INDOKOLÁS

1. A JAVASLAT HÁTTERE

A jelen indokolás további részletekkel szolgál a COM(2012) 9 végleges közleményben rögzített, a személyes adatok Európai Unión belüli védelmének új jogi keretéhez kapcsolódó megközelítés vonatkozásában. A jogi keret két jogalkotási javaslatból áll:

– a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) javaslata, valamint

– a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelv javaslata.

A jelen indokolás ez utóbbi jogalkotási javaslathoz kapcsolódik.

A hatályos uniós személyesadat-védelmi szabályozás központi elemének, vagyis a 95/46/EK irányelvnek[1] 1995-ben történt elfogadásakor két célt tartottak szem előtt: az adatvédelemhez való alapvető jog tiszteletben tartását és a személyes adatok tagállamok közötti szabad áramlásának biztosítását. A jogszabály a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén (korábbi harmadik pillér) különleges adatvédelmi szabályozást biztosító eszközökkel[2], köztük a 2008/977/IB kerethatározattal[3] egészült ki.

Az Európai Tanács felkérte a Bizottságot, hogy értékelje az uniós adatvédelmi eszközök működését, valamint hogy – amennyiben szükséges – terjesszen elő további jogalkotási és nem jogalkotási kezdeményezéseket[4]. Az Európai Parlament a stockholmi programról szóló állásfoglalásában[5] üdvözölte az Európai Unióban átfogó adatvédelmi rendszerének gondolatát, és egyebek mellett a kerethatározat felülvizsgálatára szólított fel. A Bizottság a stockholmi program végrehajtásáról szóló cselekvési tervében[6] hangsúlyozta annak szükségességét, hogy az összes uniós szakpolitika terén gondoskodni kell a személyes adatok védelmére vonatkozó alapvető jog következetes alkalmazásáról. A cselekvési terv hangsúlyozta, hogy „[a] gyors technológiai változásokkal jellemezhető globális társadalomban, ahol az információcsere túllép az országhatárokon, különös hangsúlyt kap a magánélet védelmének szükségessége. Az Uniónak gondoskodnia kell az adatvédelemre vonatkozó alapvető jog következetes alkalmazásáról. Meg kell szilárdítanunk az Unió helyzetét az egyének személyes adatainak védelme tekintetében, az összes uniós szakpolitika – így a bűnüldözés és a bűnmegelőzés, valamint nemzetközi kapcsolataink – terén”.

A Bizottság „A személyes adatok Európai Unión belüli védelmének átfogó megközelítése” című közleményében[7] arra a következtetésre jutott, hogy az Európai Uniónak átfogóbb és következetesebb politikára van szüksége a személyes adatok védelméhez fűződő alapvető jog tekintetében.

A 2008/977/IB kerethatározat hatálya korlátozott, mivel csak a határokon átnyúló adatfeldolgozásra alkalmazandó, a rendőrség és az igazságügyi hatóságok által tisztán nemzeti szinten végrehajtott feldolgozási tevékenységekre azonban nem. Ez nehézségeket okozhat a rendőrség és a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén működő egyéb illetékes hatóságok számára. Azok nem minden esetben képesek könnyen különbséget tenni a tisztán nemzeti és a határokon átnyúló feldolgozás között, vagy előrelátni azt, hogy valamely személyes adat később határokon átnyúló csere tárgyává válhat-e (lásd a lenti 2. pontot). A kerethatározat ezenkívül – jellege és tartalma miatt – nagy mozgásteret enged a tagállamok nemzeti joga számára rendelkezéseinek átültetése tekintetében. A kerethatározat ezenfelül nem tartalmaz olyan mechanizmust, illetve hoz létre a 29. cikk alapján létrehozott munkacsoporthoz hasonló olyan tanácsadói csoportot, amely elősegíthetné rendelkezéseinek egységes értelmezését, és nem biztosít a Bizottság számára olyan végrehajtási hatásköröket, amelyek előmozdíthatnák végrehajtásának egységes megközelítését.

Az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti azt az elvet, amely szerint mindenkinek joga van a személyes adatok védelméhez. A Lisszaboni Szerződés ezenfelül az EUMSZ 16. cikk (2) bekezdésével a személyes adatok védelmére vonatkozó szabályok elfogadására külön jogalapot vezet be, amely a büntetőügyekben folytatott igazságügyi együttműködésre és a rendőrségi együttműködésre is alkalmazandó. Az Európai Unió Alapjogi Chartájának 8. cikke a személyes adatok védelmét alapvető jogként rögzíti. Az EUMSZ 16. cikke a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén is előírja továbbá a jogalkotó számára a személyes adatok feldolgozásához kapcsolódóan az egyének védelméről szóló szabályok elfogadását, amelyek a határokon átnyúló és a belföldi személyesadat-feldolgozást is magukban foglalják. Mindez lehetővé teszi a természetes személyek alapvető jogai és szabadságai védelmét, különösen a személyes adatok védelméhez való joguk érvényesítését, ugyanakkor biztosítja a személyes adatoknak a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő cseréjét. Ez hozzájárul az európai bűnüldözési együttműködés elősegítéséhez.

A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés különleges jellegére tekintettel a 21. nyilatkozat[8] elismeri, hogy a bűnügyi igazságügyi és rendőrségi együttműködés területén a személyes adatok védelmére és az ilyen adatok szabad áramlására vonatkozóan szükségesnek bizonyulhatnak az EUMSZ 16. cikk alapján megalkotott különleges szabályok.

2. AZ ÉRDEKELTEKKEL FOLYTATOTT KONZULTÁCIÓK EREDMÉNYEI, HATÁSVIZSGÁLATOK

E kezdeményezés a személyes adatok védelmének fennálló jogi keretét felülvizsgáló összes főbb érdekelttel folytatott széles körű konzultáció eredménye, amely két nyilvános konzultációs szakaszt is magában foglalt:

– 2009. július 9. és december 31. között zajlott a Konzultáció a személyes adatok védelméhez való alapvető jog jogi keretéről. A Bizottsághoz 168 válasz érkezett, 127 magánszemélyektől, gazdasági szervezetektől és szövetségektől, 12 pedig hatóságoktól. A nem bizalmas állásfoglalások a Bizottság honlapján tekinthetők meg[9].

– 2010. november 4. és 2011. január 15. között zajlott a Konzultáció a Bizottságnak a személyes adatok Európai Unión belüli védelméhez kapcsolódó átfogó megközelítéséről. A Bizottsághoz 305 válasz érkezett, 54 polgároktól, 31 hatóságoktól és 220 magánszervezetektől, különösen vállalkozói szövetségektől és nem kormányzati szervezetektől. A nem bizalmas állásfoglalások a Bizottság honlapján tekinthetők meg[10].

Mivel e konzultációk nagymértékben a 95/46/EK irányelv felülvizsgálatára koncentráltak, az érdekelt bűnüldöző hatóságokkal célzott konzultációkat folytattak; így 2010. június 29-én a tagállami hatóságok számára műhelytalálkozót szerveztek a hatóságokra irányadó adatvédelmi szabályok alkalmazásáról, ideértve a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területét is. A Bizottság továbbá 2011. február 2-án műhelytalálkozóra hívta a tagállami hatóságokat a 2008/977/IB kerethatározat átültetésének, valamint általában a büntetőügyekben folytatott rendőri és igazságügyi együttműködés területén felmerülő adatvédelmi problémák megvitatása céljából.

2010 novembere és decembere között az Eurobarometer felmérést végzett az uniós polgárok körében[11]. Számos tanulmányt is készítettek[12]. A „29. cikk alapján létrehozott munkacsoport”[13] számos véleményt és hasznos anyagot bocsátott a Bizottság rendelkezésére[14]. Az európai adatvédelmi biztos átfogó véleményt is kiadott a Bizottság 2010 novemberi közleményében felmerült kérdések vonatkozásában[15].

Az Európai Parlament 2011. július 6-i állásfoglalásával jóváhagyott egy, az adatvédelmi keret átalakítására vonatkozó bizottsági megközelítést támogató jelentést[16]. Az Európai Unió Tanácsa 2011. február 24-én elfogadott következtetéseiben általában véve támogatta a Bizottság adatvédelmi keret reformjára irányuló törekvéseit és egyetértett a Bizottság megközelítésének számos elemével. Az Európai Gazdasági és Szociális Bizottság hasonlóképpen üdvözölte azt, hogy az Európai Bizottság hangsúlyt helyez az uniós adatvédelmi szabályok valamennyi tagállamban való következetesebb alkalmazásának biztosítására, és támogatta a 95/46/EK irányelv megfelelő felülvizsgálatát[17].

A Bizottság szabályozásjavító politikájával összhangban elvégezte a lehetséges szakpolitikai alternatívák hatásvizsgálatát[18]. A hatásvizsgálatnál három szakpolitikai célkitűzést vettek alapul, az adatvédelem belső piaci vetületének javítását, az adatok védelméhez való jogok egyéni gyakorlásának hatékonyabbá tételét, valamint az uniós hatáskörök mindegyikét – ideértve a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködést is – lefedő átfogó és egységes keret kialakítását. Ez utóbbi célkitűzés tekintetében két szakpolitikai lehetőség vizsgálatára került sor: az első alapvetően kiterjesztené az adatvédelmi szabályok hatályát az említett területen, és a kerethatározat hiányosságait, illetve az abban felvetett egyéb kérdéseket kezelné, a mélyrehatóbb második pedig rendkívül előíró és szigorú szabályokat tartalmazna, ami a „korábbi harmadik pillérbe” tartozó minden egyéb eszköz azonnali módosításával járna. A harmadik – „minimalista” – lehetőséget, amely a lehető legkisebb mértékű jogszabályi beavatkozással nagyrészt értelmező közleményeken és szakpolitikát támogató intézkedéseken, például támogatási programokon és technikai eszközökön alapult volna, nem tekintettek megfelelőnek az adatvédelemmel kapcsolatban e területen feltárt kérdések kezelésére.

A Bizottság kialakult módszertanának megfelelően, egy szolgálatközi irányítócsoport segítségével, minden egyes szakpolitikai lehetőséget megvizsgáltak a szakpolitikai célkitűzések elérésére való alkalmassága, az érdekelt felekre gyakorolt gazdasági hatása (ideértve az Európai Unió intézményeinek költségvetését is), társadalmi hatása és az alapvető jogokra gyakorolt hatása tükrében. Környezetre gyakorolt hatásokat nem figyeltek meg.

A hatások átfogó elemzése a jelen javaslatban testet öltő, előnyben részesített szakpolitikai lehetőség kialakításához vezetett. A vizsgálat szerint annak megvalósítása tovább erősíti az adatvédelmet ezen a szakpolitikai területen, különösen a nemzeti adatfeldolgozás beemelésével, ezáltal fokozva a jogbiztonságot a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén működő illetékes hatóságok számára.

A hatásvizsgálati testület 2011. szeptember 9-én a hatásvizsgálat-tervezetről szóló véleményt fogalmazott meg. A hatásvizsgálati testület véleménye nyomán különösen a következő módosításokra került sor a hatásvizsgálatban:

– egyértelművé tették a jelenlegi jogi keret célkitűzéseit (mennyiben sikerült, illetve nem sikerült elérni azokat), valamint a tervezett átalakítás célkitűzéseit is;

– több bizonyíték és kiegészítő magyarázat/indokolás került a problémák meghatározására vonatkozó fejezetbe.

A Bizottság végrehajtási jelentést is készített a 2008/977/IB kerethatározattal kapcsolatban a kerethatározat 29. cikkének (2) bekezdése alapján, amelyet a jelen adatvédelmi csomag részeként kell elfogadni[19]. A jelentésnek a tagállamok tájékoztatásán alapuló megállapításait a hatásvizsgálat elkészítése során is figyelembe vették.

3. A JAVASLAT JOGI ELEMEI 3.1. Jogalap

A javaslat az EUMSZ 16. cikk (2) bekezdésén alapul, amely a Lisszaboni Szerződés által bevezetett új, különös jogalapot képez az egyéneknek az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataik uniós intézmények, szervek, hivatalok és ügynökségek, valamint tagállamok általi feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályok megállapítására.

