes konzultáció a felügyeleti hatósággal

(1)   A tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak konzultálnia kell a felügyeleti hatósággal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:

a)

a 27. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy

b)

az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.

(2)   A tagállamok előírják, hogy a felügyeleti hatósággal konzultálni kell az adatkezeléshez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre, vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre irányuló javaslatok előkészítése során.

(3)   A tagállamok előírják, hogy a felügyeleti hatóság létrehozhat egy listát azokról az adatkezelési műveletekről, amelyek az (1) bekezdés szerinti előzetes konzultáció tárgyát képezik.

(4)   A tagállamok előírják, hogy az adatkezelőnek a felügyeleti hatóság rendelkezésére kell bocsátania a 27. cikkben előírt adatvédelmi hatásvizsgálatot, valamint megkeresés alapján az összes olyan egyéb információt, amely lehetővé teszi a felügyeleti hatóság számára az adatkezelés megfelelőségének, valamint különösen az érintett személyes adatainak védelmére vonatkozó kockázatoknak és a kapcsolódó garanciáknak a vizsgálatát.

(5)   A tagállamok előírják, hogy ha a felügyeleti hatóság véleménye szerint az e cikk (1) bekezdése szerinti tervezett adatkezelés megsértené az ezen irányelv alapján elfogadott rendelkezéseket – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság köteles az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított hat héten belül írásban tanácsot adni, és gyakorolhatja a 47. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – egy hónappal meghosszabbítható. A felügyeleti hatóság a konzultáció iránti megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól.

2. szakasz

A személyes adatok biztonsága

29. cikk

Az adatkezelés biztonsága

(1)   A tagállamok előírják, hogy az adatkezelőnek és az adatfeldolgozónak, hogy a tudomány és a technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a személyek jogaira és szabadságaira jelentett változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, különösen a személyes adatok 10. cikk szerinti különleges kategóriáinak kezelését illetően.

(2)   Az automatizált adatkezelés tekintetében a tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak a kockázatok értékelését követően intézkedéseket kell tennie a következő célok érdekében:

a)

a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez (berendezésekhez való hozzáférés ellenőrzése);

b)

az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c)

a személyes adatok jogosulatlan bevitelének, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d)

az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

e)

annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá (az adatokhoz való hozzáférés ellenőrzése);

f)

annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

g)

annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);

h)

a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, adatmásolás, adatmódosítás vagy adattörlés megakadályozása (szállítás ellenőrzése);

i)

annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók (helyreállítás);

j)

annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén nem sérülnek (integritás).

30. cikk

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

(1)   A tagállamok előírják, hogy az adatvédelmi incidenst az adatkezelőnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a felügyeleti hatóság felé a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2)   Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3)   Az (1) bekezdésben említett bejelentésben legalább:

a)

ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)

közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;

c)

ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d)

ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4)   Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5)   A tagállamok előírják, hogy az adatkezelőnek nyilván kell tartania az (1) bekezdésben említett összes adatvédelmi incidenst, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy, a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

(6)   A tagállamok előírják, hogy amennyiben az adatvédelmi incidens során olyan adat sérült, amelyeket valamely másik tagállam adatkezelője továbbított, vagy amelyeket részére továbbítottak, a (3) bekezdésben említett információkat indokolatlan késedelem nélkül közölni kell ezen másik tagállam adatkezelőjével.

31. cikk

Az érintett tájékoztatása az adatvédelmi incidensről

(1)   A tagállamok előírják, hogy ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.

(2)   Az e cikk (1) bekezdésében említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 30. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

(3)   Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

a)

az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b)

az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintettek jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c)

a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

(4)   Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

(5)   Az érintettnek az e cikk (1) bekezdése szerinti tájékoztatása a 13. cikk (3) bekezdésében foglalt feltételekkel és okokból késleltethető, korlátozható vagy elhagyható.

3. szakasz

Adatvédelmi tisztviselő

32. cikk

Az adatvédelmi tisztviselő kijelölése

(1)   A tagállamok előírják, hogy az adatkezelőnek adatvédelmi tisztviselőt kell kijelölnie. A tagállamok az igazságszolgáltatási feladatkörükben eljáró bíróságokat és egyéb független igazságügyi hatóságokat mentesíthetik e kötelezettség alól.

(2)   Az adatvédelmi tisztviselőt szakmai képességei és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 34. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(3)   Több illetékes hatóság számára szervezeti felépítésük és méretük figyelembevételével közös adatvédelmi tisztviselő is kijelölhető.

(4)   A tagállamok előírják, hogy az adatkezelőnek nyilvánosságra kell hoznia az adatvédelmi tisztviselő nevét és elérhetőségeit, és azokat a felügyeleti hatósággal közölnie kell.

