12.10.2012   

HU

Az Európai Unió Hivatalos Lapja

C 308/8

Az Unió külügyi és biztonságpolitikai főképviselőjének határozata

(2011. december 8.)

az adatvédelemre vonatkozó szabályokról

2012/C 308/07

A FŐKÉPVISELŐ,

tekintettel az Európai Külügyi Szolgálat szervezetének és működésének a megállapításáról szóló, 2010. július 26-i 2010/427/EU tanácsi határozatra (a továbbiakban: az EKSZ-ről szóló tanácsi határozat), különösen annak 11. cikke (3) bekezdésére,

ELFOGADTA EZT A HATÁROZATOT:

1.   SZAKASZ

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és hatály

Ez a határozat az Európai Külügyi Szolgálat (a továbbiakban: EKSZ) tekintetében megállapítja a 45/2001/EK európai parlamenti és tanácsi rendelettel (a továbbiakban a rendelet) kapcsolatos végrehajtási szabályokat a rendelet 24. cikke (8) bekezdésének megfelelően.

2. cikk

Fogalommeghatározások

E határozat alkalmazásában és a rendeletben szereplő fogalommeghatározások sérelme nélkül:

a)   „adatkezelő”: az EKSZ, annak ügyvezető igazgatói, igazgatói, illetve hasonló méretű vagy funkciójú szolgálatok vezetői, valamint uniós küldöttségek vezetői, akik önállóan vagy másokkal együtt meghatározzák a személyes adatok feldolgozásának céljait és módját.

b)   „adatvédelmi koordinátor”: az EKSZ személyzetének AD besorolású tagja, akinek feladata az igazgatóságok, illetve hasonló méretű vagy funkciójú szolgálatok, valamint szükség esetén az uniós küldöttségek szintjén az adatvédelmi kérdésekben történő koordináció és segítségnyújtás.

c)   „adatfeldolgozó”: az EKSZ személyzetének tagja vagy szerződés alapján eljáró szervezet, akit, illetve amelyet az adatkezelő adatfeldolgozási feladatok elvégzésével bízott meg.

d)   „az EKSZ személyzete”: az EKSZ-ről szóló tanácsi határozat 6. cikkének megfelelően az EKSZ alkalmazásában álló európai uniós tisztviselők és egyéb alkalmazottak, beleértve a tagállamok diplomáciai szolgálatainak ideiglenes alkalmazottként kinevezett tagjait, valamint a különleges szaktudással rendelkező kirendelt nemzeti szakértőket.

2.   SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

3. cikk

Az adatvédelmi tisztviselő kinevezése és jogállása

(1)   Az operatív igazgató a rendelet 24. cikke (2) bekezdésének megfelelően kiválasztja és kinevezi az adatvédelmi tisztviselőt, és felveteti az európai adatvédelmi biztos által vezetett nyilvántartásba. Az adatvédelmi tisztviselő közvetlenül az operatív igazgatónak tartozik jelentéstételi kötelezettséggel.

(2)   Az adatvédelmi tisztviselő megbízatásának ideje öt év, amely egyszer megújítható.

(3)   Feladatkörének ellátása tekintetében az adatvédelmi tisztviselő az Európai Adatvédelmi Biztossal együttműködve, függetlenül jár el. Az adatvédelmi tisztviselőt a rendelet és e határozat rendelkezéseinek belső alkalmazása vagy az Európai Adatvédelmi Biztossal való együttműködése tekintetében különösképpen nem utasíthatja sem az EKSZ kinevező hatósága, sem más személy. Az adatvédelmi tisztviselő rendszeres időközönként adatvédelmi képzésen vesz részt; e tekintetben az operatív igazgató megteszi a szükséges intézkedéseket.

(4)   Az operatív igazgató évente értékeli az adatvédelmi tisztviselő feladatainak elvégzését, elsősorban az adatvédelmi tisztviselő éves jelentése alapján, adott esetben az Európai Adatvédelmi Biztossal folytatott konzultációt követően. Az adatvédelmi tisztviselő kizárólag az Európai Adatvédelmi Biztos hozzájárulásával menthető fel megbízatásából, ha már nem felel meg a feladatkörének ellátásához előírt feltételeknek.

(5)   Az adatvédelmi tisztviselőt – a kinevezésére előirányzott eljárás sérelme nélkül – tájékoztatni kell a külső felekkel a rendelet és e határozat alkalmazását illetően folytatott minden kapcsolattartásról, így különösen az Európai Adatvédelmi Biztossal folytatott bármely párbeszédről.