A javaslat e területen következetes és magas szintű adatvédelmet kíván biztosítani, ezáltal erősítve a különböző tagállami rendőrségek és igazságügyi hatóságok közötti kölcsönös bizalmat és előmozdítva az adatok szabad áramlását, valamint a rendőri és az igazságügyi hatóságok közötti együttműködést.

3.2. Szubszidiaritás és arányosság

A szubszidiaritás elvének (EUSZ 5. cikk (3) bekezdése) megfelelően uniós szinten csak akkor és annyiban kell fellépni, amikor és amennyiben a kitűzött célokat a tagállamok nem tudják kielégítően megvalósítani, így azok a tervezett intézkedés terjedelme vagy hatása miatt uniós szinten jobban megvalósíthatók. A fentiekben körvonalazott problémák fényében a szubszidiaritás elemzése a következőkkel indokolja az Európai Unió szintjén történő fellépés szükségességét a rendőrségi és büntető igazságügyi területen:

– Az Alapjogi Charta 8. cikkében és az EUMSZ 16. cikkének (1) bekezdésében rögzített személyes adatok védelméhez való jog Unió-szerte azonos szintű adatvédelmet követel meg. E jog azonos szintű védelmet tesz szükségessé a nemzeti szintű adatcsere és adatfeldolgozás tekintetében.

– A tagállami végrehajtó szervek egyre nagyobb mértékben igénylik a gyorsan növekvő arányú adatfeldolgozást és adatcserét a nemzetközi bűnözés és terrorizmus megelőzése és az azokkal szembeni küzdelem céljából. Az adatvédelemre vonatkozó egyértelmű és következetes uniós szabályok e tekintetben elősegítik az e hatóságok közötti együttműködést.

– Ezen túlmenően az adatvédelmi szabályozás érvényesítése gyakorlati kihívásokat jelent, és szükségessé teszi a tagállamok és hatóságaik közötti együttműködést, amit az uniós jog alkalmazásának egységességét biztosítandó uniós szinten kell megszervezni. Bizonyos helyzetekben az EU a legalkalmasabb arra, hogy hatékonyan és következetesen biztosítsa az egyének számára személyes adataik azonos szintű védelmét az adatok harmadik országokba történő továbbítása esetén.

– A tagállamok önállóan nem képesek a jelen helyzetben fennálló, különösen a tagállami szabályozások széttagoltsága eredményeként előállt problémák orvoslására. Ezért különleges szükség van olyan harmonizált és egységes keret létrehozására, amely az Unión belül lehetővé teszi a személyes adatok határokon átnyúló zavartalan továbbítását, eközben hatékony védelmet biztosítva eközben az egyének számára az EU egész területén.

– A tervezett uniós jogalkotási intézkedés – a nem egy vagy több tagállam területére korlátozódó problémák jellege és terjedelme okán – valószínűleg hatékonyabb lesz a hasonló tagállami szintű intézkedéseknél.

Az arányosság elve megkívánja, hogy a beavatkozás a célkitűzések eléréséhez szükséges intézkedésekre irányuljon, és ne lépje túl azok körét. Ennek a javaslatnak a szakpolitikai lehetőségek megállapításától és értékelésétől a jogalkotási javaslat megfogalmazásáig terjedő előkészítése ezen elv mentén zajlott.

Ennélfogva e területen az irányelv a legjobb eszköz az uniós szintű harmonizáció biztosítására, amely ezzel egyidejűleg biztosítja a tagállamok számára a szükséges mozgásteret az elvek, a szabályok és az azok alóli kivételek nemzeti szintű átültetéséhez. A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén feldolgozás alatt álló személyes adatok védelmére vonatkozó jelenlegi nemzeti szabályok összetettsége, valamint az e szabályok ezen irányelv általi következetes harmonizációját megvalósítani kívánó célkitűzés miatt a Bizottság az ezen irányelv átültetésének felügyeletére vonatkozó feladatainak ellátása érdekében magyarázó dokumentumokat kér a tagállamokról azzal kapcsolatban, hogy az irányelv összetevői milyen viszonyban állnak a nemzeti átültető eszközök megfelelő részeivel.

3.3. Az alapjogi vonatkozások összefoglalása

A személyes adatok védelméhez való jogot az EU Alapjogi Chartájának 8. cikke, az EUMSZ 16. cikk, valamint az EJEE 8. cikke is rögzíti. Miként azt az Európai Unió Bírósága kiemelte[20], a személyes adatok védelméhez való jog nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni[21]. Az adatvédelem szorosan kapcsolódik a Charta 7. cikke által védett magán- és családi élet tiszteletben tartásához. Ezt tükrözi a 95/46/EK irányelv 1. cikkének (1) bekezdése, amely kimondja, hogy a tagállamok védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.

A Chartában rögzített további esetlegesen érintett alapvető jogok a megkülönböztetés tilalma többek között a faj, etnikai származás, genetikai tulajdonság, vallás vagy meggyőződés, politikai vagy más vélemény, fogyatékosság vagy szexuális irányultság alapján (21. cikk); a gyermekek jogai (24. cikk) és a bíróság előtti hatékony jogorvoslathoz, valamint a tisztességes eljáráshoz való jog (47. cikk).

3.4. A javaslat részletes magyarázata 3.4.1. I. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK

Az 1. cikk meghatározza az irányelv tárgyát, vagyis a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő személyesadat-feldolgozásra vonatkozó szabályokat, valamint rögzíti az irányelv kettős célkitűzését, azaz hogy megvédje a természetes személyek alapvető jogait és szabadságait – különös tekintettel a személyes adatok védelméhez való jogukra, biztosítva ugyanakkor a közbiztonság magas szintjét –, valamint hogy biztosítsa a személyes adatok illetékes hatóságok közötti cseréjét az Unión belül.

A 2. cikk meghatározza az irányelv hatályát. Az irányelv hatálya nem korlátozódik a határokon átnyúló adatfeldolgozásra, hanem kiterjed minden, az irányelvben foglalt célok érdekében a (3. cikk 14. pontjában meghatározott) „illetékes hatóságok” által végzett adatfeldolgozási tevékenységre. Az irányelv hatálya nem terjed ki sem a nem az uniós jog hatálya alá tartozó tevékenységek során végzett adatfeldolgozásra, sem az uniós intézmények, szervek, hivatalok és ügynökségek adatfeldolgozási tevékenységére, amely a 45/2001/EK rendelet és egyéb különös jogszabályok hatálya alá tartozik.

A 3. cikk az irányelvben használt fogalmak meghatározását tartalmazza. Míg egyes fogalmak a 95/46/EK irányelvből és a 2008/977/IB kerethatározatból kerültek át, addig más fogalmak módosultak, további vagy újonnan bevezetett elemekkel egészültek ki. Új fogalmak (az EUMSZ 87. cikket és a 2008/977/IB kerethatározat 2. cikkének h) pontját alapul véve) a „személyes adatok megsértése”, a „genetikai adat” és a „biometrikus adat”, az „illetékes hatóság”, valamint a gyermekek jogairól szóló ENSZ-egyezményt alapul véve a „gyermek” fogalma[22].

3.4.2. II. FEJEZET – ALAPELVEK

A 4. cikk – a 95/46/EK irányelv 6. cikkét és a 2008/977/IB kerethatározat 3. cikkét tükrözve, és azokat ezen irányelv különös összefüggéseibe illesztve – rögzíti a személyes adatok feldolgozásával kapcsolatos alapelveket.

Az 5. cikk az érintettek különböző kategóriáinak személyes adatai közötti lehetőség szerinti különbségtétellel szemben támaszt követelményt. Ez új rendelkezés, amelyet – bár az szerepel a Bizottság kerethatározatra vonatkozó eredeti javaslatában[23] – sem a 95/46/EK irányelv, sem a 2008/977/IB kerethatározat nem tartalmaz. E rendelkezés alapjául az Európa Tanács Miniszteri Bizottságának R (87) 15. számú ajánlása szolgált. Hasonló szabályozás már létezik az Europol[24] és az Eurojust[25] vonatkozásában.

A pontosság és megbízhatóság különböző fokozatairól szóló 6. cikk az R (87) 15. számú Európa tanácsi ajánlás 3.2. elvét tükrözi. Hasonló szabályozás – miként azt a Bizottság kerethatározatra vonatkozó javaslata is tartalmazza – már létezik az Europol vonatkozásában[26].

A 7. cikk rögzíti a jogszerű adatfeldolgozás indokait azokban az esetekben, amikor az az illetékes hatóság által a nemzeti jogon alapuló valamely feladat teljesítéséhez, az adatkezelő valamely jogi kötelezettségének teljesítéséhez, az érintett vagy más személy létfontosságú érdekeinek védelméhez vagy a közbiztonságot fenyegető közvetlen és súlyos veszély elhárításához szükséges. Az adatfeldolgozás további, a 95/46/EK irányelv 7. cikkében rögzített jogalapjai nem megfelelőek a rendőrségi és büntető igazságügyi területen végzett adatfeldolgozásra.

A 8. cikk – a 95/46/EK irányelv 8. cikke alapján – általános tilalmat rögzít a személyes adatok különleges kategóriáinak feldolgozására vonatkozóan, meghatározza a főszabály alóli kivételeket, és hozzáteszi a genetikai adatokat az EJEB ítélkezési gyakorlatát[27] követve.

A 9. cikk a 2008/977/IB kerethatározat 7. cikkével összhangban megállapítja a megfelelő biztosítékokat előíró jogszabályok által nem megengedett, kizárólag a személyes adatok automatizált feldolgozásán alapuló intézkedések tilalmát.

3.4.3. III. FEJEZET – AZ ÉRINTETT JOGAI

A 10. cikk – különösen a személyes adatok és a magánélet védelmére vonatkozó nemzetközi normákról szóló madridi állásfoglalás[28] 10. elvének ösztönzése nyomán – bevezeti a tagállamok azon kötelezettségét, hogy könnyen hozzáférhető és érthető információkat biztosítsanak, valamint hogy az adatkezelők számára az érintettek joggyakorlását megkönnyítő eljárások és mechanizmusok biztosítását írják elő. Ez magában foglalja a joggyakorlás főszabály szerinti térítésmentességére vonatkozó követelményt.

A 11. cikk rögzíti a tagállamok kötelezettségét az érintetteknek nyújtandó tájékoztatással kapcsolatban. E kötelezettségek a 95/46/EK irányelv 10. és 11. cikkére épülnek anélkül, hogy külön cikkek tennének különbséget az érintettől, illetve más forrásból gyűjtött adatokra vonatkozó kötelezettségeket illetően, kibővítve a tájékoztatás körét. A cikk rögzíti a tájékoztatási kötelezettség alóli mentességeket, amennyiben azok egy demokratikus társadalomban arányosak és szükségesek az illetékes hatóságok feladatainak elvégzéséhez (a 95/46/EK irányelv 13. cikke és a 2008/977/IB kerethatározat 17. cikke alapján).

A 12. cikk kötelezi a tagállamokat, hogy az érintetteknek biztosítsanak hozzáférést személyes adataikhoz. A cikk a 95/46/EK irányelv 12. cikkének a) pontját veszi alapul, és új elemekkel egészíti ki az érintettnek nyújtandó tájékoztatás körét (az adatok tárolási időtartamával, valamint az érintett adatok helyesbítéséhez, törléséhez, vagy korlátozásához, valamint panasz benyújtásához való jogával kapcsolatos tájékoztatással).

A 13. cikk – a 2008/977/IB kerethatározat 17. cikkének (2) és (3) bekezdése nyomán – megállapítja, hogy ha a rendőrségi és büntető igazságügyi területen végzett adatfeldolgozás sajátos természete szükségessé teszi, a tagállamok a hozzáférési jogot korlátozó jogszabályokat fogadhatnak el, és meghatározza, hogy az érintetteknek milyen tájékoztatást kell nyújtani a hozzáférés korlátozásával kapcsolatban.

A 14. cikk bevezeti azt a szabályt, hogy a közvetlen hozzáférés korlátozása esetén az érintettet tájékoztatni kell a felügyelő hatóságon keresztüli közvetett hozzáférés lehetőségéről, amely a jogot az érintett nevében gyakorolja, és a felügyelő hatóság az érintettet a vizsgálat eredményéről tájékoztatni köteles.