33. cikk

Az adatvédelmi tisztviselő jogállása

(1)   A tagállamok előírják, hogy az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)   Az adatkezelő támogatja az adatvédelmi tisztviselőt a 34. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

34. cikk

Az adatvédelmi tisztviselő feladatai

A tagállamok előírják, hogy az adatkezelőnek legalább az alábbi feladatokat az adatvédelmi tisztviselőre kell bíznia:

a)

tájékoztatást és szakmai tanácsot ad az adatkezelő, továbbá az adatkezelést végző alkalmazottak részére az ezen irányelv szerinti, valamint egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b)

ellenőrzi az ezen irányelvnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését és tudatosság-növelését, valamint a kapcsolódó auditokat is;

c)

kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 27. cikkszerinti elvégzését;

d)

együttműködik a felügyeleti hatósággal;

e)

az adatkezeléssel összefüggő ügyekben – ideértve a 28. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

V. FEJEZET

A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása

35. cikk

A személyes adatok továbbításaira vonatkozó általános elvek

(1)   A tagállamok előírják, hogy a személyes adatoknak az illetékes hatóságok általi bármely továbbítására – ideértve egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítást is –, amelyeket harmadik országokba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, az ezen irányelv egyéb rendelkezései alapján elfogadott nemzeti rendelkezések betartása mellett, ha teljesülnek az e fejezetben rögzített feltételek, nevezetesen:

a)

az adattovábbítás az 1. cikk (1) bekezdésében meghatározott célokból szükséges;

b)

a személyes adatokat olyan harmadik országbeli adatkezelőhöz vagy olyan nemzetközi szervezet részére továbbítják, amely az 1. cikk (1) bekezdésében említett célok tekintetében illetékes hatóságnak minősül;

c)

abban az esetben, ha a személyes adatokat egy másik tagállam továbbította vagy bocsátotta rendelkezésre, az említett tagállam a nemzeti jogával összhangban előzetesen engedélyezte az adattovábbítást;

d)

a Bizottság a 36. cikk szerint megfelelőségi határozatot hozott, vagy ilyen határozat hiányában a 37. cikk szerint megfelelő garanciákat nyújtottak vagy azok adottak, vagy a 36. cikk szerinti megfelelőségi határozat hiányában vagy 37. cikk megfelelő garanciák hiányában a 38. cikk szerint meghatározott kivételes esetekben biztosított eltéréseket kell alkalmazni; és

e)

abban az esetben, ha egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítás esetén az eredeti továbbítást végző illetékes hatóság vagy ugyanazon tagállam valamely más illetékes hatósága engedélyezi az adatok újbóli továbbítását, miután kellőképpen figyelembe vett minden releváns tényezőt, köztük a bűncselekmény súlyosságát, a személyes adat továbbításának eredeti célját, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy nemzetközi szervezetnél, amelynek részére a személyes adatokat újból továbbítják.

(2)   A tagállamok előírják, hogy a valamely másik tagállamnak az (1) bekezdés c) pontja szerinti előzetes engedélye nélküli adattovábbítás csak akkor megengedett, ha a személyes adatok továbbítása egy tagállam vagy harmadik ország közbiztonságát vagy egy tagállam alapvető érdekeit fenyegető súlyos és közvetlen veszély megelőzése érdekében szükséges, és az előzetes engedély nem szerezhető be kellő időben. Az előzetes engedélyezésért felelős hatóságot haladéktalanul tájékoztatni kell.

(3)   E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személy számára ebben az irányelvben garantált védelem szintje ne sérüljön.

36. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)   A tagállamok előírják, hogy személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, annak valamely területe vagy egy vagy több meghatározott ágazata, vagy az említett nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

(2)   A védelmi szint megfelelőségének értékelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

a)

a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, a nemzetbiztonságra vonatkozó és a büntető anyagi jogi rendelkezések, a közhatalmi szervek személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint az ilyen jogszabályok végrehajtása, az adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

b)

a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság – a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között hatékony kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

c)

a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei.

(3)   A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktus útján határozhat arról, hogy harmadik ország vagy a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet az e cikk (2) bekezdése értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – az e cikk (2) bekezdése b) pontjában említett felügyeleti hatóságot, illetve hatóságokat. A végrehajtási jogi aktust az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(4)   A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik a (3) bekezdés alapján elfogadott határozatok végrehajtását.

(5)   A Bizottság – amennyiben a rendelkezésre álló információk azt feltárják, különösen az e cikk (3) bekezdésében említett felülvizsgálat alapján – határoz arról, hogy a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, vagy valamely nemzetközi szervezet már nem biztosítja az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, és a szükséges mértékben, visszaható hatály nélkül végrehajtási jogi aktusával hatályon kívül helyezi, módosítja vagy felfüggeszti az e cikk (3) bekezdésében említett határozatot. E végrehajtási jogi aktusokat az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Kellően indokolt, rendkívül sürgős esetben a Bizottság azonnal alkalmazandó végrehajtási jogi aktusokat fogad el az 58. cikk (3) bekezdésében említett eljárás keretében.

(6)   A Bizottság konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az (5) bekezdés szerinti határozat meghozatalához vezető helyzet orvoslása érdekében.

(7)   A tagállamok rendelkeznek arról, hogy az e cikk (5) bekezdése szerinti határozat nem érinti az említett személyes adatok továbbítását a 37. és 38. cikk alapján a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve az adott nemzetközi szervezet részére.