(6)   A rendelet vonatkozó rendelkezéseinek sérelme nélkül, az adatvédelmi tisztviselő személyére és munkatársaira az Európai Unió tisztviselőire és egyéb alkalmazottaira vonatkozó szabályok és szabályzatok irányadók.

4. cikk

Feladatkörök

Az adatvédelmi tisztviselő:

a)

biztosítja, hogy az adatkezelőket, az adatvédelmi koordinátorokat és az érintetteket tájékoztassák a rendelet és e határozat szerinti jogaikról és kötelezettségeikről, továbbá azt, hogy az adatfeldolgozási műveletek várhatóan ne sérthessék az érintettek jogait és szabadságait. E feladat ellátása során különösen tájékoztató dokumentumokat és értesítési nyomtatványokat határoz meg, konzultációt folytat az érdekelt felekkel, és hozzájárul az adatvédelmi kérdésekkel kapcsolatos általános ismeretek terjesztéséhez;

b)

válaszol az Európai Adatvédelmi Biztos megkereséseire, és – annak kérésére vagy saját kezdeményezése alapján – illetékességi körén belül együttműködik az Európai Adatvédelmi Biztossal;

c)

független módon biztosítja a rendelet és e határozat rendelkezéseinek az EKSZ-en belüli alkalmazását;

d)

a 14. és 15. cikknek megfelelően vezeti az EKSZ által végzett valamennyi adatfeldolgozási művelet nyilvántartását, és bármely személy számára biztosítja az ahhoz való közvetlen vagy – az Európai Adatvédelmi Biztos révén történő – közvetett hozzáférést. Ez a nyilvántartás elektronikus formájú is lehet;

e)

értesíti az Európai Adatvédelmi Biztost azokról az adatfeldolgozási műveletekről, amelyek a rendelet 27. cikkének (2) bekezdésében említett külön kockázatokat jelenthetnek.

5. cikk

Feladatok

(1)   A 4. cikkben meghatározott feladatkörén kívül az adatvédelmi tisztviselő:

a)

a rendelet és e határozat alkalmazásával kapcsolatos kérdésekben tanácsadó szerepet tölt be az EKSZ kinevező hatósága, valamint az adatkezelők mellett. A kinevező hatóság, az érintett adatkezelők és adatfeldolgozók, a személyzeti bizottság, illetve az EKSZ személyzetének bármely tagja a hivatali út igénybevétele nélkül konzultálhat az adatvédelmi tisztviselővel a rendelet és e határozat értelmezésével vagy alkalmazásával kapcsolatos bármely kérdésben;

b)

saját, illetve a kinevező hatóság, az adatkezelők, az adatfeldolgozók, a személyzeti bizottság vagy az EKSZ személyzetének bármely tagja kezdeményezésére megvizsgálja a feladataihoz közvetlenül kapcsolódó és tudomására jutó kérdéseket és eseményeket, és vizsgálatáról jelentést küld a kinevező hatóságnak vagy a vizsgálatot kérő személynek. Ha szükségesnek ítéli, valamennyi további érintett felet is megfelelően tájékoztatja. Amennyiben a panaszos természetes személy, vagy természetes személy nevében jár el, úgy az adatvédelmi tisztviselő köteles a lehetséges mértékben biztosítani a kérelem bizalmas kezelését, kivéve, ha az érintett egyértelműen hozzájárul a kérelem ettől eltérő kezeléséhez;

c)

feladatainak ellátása során együttműködik más európai uniós intézmények, szervek és hivatalok adatvédelmi tisztviselőivel, különösen tapasztalatcsere és a bevált módszerek cseréje révén;

d)

a Szerződések rendelkezéseinek sérelme nélkül – ideértve különösen az Európai Unió működéséről szóló szerződés 218. cikkét – nemzetközi szinten képviseli a Főképviselőt, illetve az EKSZ-t valamennyi adatvédelemmel kapcsolatos kérdésben;

e)

tevékenységéről éves jelentést nyújt be a Főképviselőhöz, és azt az EKSZ személyzetének rendelkezésére bocsátja.

(2)   A 4. cikk b) pontja, az 5. cikk (1) bekezdésének b) és c) pontja, valamint a 15. cikk sérelme nélkül az adatvédelmi tisztviselő és személyzete a feladatkörük ellátása és feladataik teljesítése során megszerzett információkat és iratokat nem hozzák nyilvánosságra.