A helyesbítéshez való jogról szóló 15. cikk a 95/46/EK irányelv 12. cikkének b) pontját, az elutasítás esetén fennálló kötelezettségek tekintetében pedig a 2008/977/IB kerethatározat 18. cikkének (1) bekezdését veszi alapul.

A törlési jogról szóló 16. cikk a 95/46/EK irányelv 12. cikkének b) pontját, az elutasítás esetén fennálló kötelezettségek tekintetében pedig a 2008/977/IB kerethatározat 18. cikkének (1) bekezdését követi. E cikk továbbá – a 95/46/EK irányelv 12. cikkének b) pontjában és a 2008/977/IB kerethatározat 18. cikkének (1) bekezdésében használt, homályos „zárolás” kifejezés kicserélésével – rögzíti az érintett azon jogát, hogy az adatfeldolgozást bizonyos esetekben megjelölje.

A 17. cikk a 2008/977/IB kerethatározat 4. cikkének (4) bekezdése alapján egyértelműen rögzíti az adatok bírósági eljárások keretében történő helyesbítését és törlését, valamint az adatfeldolgozás korlátozását.

3.4.4. IV. FEJEZET – AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ 3.4.4.1. 1. SZAKASZ – ÁLTALÁNOS KÖTELEZETTSÉGEK

A 18. cikk rögzíti az adatkezelő ezen irányelvnek való megfelelésre, valamint a megfelelés biztosítására vonatkozó kötelezettségét, amely magában foglalja a megfelelést biztosító politikák és mechanizmusok elfogadását is.

A 19. cikk rögzíti, hogy a tagállamoknak biztosítaniuk kell a beépített és az alapértelmezett adatvédelem elveiből eredő kötelezettségeknek az adatkezelő általi betartását.

A közös adatkezelőkről szóló 20. cikk egyértelműen meghatározza a közös adatkezelők jogállását egymás közötti viszonyrendszerük tekintetében.

A 21. cikk – részben a 95/46/EK irányelv 17. cikkének (2) bekezdése nyomán – egyértelműen meghatározza az adatfeldolgozók jogállását és kötelezettségeit, amelyeket új elemekkel is kiegészít, ideértve azt a rendelkezést, miszerint társ-adatkezelőnek kell tekinteni azt az adatfeldolgozót, aki az adatkezelő utasításain túlmenően végez adatfeldolgozást.

A 22. cikk a 95/46/EK irányelv 16. cikkében foglaltakon alapul, és az adatkezelő és adatfeldolgozó felügyelete mellett végzett adatfeldolgozásról rendelkezik.

A 23. cikk bevezeti az adatkezelők és adatfeldolgozók arra irányuló kötelezettségét, hogy dokumentációt vezessenek a felelősségi körükbe tartozó valamennyi adatfeldolgozási rendszerről és eljárásról.

A 24. cikk a nyilvántartás vezetésére vonatkozik, a 2008/977/IB kerethatározat 10. cikkének (1) bekezdésével összhangban, emellett további egyértelműsítést tartalmaz.

A 25. cikk az adatkezelő és az adatfeldolgozó felügyelő hatósággal való együttműködési kötelezettségét írja elő.

A 26. cikk – a 2008/977/IB kerethatározat 23. cikke alapján – azokra az esetekre vonatkozik, amelyekben a feldolgozás előtt kötelező a felügyelő hatósággal való előzetes egyeztetés.

3.4.4.2. 2. SZAKASZ – ADATBIZTONSÁG

Az adatfeldolgozás biztonságáról szóló 27. cikk, amelynek alapját a 95/46/EK irányelv adatfeldolgozás biztonságáról szóló jelenlegi 17. cikkének (1) bekezdése, valamint a 2008/977/IB kerethatározat 22. cikke képezi, a vonatkozó kötelezettségeket az adatkezelővel kötött szerződésüktől függetlenül kiterjeszti az adatfeldolgozókra is.

A 28. és 29. cikk a személyes adatok megsértése esetén fennálló értesítési kötelezettséget vezeti be a 2002/58/EK elektronikus hírközlési adatvédelmi irányelv 4. cikkének (3) bekezdése szerinti, a személyes adatok megsértése esetén fennálló tájékoztatási kötelezettség nyomán, és világosan rögzíti, illetve különválasztja a felügyelő hatóság értesítésével (28. cikk), valamint – meghatározott esetekben – az érintett tájékoztatásával kapcsolatos kötelezettségeket (29. cikk). A 29. cikk emellett a 11. cikk (4) bekezdésére utalva rendelkezik kivételekről is.

3.4.4.3. 3. SZAKASZ – ADATVÉDELMI TISZTVISELŐ

A 30. cikk az adatkezelő számára olyan adatvédelmi tisztviselő kötelező kijelölését írja elő, aki ellátja a 32. cikkben felsorolt feladatokat. Olyan esetekben, amikor több illetékes hatóság működik egy adatkezelőként működő központi hatóság felügyelete alatt, legalább e központi hatóságnak ki kell jelölnie az említett adatvédelmi tisztviselőt. A 95/46/EK irányelv 18. cikkének (2) bekezdése lehetővé tette a tagállamok számára, hogy az említett irányelv szerinti általános értesítési kötelezettség helyett ilyen előírást vezessenek be.

A 31. cikk meghatározza az adatvédelmi tisztviselő jogállását.

A 32. cikk megállapítja az adatvédelmi tisztviselő feladatait.

3.4.5. V. FEJEZET – A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

A 33. cikk meghatározza a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén az adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbításának általános elveit, beleértve az azoktól induló adattovábbítást is. A cikk egyértelműen rögzíti, hogy a harmadik országok felé csak akkor továbbíthatóak adatok, ha arra a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából van szükség.

A 34. cikk kimondja, hogy a harmadik országba történő továbbításra csak a Bizottság által elfogadott megfelelőségi határozat elfogadásával kerülhet sor a 201X/…/… rendelet alapján, vagy kifejezetten a rendőri együttműködés és a büntetőügyekben folytatott igazságügyi együttműködés területén, vagy ilyen határozatok hiányában abban az esetben, ha megfelelő biztosítékok állnak rendelkezésre. Amíg nem fogadnak el megfelelőségi határozatot, az irányelv biztosítja, hogy az adattovábbításokra megfelelő biztosítékok és eltérések alapján továbbra is sor kerülhet. Meghatározza továbbá a védelmi szint megfelelőségére vonatkozó bizottsági értékelés szempontjait, és ezek között kifejezetten felsorolja a jogállamiságot, a bírósági jogorvoslatot és a független felügyeletet. A cikk rendelkezik továbbá a Bizottság azon lehetőségéről, hogy értékelje a valamely harmadik országbeli terület vagy adatfeldolgozási ágazat által biztosított védelmi szintet. A cikk rögzíti, hogy az általános adatvédelmi rendelet 38. cikkében szabályozott eljárás szerint elfogadott általános megfelelőségi határozatot ezen irányelv hatálya alatt is alkalmazni kell. Ezzel párhuzamosan elfogadható megfelelőségi határozat a Bizottság által kifejezetten ezen irányelv alkalmazásában is.

A 35. cikk meghatározza a Bizottság megfelelőségi határozata hiányában a nemzetközi továbbításokat megelőzően szükséges megfelelő biztosítékokat. E biztosítékokat jogilag kötelező eszköz útján, például nemzetközi megállapodásban kell rögzíteni. Alternatív megoldásként az adatkezelő megállapíthatja azok fennállását a továbbítás körülményeinek vizsgálata alapján.

A 36. cikk a 95/46/EK irányelv 26. cikke és a 2008/977/IB kerethatározat 13. cikke alapján rögzíti az adattovábbítás tekintetében lehetséges eltéréseket.

A 37. cikk annak előírására kötelezi a tagállamokat, hogy az adatkezelő tájékoztassa az adatfeldolgozási korlátozások címzettjét, és tegyen meg minden ésszerű lépést annak biztosítása érdekében, hogy a személyes adatok harmadik országbeli vagy nemzetközi szervezetbeli címzettjei betartsák e korlátozásokat.

A 38. cikk kifejezetten rendelkezik a személyes adatok védelmét szolgáló, a Bizottság és harmadik országok felügyelő hatóságai közötti nemzetközi együttműködési mechanizmusokról, különös tekintettel azokra a harmadik országokra, amelyekről megállapítást nyer, hogy – figyelemmel az OECD-nek a magánélet védelmét szolgáló jogszabályok alkalmazása során megvalósuló határokon átnyúló együttműködésről szóló, 2007. június 12-i ajánlására – megfelelő szintű védelmet biztosítanak.

VI. FEJEZET – A NEMZETI FELÜGYELŐ HATÓSÁGOK

3.4.5.1. 1. SZAKASZ – FÜGGETLEN JOGÁLLÁS

A 39. cikk felügyelő hatóságok létrehozására kötelezi a tagállamokat a 95/46/EK irányelv 28. cikkének (1) bekezdése és a 2008/977/IB kerethatározat 25. cikke alapján – ideértve az általános adatvédelmi rendelet szerint létrehozott felügyelő hatóságokat is –, kiterjesztve e hatóságok megbízatását az ezen irányelv Unió-szerte következetes alkalmazásához való hozzájárulásra.

A 40. cikk az Európai Unió Bíróságának ítélkezési gyakorlatát[29] átültetve és többek között felhasználva a 45/2001/EK rendelet[30] 44. cikkének rendelkezéseit is, egyértelműen meghatározza a felügyelő hatóságok függetlenségének feltételeit.

A 41. cikk az irányadó ítélkezési gyakorlatot[31] átültetve és a 45/2001/EK rendelet 42. cikkének (2)–(6) bekezdését figyelembe véve meghatározza a felügyelő hatóság tagjaira vonatkozó általános feltételeket.

A 42. cikk meghatározza azokat a szabályokat, amelyek alapján a tagállamoknak jogszabályban kell létrehozniuk a felügyelő hatóságot, ideértve a felügyelő hatóságok tagjaira vonatkozó feltételek meghatározását is.

A felügyelő hatóság tagjainak és személyzetének szakmai titoktartásáról szóló 43. cikk a 95/46/EK irányelv 28. cikkének (7) bekezdésén, és a 2008/977/IB kerethatározat 25. cikkének (4) bekezdésén alapul.

3.4.5.2. 2. SZAKASZ – FELADAT- ÉS HATÁSKÖRÖK

A 44. cikk – a 95/46/EK irányelv 28. cikkének (6) bekezdése és a 2008/977/IB kerethatározat 25. cikkének (1) bekezdése alapján – meghatározza a felügyelő hatóságok illetékességét. A bíróságok igazságszolgáltatási hatáskörükben eljárva mentesülnek a felügyelő hatóság ellenőrzése alól, az adatvédelemre vonatkozó anyagi jogszabályok alkalmazása alól azonban nem.

A 45. cikk a tagállamoknak a felügyelő hatóság feladatainak meghatározására vonatkozó kötelezettségét rögzíti, beleértve a panaszok kezelését és azok kivizsgálását, valamint a közvélemény tudatosságának növelését a kockázatok, szabályok, biztosítékok és jogok tekintetében. Ezen irányelvvel összefüggésben a felügyelő hatóság egyik kiemelt feladata, hogy a közvetlen hozzáférés megtagadása vagy korlátozása esetén a hozzáférési jogot az érintett képviseletében gyakorolja, valamint ellenőrizze az adatfeldolgozás jogszerűségét.

A 46. cikk – a 95/46/EK irányelv 28. cikkének (3) bekezdése, a 2008/977/IB kerethatározat 25. cikkének (2) és (3) bekezdése alapján –a felügyelő hatóság hatásköreit határozza meg. A 47. cikk a 95/46/EK irányelv 28. cikkének (5) bekezdése alapján arra kötelezi a felügyelő hatóságokat, hogy tevékenységükről éves jelentéseket készítsenek.

3.4.6. VII. FEJEZET – EGYÜTTMŰKÖDÉS

A 48. cikk szabályokat vezet be a kötelező kölcsönös segítségnyújtásra vonatkozóan, míg a 95/46/EK irányelv 28. cikke (6) bekezdésének második albekezdése pusztán az együttműködés általános kötelezettségét rögzítette további részletes meghatározás nélkül.