(8)   A Bizottság az Európai Unió Hivatalos Lapjában és annak weboldalán közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

37. cikk

Adattovábbítás megfelelő garanciákkal

(1)   A 36. cikk (3) bekezdése szerinti határozat hiányában a tagállamok rendelkeznek arról, hogy harmadik ország vagy nemzetközi szervezet részére személyes adatok akkor továbbíthatók, ha:

a)

a személyes adatok védelmére kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak; vagy

b)

az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta, és megállapította, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn.

(2)   Az adatkezelő tájékoztatja a felügyeleti hatóságot az (1) bekezdés b) pontja szerint továbbított adatok kategóriáiról.

(3)   Ha az adattovábbítás az (1) bekezdés b) pontján alapul, e továbbításokat dokumentálni kell, és kérelemre a dokumentációt a felügyeleti hatóság rendelkezésére kell bocsátani, beleértve a továbbítás napját és időpontját, az átvevő illetékes hatóságra vonatkozó információt, a továbbítás indokát és a továbbított személyes adatokat.

38. cikk

Kivételes esetekben biztosított eltérések

(1)   A tagállamok előírják, hogy a 36. cikk szerinti megfelelőségi határozat vagy a 37. cikk szerinti megfelelő garanciák hiányában a személyes adatok vagy személyes adatok kategóriáinak harmadik ország vagy nemzetközi szervezet részére történő továbbítására csak azzal a feltétellel kerülhet sor, hogy az adattovábbítás szükséges:

a)

az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében;

b)

az érintett jogos érdekeinek biztosításához, amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik;

c)

valamely tagállam vagy harmadik ország közbiztonságának fenntartását közvetlenül és komolyan fenyegető veszély elhárítása érdekében;

d)

egyedi esetekben az 1. cikk (1) bekezdésében meghatározott célokból; vagy

e)

valamely, az 1. cikk (1) bekezdésében meghatározott célokhoz kapcsolódó jogi igények előterjesztésére, érvényesítésére, illetve védelmére irányuló egyedi ügyben.

(2)   Nem továbbítható a személyes adat, amennyiben az adatokat továbbító illetékes hatóság megállapítja, hogy az érintett alapvető jogai és szabadságai, az (1) bekezdés d) és e) pontjában említett adattovábbítást igénylő közérdekkel szemben elsőbbséget élveznek.

(3)   Ha az adattovábbítás az (1) bekezdésen alapul, e továbbításokat dokumentálni kell, és kérésre a dokumentációt a felügyeleti hatóság rendelkezésére kell bocsátani, beleértve a továbbítás napját és időpontját, az átvevő illetékes hatóságra vonatkozó információt, a továbbítás indokát és a továbbított személyes adatokat.

39. cikk

Személyes adatok továbbítása harmadik országbeli címzettek részére

(1)   A 35. cikk (1) bekezdésének b) pontjától eltérve és az e cikk (2) bekezdésében említett bármely nemzetközi megállapodás sérelme nélkül, az uniós vagy tagállami jog előírhatja, hogy a 3. cikk (7) bekezdésének a) pontjában említett illetékes hatóságok egyedi és kivételes esetekben továbbíthatnak személyes adatokat közvetlenül harmadik országbeli címzettek részére, de kizárólag az ezen irányelvben foglalt egyéb rendelkezések betartása és a következő feltételek együttes teljesülése esetén:

a)

az adattovábbítás feltétlenül szükséges valamely olyan feladat ellátásához, amelyet az adatokat továbbító illetékes hatóság az uniós vagy tagállami jog alapján végez az 1. cikk (1) bekezdésében meghatározott célokból;

b)

az adatokat továbbító illetékes hatóság megállapítja, hogy az adott ügyben, az érintettnek az adattovábbítást igénylő közérdekkel szemben nincs olyan alapvető joga és szabadsága, amely elsőbbséget élvez;

c)

az adatokat továbbító illetékes hatóság úgy véli, hogy az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóság számára történő továbbítás nem hatékony vagy nem célszerű, különösen azért, mert arra nem kerülhet kellő időben sor;

d)

az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóságot indokolatlan késedelem nélkül tájékoztatják, kivéve, ha ez nem hatékony vagy nem célszerű, és

e)

az adatokat továbbító illetékes hatóság tájékoztatja a címzettet arról a konkrét célról vagy azokról a konkrét célokról, amelyek érdekében a személyes adatokat a címzett kezelheti, feltéve, hogy az ilyen adatkezelésre szükség van.

(2)   Az (1) bekezdésben említett nemzetközi megállapodásnak minősül a tagállamok és a harmadik országok között létrejött, a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén hatályos bármely kétoldalú vagy többoldalú nemzetközi megállapodás.

(3)   Az adatokat továbbító illetékes hatóság tájékoztatja a felügyeleti hatóságot az e cikk szerinti adattovábbításokról.

(4)   Amennyiben az adattovábbítás az (1) bekezdésen alapul, akkor azt dokumentálni kell.

40. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

A Bizottság és a tagállamok a harmadik országok és nemzetközi szervezetek viszonylatában megfelelő lépéseket tesznek annak érdekében, hogy:

a)

a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)

a személyes adatok védelméről szóló jogszabályok érvényesítésében kölcsönös nemzetközi segítségnyújtást biztosítsanak, többek között értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c)

az érintett érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d)

előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országokkal előforduló joghatósági összeütközéseket is.