6. cikk

Hatáskörök

Feladatainak teljesítése és feladatkörének ellátása során az adatvédelmi tisztviselő:

a)

bármikor hozzáférhet az adatfeldolgozási műveletek tárgyát képező adatokhoz, beléphet valamennyi hivatali helyiségbe, valamint hozzáférhet valamennyi adatfeldolgozó berendezéshez és adathordozóhoz;

b)

jogi véleményt kérhet az EKSZ Jogügyi Részlegétől;

c)

a költségvetési rendeletnek (1605/2002/EK, Euratom rendelet) és végrehajtási szabályainak megfelelően az engedélyezésre jogosult tisztviselő előzetes beleegyezésével külső informatikai szakértők szolgáltatásait veheti igénybe;

d)

az Európai Adatvédelmi Biztos feladat- és hatáskörének sérelme nélkül közigazgatási intézkedéseket javasolhat, és a rendelet és e határozat megfelelő alkalmazására vonatkozó általános ajánlásokat bocsáthat ki;

e)

különleges esetekben további javaslatokat tehet az EKSZ felső vezetésének és/vagy valamennyi további érintett félnek az adatvédelem gyakorlati javítására vonatkozóan;

f)

felhívhatja az EKSZ kinevező hatóságának figyelmét a rendelet és e határozat alapján fennálló kötelezettségeknek a személyzet valamely tagja általi megsértésére, és javasolhatja, hogy indítsanak közigazgatási vizsgálatot a rendelet 49. cikkének esetleges alkalmazása céljából.

7. cikk

Források

Az adatvédelmi tisztviselő rendelkezésére bocsátják a feladatkörének ellátásához és feladatainak teljesítéséhez szükséges, megfelelő személyzetet és forrásokat.

3.   SZAKASZ

AZ ADATVÉDELEMBEN RÉSZT VEVŐK JOGAI ÉS KÖTELESSÉGEI

8. cikk

A kinevező hatóság

(1)   A rendelet vagy e határozat megsértésére vonatkozó, a személyzeti szabályzat 90. cikke szerinti panasz esetén a kinevező hatóság konzultációt folytat az adatvédelmi tisztviselővel, aki a kérelem kézhezvételét követő 15 napon belül írásban nyilvánít véleményt. Ha ezen idő elteltével az adatvédelmi tisztviselő nem nyilvánított véleményt a kinevező hatóság felé, azt a későbbiekben már nem kell megtennie. A kinevező hatóságot nem kötelezi az adatvédelmi tisztviselő véleménye.

(2)   Az adatvédelmi tisztviselőt értesíteni kell minden olyan vizsgált kérdésről, amelynek adatvédelmi vonatkozása van, vagy lehet.

9. cikk

Adatkezelők

(1)   Az adatkezelők felelnek azért, hogy az ellenőrzésük alatt végzett valamennyi adatfeldolgozási művelet megfeleljen a rendeletnek és e határozat rendelkezéseinek. Szükség esetén a rendelet 23. cikkének megfelelően adatfeldolgozási feladatok elvégzésével bízhatják meg az EKSZ személyzetének irányításuk alatt dolgozó tagjait vagy a szerződés alapján eljáró szervezeteket.

(2)   Az adatkezelő különösképpen

a)

minden adatfeldolgozási műveletről, illetve az egyetlen célt vagy több egymással összefüggő célt szolgáló adatfeldolgozási műveletek sorozatáról, továbbá a folyamatban lévő adatfeldolgozási műveletek bármely lényeges megváltoztatásáról előzetesen értesíti az adatvédelmi tisztviselőt;

b)

segíti az adatvédelmi tisztviselőt és az Európai Adatvédelmi Biztost feladataik ellátásában, különösen azáltal, hogy kérésükre válaszul legkésőbb 30 napon belül tájékoztatást küld;

c)

együttműködik az adatvédelmi koordinátorokkal a személyes adatokkal kapcsolatos, folyamatban lévő feldolgozási műveletek jegyzékének létrehozása érdekében;

d)

megfelelő technikai és szervezési intézkedéseket hoz, és megfelelő utasításokat ad az adatfeldolgozóknak annak érdekében, hogy biztosítsa az adatfeldolgozás bizalmas jellegét, valamint az adatfeldolgozás által jelentett kockázatoknak megfelelő szintű biztonságot;