A 49. cikk kimondja, hogy az általános adatvédelmi rendelet által létrehozott Európai Adatvédelmi Tanácsadó Testület az adatfeldolgozási tevékenységekkel kapcsolatos feladatait is ezen irányelv hatálya alatt végzi. Annak érdekében, hogy további támogatást nyújtson, a Bizottság a tagállamok bűncselekmények megelőzésére, nyomozására, felderítésére, büntetőeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására hatáskörrel rendelkező hatóságainak képviselőinek, valamint az Europol és az Eurojust képviselőinek tanácsát fogja kérni az adatvédelem rendészettel kapcsolatos kérdései tekintetében felállított szakértői csoport révén.

3.4.7. VIII. FEJEZET – JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

Az 50. cikk a 95/46/EK irányelv 28. cikkének (4) bekezdése alapján bármely érintett számára biztosítja azt a jogot, hogy panaszt terjesszen elő a felügyelő hatósághoz, és ezen irányelv panaszossal kapcsolatos bármilyen megsértésére vonatkozik. Azokat a szerveket, szervezeteket és egyesületeket is meghatározza, amelyek az érintett nevében, illetve személyes adatok megsértése esetén az érintett panaszától függetlenül panaszt terjeszthetnek elő.

Az 51. cikk a felügyelő hatósággal szemben kezdeményezhető bírósági jogorvoslathoz való jogról rendelkezik. A 95/46/EK irányelv 28. cikkének (3) bekezdésében foglalt általános rendelkezés alapján kifejezetten biztosítja az érintettnek a felügyelő hatóság arra irányuló kötelezésére vonatkozó keresetindítási lehetőségét, hogy panasz esetén eljárjon.

Az 52. cikk az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jogról rendelkezik a 95/46/EK irányelv 22. cikke és a 2008/977/IB kerethatározat 20. cikke alapján.

Az 53. cikk rögzíti a bírósági eljárások közös szabályait, beleértve a szervek, szervezetek vagy egyesületek arra vonatkozó jogát, hogy az érintetteket a bíróság előtt képviseljék, és a felügyelő hatóságok arra vonatkozó jogát, hogy részt vegyenek a bírósági eljárásokban. A gyors bírósági intézkedések biztosításának tagállami kötelezettségét az elektronikus kereskedelemről szóló 2000/31/EK irányelv[32] 18. cikkének (1) bekezdése hívta életre.

Az 54. cikk a kártérítéshez való jog előírására kötelezi a tagállamokat. A cikk a 95/46/EK irányelv 23. cikkére és a 2008/977/IB kerethatározat 19. cikkének (1) bekezdésére épül, és a kártérítéshez való jogot kiterjeszti az adatfeldolgozók által okozott károkra is, egyértelműen meghatározza továbbá a társ-adatkezelők és társ-adatfeldolgozók felelősségét.

Az 55. cikk a szankciók szabályainak megállapítására, az irányelv megsértésének szankcionálására, valamint ezek végrehajtásának biztosítására kötelezi a tagállamokat.

3.4.8. IX. FEJEZET – FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

Az 56. cikk az EUMSZ 290. cikkel összhangban a felhatalmazás gyakorlására vonatkozó általános rendelkezéseket tartalmazza. Ez lehetővé teszi a jogalkotó számára, hogy általános hatályú nem jogalkotási aktusok elfogadására hatalmazza fel a Bizottságot a jogalkotási aktusok egyes nem alapvető fontosságú elemeinek kiegészítése vagy módosítása érdekében („kvázi-jogalkotási” aktusok).

Az 57. cikk a végrehajtási hatásköröknek a Bizottságra történő átruházásához szükséges bizottsági eljárásról rendelkezik azokban az esetekben, amelyekben az EUMSZ 291. cikkel összhangban valamely kötelező erejű uniós jogi aktus végrehajtásának egységes feltételek szerint kell történnie. A vizsgálóbizottsági eljárás alkalmazandó.

3.4.9. X. FEJEZET – ZÁRÓ RENDELKEZÉSEK

Az 58. cikk hatályon kívül helyezi a 2008/977/IB kerethatározatot.

Az 59. cikk rögzíti, hogy az ezen irányelv elfogadását megelőzően elfogadott, a személyes adatok feldolgozását vagy az irányelv hatálya alá tartozó információs rendszerekhez való hozzáférést szabályozó uniós aktusoknak a bűncselekmények megelőzésével, nyomozásával, felderítésével, büntetőeljárás lefolytatásával vagy büntetőjogi szankciók végrehajtásával kapcsolatos különös rendelkezései továbbra is hatályban maradnak.

A 60. cikk meghatározza ezen irányelvnek a bűnügyi igazságügyi és rendőrségi együttműködés területén a tagállamok által korábban megkötött nemzetközi megállapodásokhoz fűződő viszonyát.

A 61. cikk kötelezi a Bizottságot, hogy az 59. cikkben említett, korábban elfogadott különös rendelkezések ezen irányelvhez történő igazítása szükségességének felmérése érdekében értékelje az irányelv megvalósítását, és készítsen jelentést arról.

A 62. cikk rögzíti a tagállamok azon kötelezettségét, hogy átültessék ezen irányelvet a nemzeti jogukba, valamint hogy értesítsék a Bizottságot az irányelvnek megfelelő rendelkezések elfogadásáról.

A 63. cikk meghatározza az irányelv hatálybalépésének időpontját.

A 64 cikk meghatározza ezen irányelv címzettjeit.

4. KÖLTSÉGVETÉSI VONZATOK

Az általános adatvédelmi rendeletre vonatkozó javaslatot kísérő pénzügyi kimutatás a rendelet és ezen irányelv költségvetési vonzatait is tartalmazza.

2012/0010 (COD)

Javaslat

AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE

a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezetének a nemzeti parlamentek részére való megküldését követően,

az európai adatvédelmi biztossal folytatott konzultációt követően[33],

rendes jogalkotási eljárás keretében,

mivel:

(1) A természetes személyeknek a személyes adataik feldolgozásával kapcsolatban nyújtott védelem alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van az őt érintő személyes adatok védelméhez.

(2) A személyes adatok feldolgozásának célja az emberek szolgálata; személyes adataik feldolgozása vonatkozásában az egyének védelméhez kapcsolódó elveknek és szabályoknak a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen személyes adataik védelméhez való jogukat. Ennek hozzá kell járulnia a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez.

(3) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. Az adatgyűjtés és -megosztás mértéke ugrásszerűen megnőtt. A technológia az illetékes hatóságok számára minden eddiginél nagyobb mértékben teszi lehetővé, hogy tevékenységük ellátása érdekében személyes adatokat használjanak fel.

(4) Ez szükségessé teszi az illetékes hatóságok közötti, Unión belüli szabad adatáramlás és a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás egyszerűsítését, biztosítva egyúttal a személyes adatok magas szintű védelmét. E fejlemények szükségessé teszik egy olyan szilárdabb és következetesebb uniós adatvédelmi keret kialakítását, amely mögött erős kikényszeríthetőség áll.

(5) A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv[34] alkalmazandó a tagállamokban végzett valamennyi személyesadat-feldolgozási tevékenységre mind az állami, mind a magánszektorban. Az említett irányelv mindazonáltal nem vonatkozik „a közösségi jog hatályán kívül eső tevékenységek” során történő feldolgozására, vagyis például a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés terén folytatott tevékenységek során.

(6) A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, 2008. november 27-i 2008/977/IB tanácsi kerethatározat[35] a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területére alkalmazandó. E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok feldolgozására korlátozódik.

(7) A büntetőügyekben folytatott hatékony igazságügyi együttműködés és rendőrségi együttműködés biztosítása szempontjából kulcsfontosságú az egyének személyes adatainak következetes és magas szintű védelme, valamint az, hogy a megkönnyítsék a tagállamok illetékes hatóságai számára a személyes adatok cseréjét. E célból az egyének jogai és szabadságai védelmi szintjének a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában azonosnak kell lennie minden tagállamban. A személyes adatoknak az Unió egész területén biztosított hatékony védelme megköveteli az érintettek jogainak, valamint a személyes adatok feldolgozását végző személyek kötelezettségeinek megszilárdítását, de ugyanakkor azt is, hogy a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzését és biztosítását a tagállamokban azonos hatáskörben lássák el.

(8) Az Európai Unió működéséről szóló szerződés 16. cikkének (2) bekezdése előírja, hogy az Európai Parlament és Tanács állapítsa meg a személyes adatok feldolgozása vonatkozásában az egyének védelméről és a személyes adatok szabad áramlásáról szóló szabályokat.

(9) Ennek alapján a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, […]/2012/EU európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) meghatározza az egyéneket személyes adataik feldolgozása tekintetében védő és a személyes adatok Unión belüli szabad áramlását biztosító általános szabályokat.

(10) A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén biztosított személyes adatvédelemről szóló 21. nyilatkozatban a konferencia elismerte, hogy a büntetőügyekben folytatott igazságügyi és rendőrségi együttműködés területén a személyes adatok védelmére és az ilyen adatok szabad áramlására vonatkozóan, az említett területek sajátos jellegére tekintettel szükségesnek bizonyulhatnak az EUMSZ 16. cikk alapján megalkotott különleges szabályok.

(11) Ennélfogva e területek sajátos jellege külön irányelvet igényel, amelynek meg kell határoznia a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről szóló szabályokat.

(12) Annak érdekében, hogy a jogi úton érvényesíthető jogok révén az Unió egész területén azonos szintű védelmet biztosítson az egyének részére, valamint hogy megelőzze az illetékes hatóságok közötti személyesadat-cserét akadályozó eltérések kialakulását, az irányelv harmonizált szabályozást nyújt a bűnügyi igazságügyi és rendőrségi együttműködés területén a személyes adatok védelme és szabad áramlása tekintetében.

(13) Ez az irányelv lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét az ezen irányelvvel megállapított rendelkezések alkalmazása során.

(14) Az ezen irányelv által nyújtott védelem a természetes személyeket a személyes adatok feldolgozása tekintetében állampolgárságtól és lakóhelytől függetlenül illeti meg.

(15) Az egyének védelmének technológiailag semlegesnek kell lennie, és az nem függhet a felhasznált technológiáktól; különben komoly szabály-megkerülési kockázatot teremtene. Az egyének védelme az automatizált eszközök útján végzett személyesadat-feldolgozás mellett a manuális feldolgozásra is vonatkozik, amennyiben az adatokat valamely nyilvántartási rendszerben tárolják, vagy kívánják tárolni. A meghatározott szempontok szerint nem rendszerezett iratok, illetve iratok csoportjai, és azok borítóoldalai nem tartoznak ezen irányelv hatálya alá. Ezen irányelv nem alkalmazandó az olyan – különösen a nemzetbiztonságot érintő ‑ tevékenységek során végzett személyesadat-feldolgozásra, amely az uniós jog hatályán kívül esik, és nem tartozik az irányelv hatálya alá az uniós intézmények, szervek, hivatalok és ügynökségek, például az Europol vagy az Eurojust személyesadat-feldolgozása.

(16) A védelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Annak meghatározására, hogy valamely természetes személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű módon felhasználhat az egyén azonosítására. A védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, hogy az érintett a továbbiakban nem azonosítható.

(17) Az egészségre vonatkozó személyes adatok közé tartozik különösen minden olyan adat, amely az érintett egészségi állapotára vonatkozik; az egyén egészségügyi szolgáltatásnyújtás érdekében történő nyilvántartása; az egészségügyi ellátásért teljesített fizetések és az arra való jogosultság az egyén vonatkozásában; olyan adott egyénhez rendelt szám, szimbólum vagy adat, amelynek célja, hogy egészségügyi szempontból kizárólagosan azonosítsa a személyt; az egyénnel kapcsolatban a neki nyújtott egészségügyi szolgáltatás során gyűjtött bármilyen információ; például testrész vagy testet alkotó anyag – beleértve a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk; egy személy azonosítása, aki egészségügyi szolgáltatást nyújt az egyénnek; bármilyen többek között az érintett betegséggel, fogyatékossággal, betegségkockázattal, kórtörténettel, klinikai kezeléssel vagy az érintett aktuális fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, úgymint orvos vagy egyéb egészségügyi dolgozó, kórház, orvosi berendezés vagy in vitro diagnosztikai teszt.