VI. FEJEZET

Független felügyeleti hatóságok

1. szakasz

Független jogállás

41. cikk

Felügyeleti hatóság

(1)   A tagállamok előírják, hogy a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében ezen irányelv alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv feleljen („felügyeleti hatóság”).

(2)   Valamennyi felügyeleti hatóság elősegíti ezen irányelv egységes alkalmazását az Unió egész területén. A felügyeleti hatóságok e célból a VII. fejezetben meghatározottak szerint együttműködnek egymással és a Bizottsággal.

(3)   A tagállamok előírhatják, hogy az ezen irányelvben említett felügyeleti hatóság az (EU) 2016/679 rendelet alapján létrehozott felügyeleti hatóság legyen, és ez a hatóság lássa el az e cikk (1) bekezdése értelmében létrehozandó felügyeleti hatóság feladatait.

(4)   Ha valamely tagállamban egynél több felügyeleti hatóságot hoztak létre, a tagállam kijelöli azt a felügyeleti hatóságot, amelyik ellátja az említett hatóságok képviseletét az 51. cikk szerinti Testületben.

42. cikk

Függetlenség

(1)   A tagállamok előírják, hogy felügyeleti hatóságaik az ezen irányelvvel összhangban rájuk ruházott feladatok végzése és hatásköreik gyakorlása során teljesen függetlenül kell, hogy eljárjanak.

(2)   A tagállamok előírják, hogy felügyeleti hatóságaik tagja vagy tagjai az ezen irányelvvel összhangban rájuk ruházott feladatok végzése és hatáskörök gyakorlása során mindennemű – közvetlen vagy közvetett – külső befolyástól mentesen kell, hogy eljárjanak, és utasítást senkitől sem kérhetnek vagy fogadhatnak el.

(3)   A tagállamok felügyeleti hatóságainak tagjai tartózkodnak a feladataik ellátásával összeférhetetlen cselekményektől, és hivatali idejük alatt sem javadalmazás ellenében, sem anélkül nem vállalhatnak azzal összeférhetetlen szakmai tevékenységet.

(4)   A tagállamok biztosítják, hogy a felügyeleti hatóság rendelkezésére álljanak a feladatai eredményes ellátásához és hatáskörei – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvétel keretei között végzett tevékenységeket is – eredményes gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.

(5)   A tagállamok biztosítják, hogy a felügyeleti hatóság kiválaszthassa saját személyzetét és rendelkezzen e személyzettel, amely a felügyeleti hatóság tagjának vagy tagjainak kizárólagos irányítása alá tartozik.

(6)   A tagállamok biztosítják, hogy a felügyeleti hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozzon és saját, nyilvános éves költségvetéssel rendelkezzen, amely az állami vagy nemzeti költségvetés részét képezheti.

43. cikk

A felügyeleti hatóság tagjaira vonatkozó általános feltételek

(1)   A tagállamok előírják, hogy felügyeleti hatóságaik minden tagját átlátható eljárás keretében nevezze ki az alábbiak egyike:

parlamentjük,

kormányuk,

államfőjük, vagy

a tagállami jog alapján a kinevezéssel megbízott független szerv.

(2)   A felügyeleti hatóságok valamennyi tagjának rendelkeznie kell a feladatai ellátásához és hatásköre gyakorlásához szükséges képesítéssel, tapasztalattal és készségekkel, különösen a személyes adatok védelme területén.

(3)   A tagok feladatköre a hivatali idő lejártával, lemondással vagy kötelező nyugdíjazással szűnik meg, az érintett tagállam jogában előírtaknak megfelelően.

(4)   Tag felmentésére kizárólag súlyos kötelességszegés esetén, vagy abban az esetben kerülhet sor, ha a tag már nem felel meg a feladatai ellátásához szükséges feltételeknek.

44. cikk

A felügyeleti hatóság létrehozására vonatkozó szabályok

(1)   A tagállamok jogszabályban rendelkeznek valamennyi alábbi kérdésről:

a)

minden egyes felügyeleti hatóság létrehozásáról;

b)

az egyes felügyeleti hatóságok tagjává való kinevezéshez szükséges képesítésekről és a pályázati feltételekről;

c)

az egyes felügyeleti hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályokról és eljárásokról;

d)

az egyes felügyeleti hatóságok tagja vagy tagjai megbízatásának időtartamáról, amelynek legalább négy évre kell szólnia, kivéve a 2016. május 6-át követő első kinevezést, amely rövidebb időtartamra is szólhat, ha ez a felügyeleti hatóság függetlenségének megőrzése érdekében a kinevezéseket több lépcsőben kell végrehajtani;

e)

arról, hogy az egyes felügyeleti hatóságok tagja vagy tagjai újra kinevezhetők-e, és ha igen, hány ciklusra;

f)

az egyes felügyeleti hatóságok tagja vagy tagjai, személyzete kötelezettségeinek ellátására vonatkozó feltételekről, a hivatali idő alatt és azt követően a feladatuk ellátásával összeférhetetlen szakmai tevékenységre, foglalkozásokra és juttatásokra vonatkozó tiltó rendelkezésekről, valamint a munkavégzésre irányuló jogviszony megszűnésére vonatkozó szabályokról.