e)

adott esetben konzultációt folytat az adatvédelmi tisztviselővel arról, hogy az adatfeldolgozási műveletek megfelelnek-e a rendelet és e határozat előírásainak, különösen abban az esetben, ha okkal feltételezi, hogy egyes adatfeldolgozási műveletek nem egyeztethetők össze a rendelet 4–10. cikkével. Konzultációt folytathat továbbá az adatvédelmi tisztviselővel és/vagy a belső információtechnológiai biztonsági szakértőkkel az adatfeldolgozási műveletek bizalmas jellegével kapcsolatos kérdésekről, továbbá a rendelet 22. cikke alapján hozott biztonsági intézkedésekről.

10. cikk

Koordinátorok

(1)   Mindegyik ügyvezető igazgató, igazgató, illetve hasonló méretű vagy funkciójú szolgálat vezetője, valamint szükség esetén uniós küldöttség vezetője kijelöl egy adatvédelmi koordinátort, aki az ő irányítása alatt dolgozik.

Az adatvédelmi tisztviselő feladatainak sérelme nélkül mindegyik koordinátor

a)

segít a személyes adatokkal kapcsolatos, folyamatban lévő valamennyi feldolgozási művelet jegyzékének vezetésében, és együttműködik az adatvédelmi tisztviselővel a személyes adatokkal kapcsolatos, folyamatban lévő feldolgozási műveletek jegyzékének létrehozása és frissítése érdekében;

b)

segít az egyes adatkezelők és adatfeldolgozók beazonosításában;

c)

az adatkezelőktől, az adatfeldolgozóktól és az EKSZ személyzetétől jogosult beszerezni az adminisztratív feladatai végzéséhez szükséges, megfelelő információkat. Ez nem foglalja magában az adatkezelő felelőssége mellett feldolgozott személyes adatokhoz való hozzáférés jogát;

d)

javaslatot tesz az adatvédelmi tisztviselőnek az adatfeldolgozási műveletek típusaival vagy kategóriáival kapcsolatos, az egész szervezetre érvényes értesítésekre vonatkozóan.

(2)   Az adatkezelők feladatainak sérelme nélkül a koordinátor

a)

segíti az adatkezelőket kötelezettségeik teljesítésében;

b)

szükség esetén elősegíti az adatvédelmi tisztviselő és az adatkezelők közötti kommunikációt.

11. cikk

Az EKSZ személyzete

(1)   Az EKSZ személyzetének minden tagja elősegíti a rendelet 21. és 22. cikkében előírt, a személyes adatok feldolgozására vonatkozó titoktartási és biztonsági szabályok alkalmazását. Ezeket az adatokat az EKSZ személyzetének a személyes adatokhoz hozzáférő tagjai kizárólag az adatkezelők utasításai szerint dolgozhatják fel, kivéve, ha az ettől való eltérést a nemzeti vagy uniós jogszabályok írják elő.

(2)   Az Európai Adatvédelmi Biztos által meghatározott szabályoknak megfelelően az EKSZ személyzetének bármely tagja a hivatali út igénybevétele nélkül panasszal élhet az Európai Adatvédelmi Biztosnál a rendelet vagy e határozat személyes adatok feldolgozására vonatkozó rendelkezéseinek vélt megsértésével kapcsolatban.

12. cikk

Az érintettek

(1)   Amellett, hogy az érintettek a rendelet 11. és 12. cikke szerint megfelelő tájékoztatásra jogosultak a rájuk vonatkozó személyes adatok feldolgozásával kapcsolatban, a rendelet 13–19. cikkében foglalt jogaik gyakorlása céljából – az e határozat 5. cikkében meghatározottak szerint – megkereshetik az érintett adatkezelőt.

(2)   A bírósági jogorvoslatok lehetőségének sérelme nélkül és az Európai Adatvédelmi Biztos által meghatározott szabályok szerint bármely érintett panaszt nyújthat be az Európai Adatvédelmi Biztoshoz, ha megítélése szerint személyes adatainak az adatkezelők által végzett feldolgozása következtében a rendelet vagy e határozat szerinti jogait megsértették.

(3)   Egyetlen érintett sem szenvedhet sérelmet a rendelet rendelkezéseinek vélt megsértésével kapcsolatban az Európai Adatvédelmi Biztoshoz benyújtott panasz, vagy az adatvédelmi tisztviselő figyelmébe ajánlott kérdés miatt.