(18) A személyes adatok feldolgozásának tisztességesnek és törvényesnek kell lennie az érintett egyének szempontjából. Az adatfeldolgozás sajátos céljainak különösen pontosan megfogalmazottaknak kell lenniük.

(19) A bűncselekmények megelőzése, nyomozása és üldözése érdekében szükséges, hogy az illetékes hatóságok személyes adatokat tároljanak és dolgozzanak fel, amelyeket a konkrét bűncselekmények megelőzése, nyomozása, felderítése vagy üldözése során gyűjtöttek, ezen összefüggésen túl pedig annak érdekében is, hogy megértsék a kriminológiai jelenségeket és trendeket, hogy információkat gyűjtsenek a szervezett bűnözésről, és hogy összekapcsolják a különböző felderített bűncselekményeket.

(20) A személyes adatokat nem lehet az adatgyűjtés céljával ellentétes célból feldolgozni. A személyes adatoknak megfelelőnek és relevánsnak kell lenniük, valamint nem léphetik túl a személyes adatok feldolgozásának célját. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek.

(21) Az adatok pontosságának elvét az adott feldolgozás jellegére és céljára tekintettel kell alkalmazni. Különösen a bírósági eljárásokban a személyes adatokat tartalmazó nyilatkozatok az egyének szubjektív megfigyelésén alapulnak, és némely esetben nem mindig ellenőrizhetőek. A pontosság követelménye következésképpen nem a nyilatkozat pontosságára, hanem pusztán arra a tényre vonatkoztatandó, hogy egy konkrét nyilatkozat megtételére került sor.

(22) Az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett személyesadat-feldolgozással kapcsolatos általános elvek értelmezése és alkalmazása során figyelemmel kell lenni az ágazat sajátosságaira, ideértve a követett különleges célokat is.

(23) A személyes adatoknak a bűnügyi igazságügyi és rendőrségi együttműködés területén történő feldolgozásával természetszerűleg együtt jár, hogy az érintettek különböző kategóriáira vonatkozó személyes adatokat dolgoznak fel. Ezért –amennyire lehetséges – egyértelműen különbséget kell tenni az érintettek különböző kategóriáihoz tartozó személyes adatok között, így a bűncselekmények elkövetésével gyanúsított vagy amiatt elítélt személyekre, az áldozatokra és egyéb harmadik személyekre, például tanúkra, fontos információk birtokosaira vagy a gyanúsítottak és az elítélt bűnelkövetők kapcsolataira és bűntársaira vonatkozó személyes adatok között.

(24) Amennyire lehetséges a személyes adatokat pontosságuk és megbízhatóságuk foka szerint kell különválasztani. Az egyének védelmét és az illetékes hatóságok által feldolgozott információk minőségét és megbízhatóságát biztosítandó, a tényeket és a személyes értékelést külön kell választani.

(25) A személyes adatok feldolgozása akkor jogszerű, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, jogszabály alapján az illetékes hatóság által a közérdekből végzett feladat ellátásához, az érintett vagy más személy létfontosságú érdekeinek védelméhez vagy a közbiztonságot fenyegető közvetlen és súlyos veszély elhárításához szükséges.

(26) Az alapvető jogokkal és a magánélettel kapcsolatos, jellegüknél fogva különösen érzékeny személyes adatok – a genetikai adatokat is beleértve – különleges védelmet érdemelnek. Az ilyen adatok feldolgozására csak az érintett jogos érdekének biztosítására megfelelő biztosítékokat nyújtó jogszabályban szereplő külön lehetőség alapján kerülhet sor; vagy ha az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy ha az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott.

(27) Minden természetes személyt megillet a jog, hogy ne legyen kizárólag automatizált adatfeldolgozási eszközökkel végzett intézkedés alanya, amennyiben az e személy számára hátrányos jogkövetkezményt von maga után, a jogszabály által lehetővé tett eseteket kivéve, és feltéve, hogy az ilyen intézkedéseket az érintett jogos érdekének biztosítására szolgáló megfelelő biztosítékok övezik.

(28) Annak érdekében, hogy gyakorolhassák jogaikat, az érintett tájékoztatásának hozzáférhetőnek és könnyen érthetőnek kell lennie, ideértve azt, hogy azt világos és közérthető nyelven fogalmazzák meg.

(29) Az érintettek ezen irányelvben biztosított jogainak gyakorlását egyszerűsítő eljárásokat – ideértve az adatok vonatkozásában kérelemre és térítésmentesen biztosított hozzáférés, helyesbítés és törlés mechanizmusait – kell létrehozni. Az adatkezelőnek köteles az érintett kérelmére haladéktalanul válaszolni.

(30) A tisztességes adatfeldolgozás elve megköveteli az érintett tájékoztatását az adatfeldolgozási művelet megtörténtéről és céljáról, az adatok tárolásának időtartamáról, a hozzáférési, helyesbítési és törlési jog fennállásáról, valamint a panaszemelési jogról. Amennyiben az adatokat az érintett személytől gyűjtik be, az érintettet tájékoztatni kell arról, hogy köteles-e az adatszolgáltatásra, valamint hogy ezen adatszolgáltatás megtagadása milyen következményekkel jár.

(31) Az érintettre vonatkozó személyes adatok feldolgozásával kapcsolatos tájékoztatást az adatgyűjtés időpontjában, illetve, abban az esetben, amikor az adatokat nem az érintettől nyerik, a rögzítés időpontjában vagy az adatgyűjtést követő ésszerű határidőn belül kell nyújtani az adatfeldolgozás különleges körülményeire tekintettel.

(32) Minden személyt megillet a vonatkozásában gyűjtött adatokhoz való hozzáférés joga, valamint e jog egyszerű gyakorlása az adatfeldolgozás jogszerűségének megállapíthatósága és ellenőrzése érdekében. Ezért minden érintett számára biztosítani kell a jogot ahhoz, hogy megismerje elsősorban az adatfeldolgozás céljait, időtartamát, az adatok címzettjeit, harmadik országok tekintetében is. Az érintettek rendelkezésére kell bocsátani a feldolgozás alatt álló személyes adataik másolatát.

(33) A tagállamok jogszabályokat fogadhatnak el az érintettek tájékoztatásának vagy a személyes adataikhoz való hozzáférésnek a késleltetésére, korlátozására vagy megtagadására, amennyiben e részleges vagy teljes korlátozás – kellő tekintettel az érintett személy jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedést jelent a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése, a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása, a köz- vagy nemzetbiztonság védelme, illetve az érintett vagy mások jogainak és szabadságainak védelme érdekében.

(34) A hozzáférés bármely megtagadását vagy korlátozását írásban közölni kell az érintettel a döntés ténybeli és jogi indokaival együtt.

(35) Amennyiben a tagállamok a hozzáférési jogot részben vagy teljesen korlátozó jogszabályt fogadtak el, az érintettnek joga van kérni, hogy az illetékes nemzeti felügyelő hatóság vizsgálja meg az adatfeldolgozás jogszerűségét. Az érintettet e jogról tájékoztatni kell. Amennyiben a felügyelő hatóság az érintett nevében él a hozzáféréssel, a felügyelő hatóságnak az érintettet mindenképpen tájékoztatnia kell legalább arról, hogy a felügyelő hatóság minden szükséges felülvizsgálatot elvégzett, valamint a szóban forgó adatfeldolgozás jogszerűségére vonatkozó eredményről.

(36) Mindenkinek joga van a rá vonatkozó pontatlan személyes adatok helyesbítéséhez és törléséhez, amennyiben az ilyen adatok feldolgozása nem felel meg az ezen irányelvben rögzített alapelveknek. Amennyiben a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során dolgozzák fel, az adatfeldolgozás helyesbítését, a tájékoztatáshoz való jogot, a hozzáférést, a törlést és korlátozást a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban kell elvégezni.

(37) A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bárminemű feldolgozása tekintetében rögzíteni kell az adatkezelő átfogó feladatát és felelősségét. Az adatkezelőnek biztosítania kell a feldolgozási műveleteknek az ezen irányelv értelmében elfogadott szabályokkal való összhangját.

(38) Az irányelv követelményeinek kielégítése érdekében az érintetteket személyes adataik feldolgozása tekintetében megillető jogok és szabadságok védelme megfelelő műszaki és szervezési intézkedéseket követel meg. Az adatkezelő az ezen irányelv értelmében elfogadott rendelkezésekkel való összhang biztosítása érdekében szakpolitikákat fogad el, valamint különösen a beépített és az alapértelmezett adatvédelem elveit kielégítő megfelelő intézkedéseket alkalmaz.

(39) Az érintettek jogainak és szabadságainak védelme mellett az adatkezelők és -feldolgozók feladata és felelőssége is megköveteli az ezen irányelv szerinti feladatok egyértelmű hozzárendelhetőségét, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatfeldolgozás céljait, feltételeit és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatfeldolgozási műveletet.

(40) Az adatkezelőnek vagy -feldolgozónak az ezen irányelvvel való összhang ellenőrzése érdekében dokumentálnia kell az adatfeldolgozási tevékenységet. Minden adatkezelő vagy -feldolgozó köteles a felügyelő hatósággal együttműködni és az említett dokumentációt kérésre hozzáférhetővé tenni az adatfeldolgozási műveletek ellenőrzése céljából.

(41) Az érintettek jogai és szabadságai hatékony védelmének megelőző intézkedésekkel történő biztosítása érdekében az adatkezelő vagy -feldolgozó konzultál a felügyelő hatósággal, bizonyos esetekben a feldolgozást megelőzően.

(42) A személyes adatok megsértése – ha nem foglalkoznak vele megfelelően és időben – kárt okozhat – a hírnévrontást is beleértve – az érintett számára. Az adatkezelőnek ezért, amint tudomására jut az ilyen jogsértés, értesítenie kell az illetékes nemzeti hatóságot. Azokat az egyéneket, akiknek személyes adatait vagy magánéletét a jogsértés hátrányosan befolyásolhatja, haladéktalanul értesíteni kell, annak érdekében, hogy megtehessék a szükséges óvintézkedéseket. Az egyének személyes adatait és magánéletét hátrányosan befolyásolónak tekintendő a jogsértés, ha például személyazonosság-lopást, személyazonossággal való visszaélést, fizikai károkozást, súlyos sértést vagy hírnévrontást eredményezhet a személyes adatok feldolgozásával összefüggésben.

(43) A személyes adatok megsértéséről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor megfelelő figyelmet kell fordítani a jogsértés körülményeire, beleértve azt is, hogy a személyes adatokat védték-e olyan megfelelő műszaki védelmi intézkedésekkel, amelyek hatékonyan korlátozzák a visszaélés előfordulásának valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá az illetékes hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti feltárás szükségtelenül veszélyeztethetné a jogsértés körülményeinek kivizsgálását.

(44) Az adatkezelőnek vagy -feldolgozónak ki kell jelölnie egy olyan személyt, aki segítséget nyújt számára az ezen irányelv értelmében elfogadott rendelkezésekkel való összhang ellenőrzése tekintetében. Az adatvédelmi tisztviselőt az illetékes hatóság több szerve közösen is kinevezheti. Az adatvédelmi tisztviselőknek olyan helyzetben kell lenniük, hogy kötelezettségeiket és feladataikat függetlenül és hatékonyan láthassák el.

(45) A tagállamoknak biztosítaniuk kell, hogy a harmadik országba történő adattovábbításra csak akkor kerüljön sor, ha az adattovábbítás bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása érdekében szükséges, és a harmadik országbeli adatkezelő vagy nemzetközi szervezet az ezen irányelv értelmében vett illetékes hatóságnak minősül. Adattovábbításra csak azokban az esetekben kerülhet sor, amelyeknél a Bizottság úgy ítélte meg, hogy a szóban forgó harmadik ország vagy nemzetközi szervezet megfelelő védelmi szintet képes biztosítani, illetve ha megfelelő biztosítékokat nyújtottak.