(2)   Az uniós vagy tagállami jognak megfelelően minden egyes felügyeleti hatóság tagját vagy tagjait és személyzetét a feladataik ellátása és hatáskörük gyakorlása során tudomásukra jutott bármely bizalmas információ tekintetében hivatali idejük alatt és annak lejártát követően is szakmai titoktartási kötelezettség terheli. Hivatali idejük alatt ez a szakmai titoktartási kötelezettség különösen vonatkozik a természetes személyek által ezen irányelv megsértését illetően tett bejelentésekre.

2. szakasz

Illetékesség, feladatok és hatáskörök

45. cikk

Illetékesség

(1)   A tagállamok rendelkeznek arról, hogy felügyeleti hatóságaik a saját tagállamuk területén illetékesek az ezen irányelv alapján rájuk ruházott feladatok végzésére és hatáskörök gyakorlására.

(2)   A tagállamok rendelkeznek arról, hogy felügyeleti hatóságaik hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére. A tagállamok rendelkezhetnek úgy, hogy az egyes felügyeleti hatóságaik hatásköre nem terjed ki az egyéb független igazságügyi hatóságok által igazságszolgáltatási feladataik körében végzett adatkezelési műveletek felügyeletére.

46. cikk

Feladatok

(1)   Valamennyi tagállam rendelkezik arról, hogy a területén felügyeleti hatóság:

a)

nyomon követi és érvényre juttatja az ezen irányelv alapján elfogadott rendelkezések és az azt végrehajtó intézkedések alkalmazását;

b)

elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével kapcsolatos kockázatok, szabályok, garanciák és jogok vonatkozásában;

c)

a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d)

felhívja az adatkezelők és az adatfeldolgozók figyelmét az ezen irányelv szerinti kötelezettségeikre;

e)

kérésre tájékoztatást ad bármely érintettnek az ezen irányelv alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival;

f)

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által az 55. cikkel összhangban benyújtott panaszokat, és a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű időn belül tájékozatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

g)

a 17. cikkel összhangban ellenőrzi az adatkezelés jogszerűségét, valamint észszerű határidőn belül tájékozatja az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

h)

együttműködik más felügyeleti hatósággal, ideértve az információcserét és kölcsönös segítséget nyújt az ezen irányelv egységes alkalmazásának és érvényesítésének biztosítása érdekében;

i)

vizsgálatot folytat le az ezen irányelv alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

j)

figyelemmel kíséri személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák fejlődését;

k)

tanácsot ad a 28. cikkben említett adatkezelési műveletekkel kapcsolatban; és

l)

hozzájárul a Testület tevékenységeihez.

(2)   A felügyeleti hatóság megkönnyíti az (1) bekezdés f) pontjában említett panaszok benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközöket sem.

(3)   A felügyeleti hatóság úgy látja el feladatait, hogy az az érintett és az adatvédelmi tisztviselő számára térítésmentes legyen.

(4)   Ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a felügyeleti hatóság észszerű összegű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a felügyeleti hatóságot terheli.

47. cikk

Hatáskörök

(1)   Valamennyi tagállam jogszabályban írja elő, hogy minden felügyeleti hatóság tényleges vizsgálati hatáskörrel rendelkezik. E hatáskörök magukban foglalják legalább azt, hogy a felügyeleti hatóság hozzáférjen az adatkezelő és az adatfeldolgozó által valamennyi kezelt személyes adathoz és a feladatainak teljesítéséhez szükséges valamennyi információhoz.

(2)   Valamennyi tagállam jogszabályban írja elő, hogy minden felügyeleti hatóság olyan tényleges korrekciós hatáskörökkel rendelkezik, mint például:

a)

az adatkezelő vagy az adatfeldolgozó figyelmeztetése azzal kapcsolatban, hogy a tervezett adatkezelési tevékenységei valószínűleg sértik az ezen irányelv alapján elfogadott rendelkezéseket;

b)

az adatkezelő vagy az adatfeldolgozó utasítása arra, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba ezzel az irányelv alapján elfogadott rendelkezésekkel, különösen a 16. cikkben foglaltaknak megfelelően a személyes adat helyesbítésének vagy törlésének, vagy az adatkezelés korlátozásának elrendelésével;

c)

az adatkezelés átmeneti vagy végleges korlátozásának, többek között tilalmának elrendelése.

(3)   Valamennyi tagállam jogszabályban biztosítja, hogy minden felügyeleti hatóság tényleges tanácsadási hatáskörrel rendelkezik arra, hogy tanácsot adjon az adatkezelő részére a 28. cikkben említett előzetes konzultációs eljárás keretében, valamint hogy saját kezdeményezésre vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt adjon a nemzeti parlament, a tagállami kormány vagy – saját nemzeti jogával összhangban – más intézmények és szervek, valamint a nyilvánosság részére.

(4)   Az e cikk szerint a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartának megfelelően előírt hatékony bírósági jogorvoslatot és tisztességes eljárást is.

(5)   A tagállamok jogszabályban előírják, hogy minden felügyeleti hatóság hatáskörrel rendelkezik arra, hogy az ezen irányelv alapján elfogadott rendelkezések megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen az ezen irányelv alapján elfogadott rendelkezések érvényre juttatása érdekében.