4.   SZAKASZ

AZ ÉRTESÍTÉSSEL KÍSÉRT ADATFELDOLGOZÁSI MŰVELETEK NYILVÁNTARTÁSA

13. cikk

Értesítési eljárás

(1)   Az adatkezelő a személyes adatokkal kapcsolatos valamennyi adatfeldolgozási műveletről az EKSZ és az uniós küldöttségek intranet-honlapján („Adatvédelem” cím alatt) elérhető értesítési formanyomtatványon értesíti az adatvédelmi tisztviselőt. Az értesítést elektronikus úton továbbítja az adatvédelmi tisztviselőnek. Az adatkezelő 10 munkanapon belül írásbeli feljegyzés formájában megerősítő értesítést küld az adatvédelmi tisztviselőnek. Az adatvédelmi tisztviselő a megerősítő értesítést annak kézhezvételét követően közzéteszi a nyilvántartásban.

(2)   Az értesítés tartalmazza a rendelet 25. cikkének (2) bekezdésében meghatározott valamennyi információt. Az ezen információkat érintő bármely olyan változásról azonnal értesíteni kell az adatvédelmi tisztviselőt.

(3)   Az adatkezelők által követendő értesítési eljárásra vonatkozó további szabályokat és eljárásokat az adatvédelmi tisztviselő által kibocsátott általános ajánlások tartalmazzák.

14. cikk

A nyilvántartás tartalma és célja

(1)   Az adatvédelmi tisztviselő nyilvántartást vezet a személyes adatokra vonatkozó adatfeldolgozási műveletekről, amelyet az adatkezelőktől kapott értesítések alapján állít össze.

(2)   A nyilvántartás legalább a rendelet 25. cikke (2) bekezdésének a)–g) pontjában említett információkat tartalmazza. Az adatvédelmi tisztviselő által a nyilvántartásba bevitt információk azonban kivételesen korlátozhatók, ha ez egy meghatározott adatfeldolgozási művelet biztonságának megóvása érdekében szükséges.

(3)   A nyilvántartás az EKSZ által végzett, személyes adatok feldolgozására irányuló műveletek jegyzékeként szolgál. A nyilvántartáshoz az érintettek férhetnek hozzá annak érdekében, hogy könnyebben tudják gyakorolni a rendelet 13–19. cikkében, valamint az e határozatban szereplő jogaikat.

15. cikk

A nyilvántartáshoz való hozzáférés

(1)   Az adatvédelmi tisztviselő megfelelő intézkedéseket hoz annak érdekében, hogy közvetlenül vagy – az Európai Adatvédelmi Biztos útján – közvetett módon bármely érintett hozzáférhessen a nyilvántartáshoz. Az adatvédelmi tisztviselő különösképpen tájékoztatást és segítséget nyújt az érintetteknek abban, hogy hogyan és hol kérelmezhető a nyilvántartáshoz való hozzáférés.

(2)   Az on-line hozzáférés esetén kívül a nyilvántartáshoz való hozzáférésre vonatkozó kérelmet írásban lehet benyújtani (az elektronikus formát is ideértve) az Európai Unió működéséről szóló szerződés 342. cikkében meghatározott nyelvek egyikén; a kérelemnek kellően pontosnak kell lennie ahhoz, hogy az adatvédelmi tisztviselő beazonosíthassa az érintett adatfeldolgozási műveleteket. A kézhezvételről haladéktalanul elismervényt kell küldeni a kérelmezőnek.

(3)   Ha egy kérelem nem kellően pontos, az adatvédelmi tisztviselő felkéri a kérelmezőt a kérelem pontosítására, és ebben segítséget nyújt a kérelmezőnek. Amennyiben egy kérelem nagyon nagy számú adatfeldolgozási műveletet érint, úgy az adatvédelmi tisztviselő informális megbeszélést folytathat a kérelmezővel a méltányos megoldás kialakítása érdekében.

(4)   Bármely érintett másolatot kérhet az adatvédelmi tisztviselőtől azokról az információkról, amelyek bármely, értesítéssel kísért adatfeldolgozási műveletre vonatkozóan elérhetők a nyilvántartásban.