(46) A Bizottság az Unió egészére kiterjedő hatállyal úgy határozhat, hogy adott harmadik országok vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújtanak, biztosítva ezáltal az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ezekben az esetekben a személyes adatok az említett országokba további engedély nélkül is továbbíthatók.

(47) A Bizottságnak az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban figyelembe kell vennie, hogy az adott harmadik országban mennyire tisztelik a jogállamiságot, a bírói igazságszolgáltatáshoz való jogot valamint a nemzetközi emberi jogi normákat és előírásokat.

(48) A Bizottságnak azt is fel kell tudnia ismerni, hogy az adott harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem képes megfelelő adatvédelmi szintet nyújtani. Ennek következtében a személyes adatoknak az említett harmadik országba történő továbbítását meg kell tiltani, kivéve, ha nemzetközi megállapodáson, megfelelő biztosítékokon vagy eltérésen alapul. Rendelkezni kell a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról. Ugyanakkor az ilyen bizottsági határozat nem sértheti annak lehetőségét, hogy az adattovábbítást megfelelő biztosítékok vagy az irányelvben szereplő eltérés alapján végezzék.

(49) Ilyen megfelelőségi határozat hiányában csak akkor van lehetőség adattovábbításra, ha jogilag kötelező eszköz útján a személyes adatok védelmére megfelelő biztosítékokat teremtettek, vagy az adatkezelő vagy -feldolgozó megvizsgálta az adattovábbítási művelet vagy műveletcsoport valamennyi körülményét, és e vizsgálat alapján úgy véli, hogy megfelelő biztosítékok állnak fenn a személyes adatok védelme tekintetében. Amennyiben nem áll fenn a továbbítást lehetővé tévő indok, eltéréseket kell engedni az érintett vagy más személy létfontosságú érdekének védelme érdekében, vagy az érintett jogos érdekének a személyes adatot továbbító tagállam jogszabályai által előírt biztosítása érdekében, vagy ha ez valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében nélkülözhetetlen, illetve egyedi esetekben bűncselekmények megelőzésére, nyomozására, felderítésére, büntetőeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására irányuló célból, vagy egyedi esetekben jogi követelések megállapítása, érvényesítése vagy védelme érdekében.

(50) Amennyiben a személyes adatok átlépik a határokat, megnövekedhet annak a kockázata, hogy az egyének nem képesek gyakorolni adatvédelmi jogaikat az említett adatok jogellenes felhasználása vagy nyilvánosságra hozatala elleni védelem. Ezzel egyidejűleg a felügyelő hatóságok megállapíthatják, hogy képtelenek a panaszok érvényesítésére vagy vizsgálat lefolytatására a határaikon kívül folyó tevékenységek tekintetében. A határokon átnyúló közös munka érdekében tett erőfeszítéseiket hátráltathatják az elégtelen megelőzési és jogorvoslati hatáskörök, az egymásnak ellentmondó jogi rendszerek. Ezért elő kell mozdítani az adatvédelmi felügyelő hatóságok közötti szorosabb együttműködést a külföldi partnereikkel folytatott információcsere elősegítése érdekében.

(51) A feladataik ellátása folyamán teljes függetlenséget élvező felügyelő hatóságok tagállamokbeli létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében. A felügyelő hatóságok a természetes személyeket személyes adataik feldolgozása tekintetében megillető védelem biztosítása érdekében ellenőrzik az ezen irányelv értelmében elfogadott rendelkezések alkalmazását, és hozzájárulnak azoknak az Unió egész területén történő következetes alkalmazásához. E célból a felügyelő hatóságok együttműködnek egymással és a Bizottsággal.

(52) A tagállam a […]/2012/EU rendelet alapján az adott tagállamban korábban létrehozott felügyelő hatóságra ruházhatja az ezen irányelv alapján létrehozandó nemzeti felügyelő hatóság által ellátandó feladatokért való felelősséget.

(53) A tagállamok saját alkotmányos, szervezeti és igazgatási szerkezetükhöz igazodva egynél több felügyelő hatóságot is létrehozhatnak. Valamennyi felügyelő hatóság számára biztosítani kell a feladatai – ideértve az Unió bármely más felügyelő hatóságával való együttműködést és a kölcsönös segítségnyújtást – hatékony ellátásához szükséges anyagi és személyi erőforrásokat, helyiségeket és infrastruktúrát.

(54) A felügyelő hatóság tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, és biztosítani kell, hogy az említett tagokat vagy a tagállam parlamentje vagy kormánya nevezze ki, valamint szabályozni kell a tagok szükséges képesítését és beosztását.

(55) Bár ezen irányelv a tagállami bíróságok tevékenységére is alkalmazandó, a felügyelő hatóság hatásköre nem terjed ki a személyes adatok feldolgozására, ha a bíróságok igazságszolgáltatási feladatkörükben járnak el, ezzel biztosítva a bírák függetlenségét igazságszolgáltatási feladataik ellátása során. E kivétel azonban csak a bírósági ügyekben végzett valódi igazságszolgáltatási tevékenységekre korlátozódik, és nem alkalmazható azokra az egyéb tevékenységekre, amelyek ellátásába a bírákat a nemzeti jognak megfelelően adott esetben bevonják.

(56) Ezen irányelv Unió-szerte következetes ellenőrzésének és érvényesítésének biztosítása érdekében a felügyelő hatóságokat minden tagállamban ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a jogi kötőerővel bíró beavatkozást, határozatokat és szankciókat, különösen az egyéni panaszok esetén, valamint a bírósági eljárásokban való részvétel jogát is.

(57) Mindegyik felügyelő hatóságnak be kell fogadnia az összes érintett panaszát, és ki kell vizsgálnia az ügyet. A panaszt követő – bírósági felülvizsgálat alá tartozó – vizsgálatot a konkrét esethez szükséges mértékben kell lefolytatni. A felügyelő hatóságnak ésszerű határidőn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Amennyiben az ügy további vizsgálatot vagy egy másik felügyelő hatósággal való együttműködést tesz szükségessé, az érintett számára időközben tájékoztatást kell nyújtani.

(58) A felügyelő hatóságoknak feladataik ellátása során együtt kell működniük és kölcsönösen támogatniuk kell egymást annak érdekében, hogy biztosítsák az ezen irányelv értelmében elfogadott rendelkezések következetes alkalmazását és érvényesítését.

(59) A […]/2012/EU rendelet által létrehozott Európai Adatvédelmi Testület az Unió egész területén hozzájárul ezen irányelv következetes alkalmazásához, ideértve a Bizottság részére történő tanácsadást és a felügyelő hatóságok közötti Unión belüli együttműködés előmozdítását is.

(60) Minden érintettnek joga van bármely tagállam felügyelő hatóságánál panaszt emelni, valamint joga van a bírósági jogorvoslathoz, ha álláspontja szerint sérültek az ezen irányelv szerinti jogai, illetve ha a felügyelő hatóság a panasz ügyében nem intézkedik, vagy nem jár el, amikor az érintett jogainak védelme ilyen fellépést követel meg.

(61) Az érintettek adataik védelmével kapcsolatos jogait és érdekeit védeni hivatott, a tagállam jogának megfelelően létrehozott valamennyi szervnek, szervezetnek vagy egyesületnek joga van az érintettek nevében panaszt emelni vagy bírósági jogorvoslatot igénybe venni, amennyiben erre szabályszerűen felhatalmazták, illetve az érintett panaszától függetlenül eljárva saját panaszt emelni, ha álláspontja szerint személyes adatok megsértésére került sor.

(62) Valamennyi természetes vagy jogi személyt megilleti a jog, hogy a felügyelő hatóság rá vonatkozó határozatával szemben bírósági jogorvoslatot vegyen igénybe. A felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(63) A tagállamoknak a hatékonyság érdekében biztosítaniuk kell, hogy a bírósági keresetek az ezen irányelv megsértését orvosló vagy megelőző intézkedések gyors elfogadását tegyék lehetővé.

(64) A jogellenes adatfeldolgozás miatt kárt szenvedett személy kártérítését az adatkezelőnek vagy -feldolgozónak kell állnia, aki/amely akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem őt terheli a felelősség, így különösen az érintett felróható magatartásának megállapítása, vagy vis maior esetén.

(65) Szankciót kell kiróni minden olyan természetes vagy jogi személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik-e –, aki, illetve amely nem tesz eleget az ezen irányelvben foglaltaknak. A tagállamoknak biztosítaniuk kell, hogy a szankciók hatékonyak, arányosak és visszatartó erejűek legyenek, és minden szükséges intézkedést meg kell tenniük a szankciók végrehajtása érdekében.

(66) Az ezen irányelv célkitűzéseinek megvalósítása, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelme, valamint annak biztosítása érdekében, hogy a személyes adatok az Unión belül az illetékes hatóságok között szabadon áramolhassanak, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. Felhatalmazáson alapuló jogi aktust kell elfogadni így különösen a személyes adatok megsértésének felügyelő hatóság részére történő bejelentése tekintetében. Kiemelten fontos, hogy a Bizottság az előkészítő munka folyamán megfelelő konzultációkat folytasson, többek között szakértői szinten is. A felhatalmazáson alapuló jogi aktusok előkészítése és megszövegezése során a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlamenthez és a Tanácshoz történő egyidejű, időben és megfelelő módon történő eljuttatásáról.

(67) Ezen irányelv egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni az adatkezelők és az adatfeldolgozók általi dokumentálás, az adatfeldolgozás biztonsága – különösen a titkosítási szabványokkal összefüggésben –, a személyes adatok megsértésének felügyelő hatóság részére történő bejelentése és a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szint tekintetében. Az említett hatásköröket a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i 182/2011/EU európai parlamenti és tanácsi rendeletnek[36] megfelelően kell gyakorolni.

(68) Vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és az adatfeldolgozók általi dokumentálással, az adatfeldolgozás biztonságával, a személyes adatok megsértésének felügyelő hatóság részére történő bejelentésével és a harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet által biztosított megfelelő védelmi szinttel kapcsolatos intézkedések elfogadására, feltéve hogy az említett jogi aktusok általános hatállyal bírnak.

(69) A Bizottságnak azonnal alkalmazandó végrehajtási aktusokat kell elfogadnia az olyan kellően indokolt esetekben, amennyiben valamely harmadik ország vagy annak valamely régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít megfelelő védelmi szintet, ha a rendkívüli sürgősség ezt megköveteli.

(70) Mivel ezen irányelv célkitűzéseit, vagyis a természetes személyek alapvető jogainak és szabadságainak – különösen a személyes adatok védelméhez való joguk – védelmét, valamint annak biztosítását, hogy a személyes adatok az Unión belül az illetékes hatóságok között szabadon áramolhassanak, a tagállamok nem tudják kielégítően megvalósítani, és ezért azok – a fellépés léptéke vagy hatásai miatt – uniós szinten jobban megvalósíthatók, az Unió intézkedéseket fogadhat el az Európai Unióról szóló szerződés 5. cikkében rögzített szubszidiaritás elvének megfelelően. Az arányosság említett cikkben rögzített elvének megfelelően ezen irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.

(71) Ezen irányelv hatályon kívül helyezi a 2008/977/IB kerethatározatot.

(72) Változatlanul hatályban maradnak az ezen irányelv elfogadásának időpontját megelőzően elfogadott, a személyes adatok tagállamok közötti feldolgozását vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó uniós jogi aktusoknak a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozására vonatkozó különös rendelkezései. A Bizottság értékeli a helyzetet az ezen irányelv és az elfogadásának időpontját megelőzően elfogadott, a személyes adatok tagállamok közötti feldolgozását vagy a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott információs rendszerekhez való hozzáférését szabályozó jogi aktusok közötti kapcsolatra tekintettel annak érdekében, hogy felmérje e különös rendelkezések ezen irányelvhez igazításának szükségességét.

(73) A személyes adatok Unión belüli átfogó és következetes védelmének biztosítása érdekében a tagállamok által ezen irányelv hatálybalépését megelőzően kötött nemzetközi megállapodásokat ezen irányelvvel összhangban módosítani kell.

(74) E rendelet nem sérti a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemnek a 2011. december 31-i 2011/92/EU európai parlamenti és tanácsi irányelvben[37] szereplő rendelkezéseit.