48. cikk

A jogsértések bejelentése

A tagállamok előírják, hogy az illetékes hatóságok hatékony mechanizmusokat dolgoznak ki annak érdekében, hogy az ezen irányelv megsértésére vonatkozó bizalmas jellegű bejelentések megtételét ösztönözzék.

49. cikk

Tevékenységi jelentések

Minden felügyeleti hatóság éves jelentést készít tevékenységéről, amely tartalmazhatja a bejelentett jogsértések típusainak és a kiszabott szankciók típusainak a jegyzékét is. A jelentéseket a nemzeti parlamentnek, a kormánynak és a tagállami jogban megjelölt más hatóságoknak kell benyújtani. A jelentéseket a nyilvánosság, a Bizottság és a Testület számára elérhetővé kell tenni.

VII. FEJEZET

Együttműködés

50. cikk

Kölcsönös segítségnyújtás

(1)   A tagállamok előírják, hogy felügyeleti hatóságaik ezen irányelv egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat és kölcsönösen segítséget nyújtanak egymásnak, valamint hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen az információkérésekre és felügyeleti intézkedésekre, például az egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.

(2)   A tagállamok előírják, hogy minden felügyeleti hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok folytatásával kapcsolatos releváns információk továbbítása.

(3)   A segítségnyújtás iránti megkeresésnek minden szükséges információt tartalmaznia kell, beleértve a megkeresés célját és okait. A kicserélt információk kizárólag a megkeresésben meghatározott célra használhatók fel.

(4)   A felügyeleti hatóság csak abban az esetben tagadhatja meg a hozzá érkezett segítségnyújtás teljesítését, ha:

a)

a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

b)

a megkeresés teljesítése sértené ezen irányelvet, az uniós jogot vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti hatóság tartozik.

(5)   A megkeresett felügyeleti hatóság tájékoztatja a megkereső felügyeleti hatóságot az ügyben elért eredményekről vagy adott esetben a megkeresés teljesítése érdekében hozott intézkedésekkel kapcsolatos fejleményekről. Ha a felügyeleti hatóság megtagadja a megkeresés teljesítését, ezt köteles a (4) bekezdésnek megfelelően indokolni.

(6)   A felügyeleti hatóságok főszabályként elektronikus úton, egységes formátum alkalmazásával továbbítják a más felügyeleti hatóság által kért információt.

(7)   A megkeresett felügyeleti hatóság által a kölcsönös segítségnyújtás iránti megkeresés nyomán tett intézkedések térítésmentesek. A felügyeleti hatóságok megállapodhatnak más felügyeleti hatóságokkal a rendkívüli körülmények közötti kölcsönös segítségnyújtásból eredő különleges költségek megtérítésére vonatkozó szabályokról.

(8)   A Bizottság végrehajtási jogi aktusok révén meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formáját és eljárásait, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus információcserére vonatkozó szabályokat. Ezeket a végrehajtási jogi aktusokat az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

51. cikk

A Testület feladatai

(1)   Az (EU) 2016/679 rendelettel létrehozott Testület („a Testület”) az ezen irányelv hatálya alá tartozó adatkezeléssel kapcsolatban az alábbi feladatokat látja el:

a)

tanácsot ad a Bizottságnak a személyes adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az ezen irányelv módosítására irányuló javaslatokat is;

b)

saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az ezen irányelv alkalmazását érintő kérdéseket, valamint ezen irányelv egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

c)

iránymutatásokat dolgoz ki a felügyeleti hatóságok számára a 47. cikk (1) és (3) bekezdése szerinti intézkedések alkalmazására;

d)

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatvédelmi incidensek és a 30. cikk (1) és (2) bekezdésében említett indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelő vagy az adatfeldolgozó köteles bejelenteni az adatvédelmi incidenst;

e)

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 31. cikk (1) bekezdésében említettek szerint;

f)

felülvizsgálja a b), illetve c) pontban említett iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

g)

véleményt bocsát ki a Bizottság számára annak értékeléséhez, hogy egy adott harmadik ország, egy harmadik ország valamely területe vagy egy vagy több meghatározott ágazata vagy egy adott nemzetközi szervezet megfelelő szintű védelmet biztosít-e, ezen belül annak megállapításához, hogy a harmadik ország vagy a harmadik ország valamely területe, meghatározott ágazata vagy a nemzetközi szervezet már nem nyújt megfelelő szintű védelmet;

h)

előmozdítja az együttműködést, valamint az információk és a legjobb gyakorlatok hatékony két- és többoldalú cseréjét a felügyeleti hatóságok között;

i)

támogatja a közös képzési programokat, továbbá megkönnyíti a személyzeti csereprogramokat a felügyeleti hatóságok között, valamint adott esetben a harmadik országok felügyeleti hatóságaival vagy a nemzetközi szervezetekkel;

j)

az adatvédelmi felügyeleti hatóságok körében világszerte előmozdítja az adatvédelmi jogra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét.