5.   SZAKASZ

AZ ÉRINTETTEK JOGAINAK GYAKORLÁSÁVAL KAPCSOLATOS ELJÁRÁS

16. cikk

Általános rendelkezések

(1)   Az érintettek e szakaszban meghatározott jogait csak az érintett személyek gyakorolhatják, vagy kivételes esetben megfelelő engedély birtokában e személyek nevében eljáró más személyek. A megkereséseket írásban az érintett adatkezelőnek kell címezni, és másolatban meg kell küldeni az adatvédelmi tisztviselőnek. Szükség esetén az adatvédelmi tisztviselő segít az érintettnek az adott adatkezelő beazonosításában. Az adatvédelmi tisztviselő rendelkezésre bocsátja a megfelelő formanyomtatványokat. Az adatkezelők csak abban az esetben adnak helyt a kérelemnek, ha a nyomtatványt hiánytalanul kitöltötték, és a kérelmező személyazonosságát megfelelően ellenőrizték. Az érintettek díjmentesen gyakorolják jogaikat.

(2)   Az érintett adatkezelő a kérelem nyilvántartásba vételét követő öt munkanapon belül átvételi elismervényt küld a kérelmezőnek. Egyéb rendelkezés hiányában az adatkezelő a kérelem nyilvántartásba vételét követően legfeljebb tizenöt munkanapon belül válaszol a kérelemre, és vagy teljesíti azt, vagy írásban megjelöli a teljes vagy részleges elutasítás okait, különösen abban az esetben, ha a kérelmezőt nem tekinti érintettnek.

(3)   Az érintett jogainak gyakorlása során tapasztalt szabálytalanság vagy egyértelmű visszaélés esetén, illetve ha az érintett az adatfeldolgozást jogellenesnek véli, az adatkezelő köteles a kérelemről konzultációt folytatni az adatvédelmi tisztviselővel és/vagy az érintettet az adatvédelmi tisztviselőhöz irányítani, aki dönt a kérelem elfogadhatóságáról, illetve annak megfelelő nyomon követéséről.

(4)   Bármely érintett konzultációt folytathat az adatvédelmi tisztviselővel jogainak valamely konkrét ügyben történő gyakorlásáról. A bírósági jogorvoslatok lehetőségének sérelme nélkül bármely érintett panasszal élhet az Európai Adatvédelmi Biztosnál, ha megítélése szerint személyes adatainak feldolgozása következtében a rendelet szerinti jogai sérültek.

17. cikk

A hozzáféréshez való jog

Az érintettnek joga van ahhoz, hogy a kérelem kézhezvételétől számított három hónapon belül bármikor, korlátozás nélkül megkapja az adatkezelőktől a rendelet 13. cikkének a)–d) pontjában említett tájékoztatást, a kérelmező preferenciájától függően vagy az adatok helyben történő megtekintése, vagy másolat kiadása útján (adott esetben ideértve az elektronikus formában megküldött másolatokat is).

18. cikk

A helyesbítéshez való jog

Az érintettek a helytelen vagy hiányos személyes adatok helyesbítésére irányuló valamennyi kérelemben pontosan megjelölik a szóban forgó adatokat, illetve a kért helyesbítést. Az ilyen kérelmet az adatkezelő haladéktalanul megvizsgálja.

19. cikk

A zároláshoz való jog

Az érintett adatkezelő az adatok zárolására vonatkozó, a rendelet 15. cikke szerinti valamennyi kérelemmel haladéktalanul foglalkozik. A kérelem megjelöli a szóban forgó adatokat, valamint zárolásuk indokait. A kérelmet benyújtó érintettet az adatkezelő az adatok zárolásának feloldását megelőzően értesíti.

20. cikk

A törléshez való jog

Az érintett kérheti az adatkezelőktől az adatok haladéktalan törlését, ha azok feldolgozása jogellenesen történt, különösen akkor, ha a rendelet 4–10. cikkének rendelkezéseit megsértették. A kérelem megjelöli a szóban forgó adatokat, valamint a feldolgozás jogellenes voltára vonatkozó indokokat vagy bizonyítékokat. Az automatikus nyilvántartó rendszerekben az adatok törlését főszabály szerint valamennyi megfelelő technikai eszközzel elvégzik, kizárva a törölt adatok további feldolgozásának lehetőségét. Amennyiben a törlés technikai okokból nem lehetséges, úgy az érintett adatkezelő az adatvédelmi tisztviselővel és az érintettel folytatott konzultációt követően azonnal zárolja ezeket az adatokat.

21. cikk

Harmadik személy értesítése

Az érintett által kért helyesbítés, zárolás vagy törlés esetén az érintett kérheti az adatkezelőktől, hogy értesítsék azon harmadik személyeket, akikkel személyes adatait közölték, kivéve, ha ez lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel.