(75) Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló jegyzőkönyv 6a. cikkével összhangban az Egyesült Királyságot és Írországot nem kötelezik az ezen irányelvben meghatározott szabályok, amennyiben az Egyesült Királyságot vagy Írországot nem kötelezik a büntetőügyekben folytatott igazságügyi együttműködés vagy a rendőrségi együttműködés formáira vonatkozó olyan szabályok, amelyek megkívánják az Európai Unió működéséről szóló szerződés 16. cikke alapján megállapított rendelkezések betartását.

(76) Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, Dánia helyzetéről szóló jegyzőkönyv 2. és 2a. cikkével összhangban ezen irányelv Dániára nézve nem kötelező és nem alkalmazandó. Tekintettel arra, hogy ezen irányelv az Európai Unió működéséről szóló szerződés Harmadik része V. címének értelmében a schengeni vívmányokat fejleszti tovább, Dánia – az említett jegyzőkönyv 4. cikkével összhangban – az ezen irányelv elfogadását követő hat hónapon belül dönt arról, hogy nemzeti jogába átülteti-e ezt az irányelvet.

(77) Izland és Norvégia tekintetében ezen irányelv az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás[38] értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(78) Svájc tekintetében ezen irányelv az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodás[39] értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(79) Liechtenstein tekintetében ezen irányelv az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség között a Liechtensteini Hercegségnek az Európai Unió, az Európai Közösség és a Svájci Államszövetség közötti, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és fejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról aláírt jegyzőkönyv[40] értelmében a schengeni vívmányok rendelkezéseinek továbbfejlesztését képezi.

(80) Ezen irányelv tiszteletben tartja az alapvető jogokat és betartja az Európai Unió Alapjogi Chartája által elismert, a Szerződésben rögzített elveket, nevezetesen a magán- és a családi élet tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot. E jogok a Charta 52. cikkének (1) bekezdésével összhangban csak akkor korlátozhatók, ha az elengedhetetlen, és az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

(81) A tagállamoknak és a Bizottságnak a magyarázó dokumentumokról szóló, 2011. szeptember 28-i együttes politikai nyilatkozatával összhangban a tagállamok vállalták, hogy az átültető intézkedéseikről szóló értesítéshez indokolt esetben egy vagy több olyan dokumentumot mellékelnek, amely megmagyarázza az irányelv elemei és az azt átültető nemzeti jogi eszközök megfelelő részei közötti kapcsolatot. Ezen irányelv tekintetében a jogalkotó úgy ítéli meg, hogy ilyen dokumentumok átadása indokolt.

(82) Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az érintettek büntetőeljárás során feldolgozott személyes adatai tekintetében fennálló tájékoztatási, hozzáférési, helyesbítési, törlési és korlátozási jogának gyakorlásáról, valamint ezek esetleges korlátozásáról rendelkezzenek nemzeti büntetőeljárási szabályaikban.

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk Tárgy és célkitűzések

(1)          Ez az irányelv a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről szóló szabályokat állapítja meg.

(2)          A tagállamok ezen irányelvvel összhangban:

a)      védelmezik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat; valamint

b)      biztosítják, hogy az illetékes hatóságok közötti Unión belüli személyesadat-cserét nem korlátozzák vagy tiltják a személyes adatok feldolgozása vonatkozásában az egyének védelmével összefüggő okokból.

2. cikk Hatály

(1)          Ezen irányelvet kell alkalmazni a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett feldolgozására.

(2)          Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon történő feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(3)          Ezen irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

a)      az uniós jog hatályán kívül eső, így különösen a nemzetbiztonságot érintő tevékenységek során végzett adatfeldolgozás;

b)      az Unió intézményei, szervei, hivatalai és ügynökségei által végzett adatfeldolgozás.

3. cikk Fogalommeghatározások

Ezen irányelv alkalmazásában:

(1) „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy;

(2) „személyes adat”: az érintettre vonatkozó bármely információ;

(3) „adatfeldolgozás”: a személyes adatokon vagy adatállományokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

(4) „a feldolgozás korlátozása”: a tárolt személyes adat megjelölése jövőbeli feldolgozásának korlátozása céljából;

(5) „nyilvántartó rendszer”: a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;

(6) „adatkezelő”: az a hatóság, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; ha a célokat, feltételeket és módokat egy adott uniós vagy nemzeti jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez az uniós vagy nemzeti jogszabály jelöli ki;

(7) „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

(8) „címzett”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére a személyes adatot továbbítják;

(9) „személyes adatok megsértése”: a biztonság olyan megsértése, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

(10) „genetikai adat”: az egyén jellemzőire vonatkozó bármely olyan adat, amelyet a születés előtti korai fejlődés során örökölt vagy szerzett;

(11) „biometrikus adat”: az egyén olyan fizikai, pszichológiai vagy viselkedési jellemzőjére vonatkozó adat, amely lehetővé teszi az egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

(12) „egészségügyi adat”: minden olyan adat, amely az érintett testi vagy pszichikai egészségi állapotára vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik;

(13) „gyermek”: bármely 18 évesnél fiatalabb személy;

(14) „illetékes hatóságok”: bűncselekmények megelőzéséért, nyomozásáért, felderítéséért, büntetőeljárás lefolytatásáért vagy büntetőjogi szankciók végrehajtásáért felelős bármely hatóság;

(15) „felügyelő hatóság”: a tagállam által a 39. cikk értelmében létrehozott hatóság.

II. FEJEZET

ALAPELVEK

4. cikk A személyes adatok feldolgozására vonatkozó alapelvek

A tagállamok rendelkeznek arról, hogy a személyes adatok:

a)      feldolgozását tisztességesen és jogszerűen kell végezni;

b)      gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal ellentétesen;

c)      megfelelőek, relevánsak, és nem haladják meg a feldolgozás célját;

d)      pontosak és szükség esetén naprakészek; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás személyes adatok, feldolgozásuk céljaira való tekintettel, haladéktalanul törlésre vagy helyesbítésre kerüljenek;

e)      tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé;

f)       feldolgozása az adatkezelő felelősségére történik, akinek biztosítania kell az ezen irányelv értelmében elfogadott rendelkezésekkel való összhangot.

5. cikk Az érintettek különböző kategóriáinak megkülönböztetése

(1)          A tagállamok előírják, hogy az adatkezelő – lehetőség szerint – világos különbséget tesz az érintettek alábbi különböző kategóriáinak személyes adatai között:

a)      olyan személyek, akik tekintetében alapos indokkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni;

b)      bűncselekményért elítélt személyek;

c)      bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozataivá válhatnak;

d)      a bűncselekménnyel érintett további felek, így például olyan személyek, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során tanúként beidézhetők, vagy olyan személy, aki a vizsgált bűncselekményről információval szolgálhat, illetve az a) és b) pontban említett személyek kapcsolatai vagy bűntársai; valamint

e)      a fent említett kategóriákon kívül eső személyek.

6. cikk A személyes adatok pontosságának és megbízhatóságának különböző fokai

(1)          A tagállamok – lehetőség szerint – biztosítják a feldolgozandó különböző személyesadat-kategóriák közötti, pontosság és megbízhatóság foka szerinti különbségtételt.

(2)          A tagállamok, amennyire lehetséges, biztosítják a tényeken és a személyes értékelésen alapuló személyes adatok közötti különbségtételt.

7. cikk Az adatfeldolgozás jogszerűsége

A tagállamok előírják, hogy a személyes adatok feldolgozása csak és kizárólag akkor és annyiban jogszerű, amennyiben az adatfeldolgozás az alábbiak miatt szükséges:

a)           az 1. cikk (1) bekezdésében szereplő célok érdekében az illetékes hatóság által jogszabály alapján végzendő feladat ellátása; vagy

b)           az adatkezelőre vonatkozó jogi kötelezettség teljesítése; vagy

c)           az érintett vagy más személy létfontosságú érdekeinek védelme; vagy

d)           a közbiztonságot fenyegető közvetlen és súlyos veszély elhárítása.

8. cikk A személyes adatok különleges kategóriáinak feldolgozása

(1)          A tagállamok megtiltják a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, a genetikai adatok, az egészségügyi adatok vagy a szexuális életre vonatkozó adatok feldolgozását.

(2)          Az (1) bekezdés nem alkalmazható abban az esetben, ha:

a)      az adatfeldolgozást jogszabály teszi lehetővé a megfelelő biztosítékok biztosítása mellett; vagy

b)      az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy

c)      az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott.

9. cikk Profilalkotáson és automatikus feldolgozáson alapuló intézkedések

(1)          A tagállamok előírják, hogy tilos az érintettek számára hátrányos jogkövetkezményt maga után vonó, vagy rájuk jelentős mértékben kiható olyan intézkedés, amely egyedül az érintettekre vonatkozó meghatározott személyes szempontok kiértékelését célzó automatizált személyesadat-feldolgozáson alapul, kivéve, ha azt olyan jogszabály teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja.

(2)          Az érintettekre vonatkozó meghatározott személyes szempontok kiértékelését célzó automatizált személyesadat-feldolgozás kizárólagos alapjául nem szolgálhatnak a személyes adatok 8. cikkben említett különleges kategóriái.

III. FEJEZET

AZ ÉRINTETT JOGAI

10. cikk Az érintett jogainak gyakorlására vonatkozó szabályok

(1)          A tagállamok előírják, hogy az adatkezelőnek minden ésszerű lépést meg kell tennie annak érdekében, hogy a személyes adatok feldolgozása tekintetében és az érintettek jogainak gyakorlása érdekében átlátható és könnyen hozzáférhető politikákkal rendelkezzen.

(2)          A tagállamok előírják, hogy az adatkezelő a személyes adatok feldolgozására vonatkozó tájékoztatást és értesítést az érintett részére érthető formában, világos és közérthető nyelven nyújtja.

(3)          A tagállamok előírják, hogy az adatkezelőnek minden ésszerű lépést meg kell tennie annak érdekében, hogy kialakítsa a 11. cikk szerinti tájékoztatáshoz, valamint az érintettek 12–17. cikk szerinti jogainak gyakorlásához szükséges eljárásokat.

(4)          A tagállamok előírják, hogy az adatkezelő haladéktalanul tájékoztatja az érintettet kérelme elbírálásának fejleményeiről.

(5)          A tagállamok előírják, hogy a (3) és (4) bekezdés szerinti tájékoztatás és a kérelemre az adatkezelő által tett bármely intézkedés térítésmentes. Amennyiben a kérelmek zaklató jellegűek, különösen ismétlődő jellegük, vagy a kérelem mérete vagy terjedelme miatt, az adatkezelő a tájékoztatásért vagy a kért intézkedés megtételéért díjat számíthat fel, vagy visszautasíthatja a kért intézkedés megtételét. Ebben az esetben az adatkezelőt terheli annak bizonyítása, hogy a kérelem zaklató jellegű.

11. cikk Az érintett tájékoztatása

(1)          Az érintettre vonatkozó személyes adatok gyűjtése során a tagállamok biztosítják, hogy az adatkezelő minden megfelelő intézkedést megtesz annak érdekében, hogy legalább az alábbiakról tájékoztassa az érintettet:

a)      az adatkezelő és az adatvédelmi tisztviselő személye és részletes elérhetősége;

b)      az adatfeldolgozás adatok által szolgált célja;

c)      a személyes adatok tárolásának időtartama;

d)      azon jog megléte, miszerint kérelmezhető az adatkezelőtől az érintettel kapcsolatos személyes adatokba való betekintés, azok helyesbítése vagy törlése, vagy a feldolgozás korlátozása;

e)      a 39. cikk szerinti felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

f)       a személyes adatok címzettjei, illetve a címzettek kategóriái; beleértve a harmadik országokbeli címzetteket vagy a nemzetközi szervezeteket is;

g)      amennyiben szükséges, az érintett vonatkozásában a tisztességes eljárás biztosítását szolgáló minden további tájékoztatás, tekintettel a személyes adatok feldolgozásának különös körülményeire.