Az első albekezdés g) pontja tekintetében a Bizottság a Testület számára az összes szükséges dokumentációt rendelkezésre bocsátja, köztük a harmadik ország kormányával, a harmadik ország területével vagy meghatározott ágazatával, illetve a nemzetközi szervezettel folytatott levélváltást.

(2)   A Bizottság, ha tanácsot kér a Testülettől, az ügy sürgősségét figyelembe véve erre határidőt jelölhet meg.

(3)   A Testület továbbítja véleményeit, iránymutatásait, ajánlásait és legjobb gyakorlatait a Bizottságnak és az 58. cikk (1) bekezdésében említett bizottságnak, és nyilvánosságra hozza azokat.

(4)   A Bizottság tájékoztatja a Testületet arról, hogy milyen intézkedéseket hozott a Testület által kibocsátott vélemények, iránymutatások, ajánlások és legjobb gyakorlatok nyomán.

VIII. FEJEZET

Jogorvoslat, felelősség és szankciók

52. cikk

A felügyeleti hatóságnál történő panasztételhez való jog

(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a tagállamok előírják, hogy minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az ezen irányelv alapján elfogadott rendelkezéseket.

(2)   A tagállamok előírják, hogy amennyiben a panaszt nem a 45. cikk (1) bekezdése szerint illetékes felügyeleti hatósághoz nyújtják be, akkor az a felügyeleti hatóság, amelyhez a panaszt benyújtották, indokolatlan késedelem nélkül továbbítja azt az illetékes felügyeleti hatósághoz. A továbbításról az érintettet tájékoztatni kell.

(3)   A tagállamok előírják, hogy az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az érintett kérésére további segítséget nyújt.

(4)   Az illetékes felügyeleti hatóság tájékoztatja az érintettet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az 53. cikk szerint jogosult bírósági jogorvoslattal élni.

53. cikk

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

(1)   Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül a tagállamok úgy rendelkeznek, hogy minden természetes és jogi személy hatékony bírósági jogorvoslatra jogosult a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

(2)   Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül minden érintett hatékony bírósági jogorvoslatra jogosult, ha a 45. cikk (1) bekezdése alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet az 52. cikknek megfelelően benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

(3)   A tagállamok előírják, hogy a felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

54. cikk

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 52. cikk szerinti jog – sérelme nélkül, a tagállamok előírják, hogy az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint, a személyes adatainak az ezen irányelv alapján elfogadott rendelkezésekkel ellentétes kezelése következtében megsértették az e rendelkezések szerinti jogait.

55. cikk

Az érintettek képviselete

A tagállamok a tagállami eljárási joggal összhangban rendelkeznek arról, hogy az érintett jogosult arra, hogy panaszának nevében történő benyújtásával, és az 52., 53. és 54. cikkben említett jogoknak a nevében történő gyakorlásával olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

56. cikk

A kártérítéshez való jog

A tagállamok előírják, hogy minden olyan személy, aki jogszerűtlen adatkezelési művelet vagy az ezen irányelv alapján elfogadott nemzeti rendelkezéseket sértő egyéb intézkedés eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy a tagállami jog szerint illetékes bármely más hatóságtól kártérítésre jogosult.

57. cikk

Szankciók

A tagállamok megállapítják az ezen irányelv alapján elfogadott rendelkezések megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

IX. FEJEZET

Végrehajtási jogi aktusok

58. cikk

A bizottsági eljárás

(1)   A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet szerinti bizottságnak minősül.

(2)   Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)   Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 8. cikkét kell alkalmazni, összefüggésben annak 5. cikkével.

X. FEJEZET

Záró rendelkezések

59. cikk

A 2008/977/IB kerethatározat hatályon kívül helyezése

(1)   A 2008/977/IB tanácsi kerethatározat 2018. május 6-ával hatályát veszti.

(2)   Az (1) bekezdésben említett, hatályon kívül helyezett kerethatározatra történő hivatkozásokat ezen irányelvre való hivatkozásnak kell tekinteni.

60. cikk

Hatályban lévő uniós jogi aktusok

Változatlanul hatályban maradnak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén 2016. május 6-án vagy azt megelőzően hatályba lépett, a személyes adatok védelmére vonatkozó uniós jogi aktusok olyan különös rendelkezései, amelyek a tagállamok közötti adatkezelést és a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozzák.

61. cikk

Kapcsolat a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén korábban megkötött nemzetközi megállapodásokkal

A tagállamok által a 2016. május 6. előtt kötött olyan nemzetközi megállapodások, amelyek keretében harmadik országok vagy nemzetközi szervezetek részére személyes adatok továbbítására kerül sor, és amelyek megfelelnek az említett időpontot megelőzően alkalmazandó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig változatlanul hatályban maradnak.

62. cikk

A Bizottság jelentései

(1)   A Bizottság legkésőbb 2022. május 6-ig, ezt követően pedig négyévente rendszeres időközönként jelentést terjeszt az Európai Parlament és a Tanács elé ezen irányelv értékeléséről és felülvizsgálatáról. E jelentéseket nyilvánosságra kell hozni.

(2)   Az (1) bekezdésben említett értékelések és felülvizsgálatok keretében a Bizottság mindenekelőtt a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbításáról szóló V. fejezetben foglalt rendelkezések alkalmazását és hatékonyságát vizsgálja, különös tekintettel a 36. cikk (3) bekezdése és a 39. cikk alapján elfogadott határozatokra.