22. cikk

A kifogásoláshoz való jog

A rendelet 18. cikkének megfelelően az érintett kifogást emelhet a rá vonatkozó adatok feldolgozása, illetve személyes adatainak közzététele vagy felhasználása ellen. A kérelem megjelöli a szóban forgó adatokat és a kérelem indokait. Megalapozott kifogás esetén a kérdéses adatfeldolgozás a továbbiakban nem terjed ki a szóban forgó adatokra.

23. cikk

Automatizált egyedi döntések

Az érintettnek joga van ahhoz, hogy ne terjedhessen ki rá a rendelet 19. cikke szerinti automatizált egyedi döntés hatálya, kivéve, ha a döntést nemzeti vagy uniós jogszabály, vagy az Európai Adatvédelmi Biztosnak az érintett jogos érdekeit védő döntése kifejezetten engedélyezi. Az érintettnek mindegyik esetben lehetősége van véleménye előzetes kinyilvánítására, illetve az adatvédelmi tisztviselővel való konzultációra.

24. cikk

Kivételek és korlátozások

(1)   Ha a rendelet 20. cikkében meghatározott jogos indokok azt egyértelműen alátámasztják, az adatkezelők korlátozhatják az e határozat 17–21. cikkében említett jogokat. A feltétlenül szükséges esetek kivételével az érintett adatkezelő először konzultációt folytat az adatvédelmi tisztviselővel, akinek véleménye nem kötelezi az EKSZ-t. Az adatkezelő haladéktalanul válaszol a jogok gyakorlásával kapcsolatos kivételek vagy korlátozások alkalmazására vonatkozó kérelmekre, és megindokolja a döntést.

(2)   Bármely érintett kérheti az Európai Adatvédelmi Biztostól a rendelet 47. cikke (1) bekezdése c) pontjának alkalmazását.

6.   SZAKASZ

VIZSGÁLATI ELJÁRÁS

25. cikk

Gyakorlati szabályok

(1)   A vizsgálati kérelmeket írásban, az adatvédelmi tisztviselő által rendelkezésre bocsátott külön formanyomtatványon kell benyújtani, és az adatvédelmi tisztviselőnek kell címezni. A vizsgálat kérelmezésének jogával való nyilvánvaló visszaélés esetén, például ha ugyanazon személy a közelmúltban hasonló vizsgálati kérelmet nyújtott be, az adatvédelmi tisztviselő nem köteles választ adni a kérelmezőnek.

(2)   Az adatvédelmi tisztviselő a kézhezvételt követő 15 napon belül átvételi elismervényt küld a kinevező hatóságnak vagy a vizsgálatot elrendelő személynek, és ellenőrzi, hogy a kérelmet bizalmasan kell-e kezelni.

(3)   Az adatvédelmi tisztviselő írásbeli nyilatkozatot kér az ügyről a szóban forgó adatfeldolgozási műveletért felelős adatkezelőtől. Az adatkezelő 15 napon belül megküldi válaszát az adatvédelmi tisztviselőnek. Az adatvédelmi tisztviselő kiegészítő tájékoztatást kérhet az EKSZ többi szolgálatától, például az EKSZ Biztonsági és Információbiztonsági Részlegétől. Adott esetben kikérheti az EKSZ Jogügyi Részlegének az üggyel kapcsolatos véleményét. Az adatvédelmi tisztviselő részére 30 napon belül meg kell adni a tájékoztatást vagy a véleményt.

(4)   Az adatvédelmi tisztviselő legkésőbb a kézhezvételtől számított három hónapon belül jelentést küld a kinevező hatóságnak és a kérelmezőnek.

7.   SZAKASZ

ZÁRÓ RENDELKEZÉSEK

26. cikk

Amennyiben e határozat rendelkezései és a rendelet között ellentmondás van, úgy utóbbi az irányadó.

27. cikk

Ezt a határozatot megfelelő módon – különösen az EKSZ és az uniós küldöttségek intranet-honlapján („Adatvédelem” cím alatt) történő közzététel útján – hozzáférhetővé kell tenni az EKSZ személyzete számára.

28. cikk

Hatálybalépés

Ez a határozat elfogadásának napján lép hatályba.

Kelt Brüsszelben, 2011. december 8-án.

főképviselő

C. ASHTON