(3)   A Bizottság az (1) és a (2) bekezdésben említett célokból információkat kérhet a tagállamoktól és a felügyeleti hatóságoktól.

(4)   A Bizottság az (1) és a (2) bekezdésben említett értékelések és felülvizsgálatok elvégzése során figyelembe veszi az Európai Parlament, a Tanács és az egyéb érintett szervek vagy források álláspontját és megállapításait.

(5)   A Bizottság szükség esetén megfelelő javaslatokat nyújt be ezen irányelv módosítására, figyelembe véve különösen az információs technológia fejlődését és az információs társadalom fejlődési szintjét.

(6)   A Bizottság 2019. május 6-ig felülvizsgálja az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett adatkezelést szabályozó egyéb – többek között a 60. cikkben említett – uniós jogi aktusokat, annak érdekében, hogy megvizsgálja, hogy szükséges-e azokat ezen irányelvhez igazítani, valamint hogy adott esetben megtegye az említett jogi aktusok módosítására irányuló szükséges javaslatokat azzal a céllal, hogy az irányelv hatályán belül biztosított legyen a személyes adatok védelmének következetes megközelítése.

63. cikk

Átültetés

(1)   A tagállamok 2018. május 6-ig elfogadják és kihirdetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. E rendelkezések szövegét haladéktalanul közlik a Bizottsággal. A tagállamok ezeket a rendelkezéseket 2018. május 6-tól kezdődően alkalmazzák.

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2)   A tagállamok az (1) bekezdéstől eltérve rendelkezhetnek úgy, hogy – amennyiben az aránytalanul nagy erőfeszítést igényel – a 2016. május 6-át megelőzően létrehozott automatizált adatkezelési rendszereket kivételesen 2023. május 6-ig feleltetik meg a 25. cikk (1) bekezdésének.

(3)   E cikk (1) és (2) bekezdésétől eltérve kivételes körülmények között a tagállam az e cikk (2) bekezdésében említett automatizált adatkezelési rendszerét az e cikk (2) bekezdésében említett időtartamot követő meghatározott időn belül is megfeleltetheti a 25. cikk (1) bekezdésének, ha különben komoly nehézségek lépnének fel az adott automatizált adatkezelési rendszer működésében. Az érintett tagállamnak értesítenie kell a Bizottságot a komoly nehézségek okairól és annak az időtartamnak az indokolásáról, amelyen belül a tagállam az adott automatizált adatkezelési rendszert megfelelteti a 25. cikk (1) bekezdésének. Ez a meghatározott időtartam záró időpontja semmilyen körülmények között nem lehet később, mint 2026. május 6.

(4)   A tagállamok közlik a Bizottsággal a nemzeti jog azon főbb rendelkezéseit, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

64. cikk

Hatálybalépés

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

65. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Brüsszelben, 2016. április 27-én.

az Európai Parlament részéről

az elnök

M. SCHULZ

a Tanács részéről

az elnök

J.A. HENNIS-PLASSCHAERT


(1)  HL C 391., 2012.12.18., 127. o.

(2)  Az Európai Parlament 2014. március 12-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2016. április 8-i álláspontja első olvasatban (a Hivatalos Lapban még nem tették közzé). Az Európai Parlament 2016. április 14-i álláspontja.

(3)  Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(4)  A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről (HL L 350., 2008.12.30., 60. o.).

(5)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (lásd e Hivatalos Lap 1. oldalát).

(6)  Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(7)  Az Európai Parlament és a Tanács 2011/24/EU irányelve (2011. március 9.) a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).

(8)  A Tanács 2005/69/IB közös álláspontja (2005. január 24.) egyes adatoknak az Interpollal történő cseréjéről (HL L 27., 2005.1.29., 61. o.).

(9)  A Tanács 2007/533/IB határozata (2007. június 12.) a Schengeni Információs Rendszer második generációjának (SIS II) létrehozásáról, működtetéséről és használatáról (HL L 205., 2007.8.7., 63. o.).

(10)  A Tanács 77/249/EGK irányelve (1977. március 22.) az ügyvédi szolgáltatásnyújtás szabadsága tényleges gyakorlásának elősegítéséről (HL L 78., 1977.3.26., 17. o.).

(11)  Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(12)  A Tanács 2008/615/IB határozata (2008. június 23.) a különösen a terrorizmus és a határokon átnyúló bűnözés elleni küzdelemre irányuló, határokon átnyúló együttműködés megerősítéséről (HL L 210., 2008.8.6., 1. o.).

(13)  A Tanács jogi aktusa (2000. május 29.) az Európai Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezménynek az Európai Unióról szóló szerződés 34. cikke szerinti létrehozásáról (HL C 197., 2000.7.12., 1. o.).

(14)  Az Európai Parlament és a Tanács 2011/93/EU irányelve (2011. december 13.) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1. o.).

(15)  HL L 176., 1999.7.10., 36. o.

(16)  HL L 53., 2008.2.27., 52. o.

(17)  HL L 160., 2011.6.18., 21. o.

(18)  HL C 192., 2012.6.30., 7. o.


Top