(2)          Amennyiben az adatokat az érintettől gyűjti, az adatkezelőnek az (1) bekezdés szerinti tájékoztatás mellett tájékoztatnia kell továbbá az érintettet a személyes adatok rendelkezésre bocsátásának kötelező vagy önkéntes jellegéről, valamint az adatszolgáltatás elmaradásának esetleges következményeiről.

(3)          Az adatkezelő az (1) bekezdés szerinti tájékoztatást akkor nyújtja:

a)      amikor a személyes adatot az érintettől beszerzi, vagy

b)      ha a személyes adatot nem az érintettől szerezte be, a rögzítés időpontjában, vagy az adatgyűjtés különös körülményeire tekintettel az adatfeldolgozást követő ésszerű időtartamon belül.

(4)          A tagállamok jogszabályokat fogadhatnak el az érintett tájékoztatásának késleltetésére, korlátozására vagy mellőzésére, amennyiben e részleges vagy teljes korlátozás – kellő tekintettel az érintett személy jogos érdekeire – egy demokratikus társadalomban az alábbiak érdekében szükséges és arányos intézkedést jelent:

a)      hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b)      bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása;

c)      a közbiztonság védelme;

d)      a nemzetbiztonság védelme;

e)      mások jogainak és szabadságainak védelme.

(5)          A tagállamok meghatározhatnak a (4) bekezdés szerinti mentességek körébe teljesen vagy részlegesen beletartozó adatfeldolgozási kategóriákat.

12. cikk Az érintett hozzáférési joga

(1)          A tagállamok rendelkeznek arról, hogy az érintett jogosult az adatkezelőtől megerősítést kérni arra vonatkozóan, hogy személyes adatainak feldolgozása folyamatban van-e. Az ilyen személyes adatok feldolgozása esetén az adatkezelő az alábbiakról nyújt tájékoztatást:

a)      az adatfeldolgozás céljai;

b)      az érintett személyesadat-kategóriák;

c)      a címzettek vagy a címzettek kategóriái, akik számára az adatokat kiadták, ideértve különösen a harmadik országokbeli címzetteket;

d)      a személyes adatok tárolásának időtartama;

e)      azon jog megléte, miszerint kérelmezhető az adatkezelőtől az érintettel kapcsolatos személyes adatokba való betekintés, azok helyesbítése vagy törlése, vagy a feldolgozás korlátozása;

f)       a felügyelő hatósághoz címzett panasz benyújtásának joga és a felügyelő hatóság elérhetősége;

g)      értesítés az adatfeldolgozás alatt álló személyes adatokról és az azok forrásával kapcsolatos minden rendelkezésre álló információról.

(2)          A tagállamok rendelkeznek arról, hogy az érintettnek joga van másolatot kérni az adatkezelőtől a feldolgozás alatt álló személyes adatokról.

13. cikk A hozzáférési jog korlátozása

(1)          A tagállamok jogszabályokat fogadhatnak el az érintettek hozzáférési jogának teljes vagy részleges korlátozására, amennyiben e részleges vagy teljes korlátozás – kellő tekintettel az érintett személy jogos érdekeire – egy demokratikus társadalomban az alábbiak érdekében szükséges és arányos intézkedést jelent:

a)      hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b)      bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása sérelmének elkerülése vagy a büntetőjogi szankciók végrehajtása;

c)      a közbiztonság védelme;

d)      a nemzetbiztonság védelme;

e)      mások jogainak és szabadságainak védelme.

(2)          A tagállamok jogszabályban meghatározhatnak az (1) bekezdés szerinti mentességek körébe teljesen vagy részlegesen beletartozó adatfeldolgozási kategóriákat.

(3)          Az (1) és (2) bekezdés szerinti esetekben a tagállamok előírják, hogy az adatkezelő az érintettet írásban tájékoztatja a hozzáférés bármely megtagadásáról vagy korlátozásáról, a megtagadás indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről. A döntés ténybeli vagy jogi indokairól szóló tájékoztatástól el lehet tekinteni, ha e tájékoztatás sértené az (1) bekezdés szerinti célok valamelyikét.

(4)          A tagállamok biztosítják, hogy az adatkezelő a döntés ténybeli vagy jogi indokairól szóló tájékoztatás elmaradásának okait is dokumentálja.

14. cikk A hozzáférési jog gyakorlására vonatkozó szabályok

(1)          A tagállamok rendelkeznek arról, hogy az érintettnek különösen a 13. cikk szerinti esetekben, joga van a felügyelő hatóságtól kérni, hogy ellenőrizze az adatfeldolgozás jogszerűségét.

(2)          A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyelő hatóság beavatkozásának (1) bekezdés szerinti kérelmezésére vonatkozó jogáról.

(3)          Amennyiben az (1) bekezdés szerinti jog gyakorlására kerül sor, a felügyelő hatóságnak az érintettet mindenképpen tájékoztatnia kell legalább arról, hogy a felügyelő hatóság minden szükséges felülvizsgálatot elvégzett, valamint a szóban forgó adatfeldolgozás jogszerűségére vonatkozó eredményről.

15. cikk A helyesbítési jog

(1)          A tagállamok előírják, hogy az érintett jogosult az adatkezelőtől a rá vonatkozó pontatlan személyes adatok helyesbítését kérni. Az érintett jogosult a hiányos személyes adatok kiegészítését kérni, különösen helyesbítő nyilatkozat igénybevétele útján.

(2)          A tagállamok előírják, hogy az adatkezelő az érintettet írásban tájékoztatja a helyesbítés elutasításáról, az elutasítás indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről.

16. cikk A törlési jog

(1)          A tagállamok előírják, hogy az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adatok törlését kérni, amennyiben azok feldolgozása nem felel meg az ezen irányelv 4. cikkének a)–e) pontja, valamint 7. és 8. cikke értelmében elfogadott rendelkezéseknek.

(2)          Az adatkezelő a törlést haladéktalanul végrehajtja.

(3)          Az adatkezelő a személyes adatok törlése helyett megjelöli azokat, ha:

a)      az érintett vitatja az adatok pontosságát, arra az időtartamra, amely alatt az adatkezelő felülvizsgálhatja az adatok pontosságát;

b)      bizonyítási célból meg kell tartania a személyes adatokat;

c)      az érintett kifogásolja a törlést, és inkább az adatok felhasználásának korlátozását kéri.

(4)          A tagállamok előírják, hogy az adatkezelő az érintettet írásban tájékoztatja az adatfeldolgozás törlésének vagy megjelölésének elutasításáról, az elutasítás indokairól, valamint a felügyelő hatóságnál történő panaszemelés és a bírósági jogorvoslat lehetőségeiről.

17. cikk Az érintettet a bűnügyi nyomozások és büntetőeljárások keretében megillető jogok

A tagállamok előírhatják, hogy az érintett 11–16. cikk szerinti információs, hozzáférési, helyesbítési, törlési és adatfeldolgozás-korlátozási joga a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban gyakorolandó, amennyiben a személyes adatokat bírósági határozat vagy nyilvántartás tartalmazza, és azokat bűnügyi nyomozások és büntetőeljárások keretében dolgozták fel.

IV. FEJEZET

AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1. SZAKASZ

ÁLTALÁNOS KÖTELEZETTSÉGEK

18. cikk Az adatkezelő felelőssége

(1)          A tagállamok rendelkeznek arról, hogy az adatkezelő elfogadja azokat a politikákat és végrehajtja azokat a megfelelő intézkedéseket, amelyekkel biztosítja, hogy a személyes adatok feldolgozása az ezen irányelv értelmében elfogadott rendelkezésekkel összhangban történik.

(2)          Az (1) bekezdés szerinti intézkedések különösen a következőket tartalmazzák:

a)      a 23. cikk szerinti dokumentáció vezetése;

b)      a 26. cikk szerinti előzetes konzultációhoz szükséges feltételek teljesítése;

c)      a 27. cikk szerinti adatbiztonsági követelmények érvényesítése;

d)      a 30. cikk szerinti adatvédelmi tisztviselő kijelölése.

(3)          Az adatkezelő végrehajtja az e cikk (1) bekezdésében említett intézkedések hatékonyságának felülvizsgálatát biztosító mechanizmusokat. Amennyiben ez arányos, a felülvizsgálatot független belső vagy külső ellenőr végzi.

19. cikk Beépített és alapértelmezett adatvédelem

(1)          A tagállamok előírják, hogy az adatkezelő – a technika állására és végrehajtás költségeire tekintettel – megfelelő technikai és szervezési intézkedéseket hajt végre oly módon, hogy az adatfeldolgozás megfeleljen az ezen irányelv értelmében elfogadott rendelkezések követelményeinek, és biztosítsa az érintettek jogainak védelmét.

(2)          Az adatkezelőnek olyan mechanizmusokat kell végrehajtania, amelyek alapértelmezett módon biztosítják azt, hogy kizárólag az adatfeldolgozás céljaihoz szükséges személyes adatok kerülnek feldolgozásra.

20. cikk Közös adatkezelők

A tagállamok előírják, hogy amennyiben az adatkezelő másokkal együtt határozza meg a személyes adatok feldolgozásának céljait, feltételeit és módját, a közös adatkezelők egymás közötti megállapodásban szabályozzák az ezen irányelv szerint elfogadott rendelkezések betartása tekintetében irányadó felelősséget, különösen az érintett jogainak gyakorlását szolgáló eljárások és mechanizmusok tekintetében.

21. cikk Az adatfeldolgozó

(1)          A tagállamok előírják, hogy az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, amely a megfelelő technikai és szervezési intézkedések és eljárások végrehajtása tekintetében kellő garanciákat nyújt oly módon, hogy az adatfeldolgozás megfelel az ezen irányelv értelmében elfogadott rendelkezések követelményeinek, és biztosítja az érintett jogainak védelmét.

(2)          A tagállamok előírják, hogy az adatfeldolgozó általi adatfeldolgozást olyan jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában különösen megköveteli, hogy az kizárólag az adatkezelő utasítása alapján járjon el, különösen, ha tilos a felhasznált személyes adatok továbbítása.

(3)          Amennyiben valamely adatfeldolgozó az adatkezelő utasításaitól eltérő módon dolgozza fel a személyes adatokat, az adatfeldolgozó e feldolgozás tekintetében adatkezelőnek minősül, és rá a közös adatkezelőkre vonatkozó, a 20. cikkben rögzített szabályokat kell alkalmazni.

22. cikk Az adatkezelő és az adatfeldolgozó felügyelete mellett végzett feldolgozás

A tagállamok előírják, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó felügyelete alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy kizárólag az adatkezelő utasítása, illetve ezt előíró uniós vagy nemzeti jogszabály alapján dolgozhatja fel ezeket az adatokat.

23. cikk Dokumentáció

(1)          A tagállamok előírják, hogy valamennyi adatkezelő és -feldolgozó dokumentálja a feladatkörébe tartozó összes feldolgozási rendszert és eljárást.

(2)          A dokumentáció legalább az alábbi információt tartalmazza:

a)      az adatkezelő vagy a közös adatkezelő, illetve az adatfeldolgozó neve és elérhetősége;

b)      az adatfeldolgozás céljai;

c)      a személyes adatok címzettjei vagy címzetti kategóriái;

d)      az adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország és a nemzetközi szervezet azonosítását.

(3)          Az adatkezelő és az adatfeldolgozó kérelemre a felügyelő hatóság rendelkezésére bocsátja a dokumentációt.

24. cikk Nyilvántartás-vezetés

(1)          A tagállamok biztosítják, hogy nyilvántartsák legalább a következő feldolgozási műveleteket: gyűjtés, megváltoztatás, betekintés, közlés, összekapcsolás vagy törlés. A betekintésre és a közlésre vonatkozó nyilvántartásnak különösen tartalmaznia kell e műveletek célját, dátumát és időpontját, valamint – lehetőség szerint – a személyes adatba betekintő vagy azt közlő személy személyazonosságát.

(2)          A nyilvántartások kizárólag az adatfeldolgozás jogszerűségének felülvizsgálata, az önellenőrzés, valamint az adatok sértetlenségének és biztonságának biztosítása céljából használhatók fel.

25. cikk Együttműködés a felügyelő hatósággal

(1)          A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó kötelezettségei teljesítése során – kérelemre – együttműködik a felügyelő hatósággal különösen azáltal, hogy rendelkezésre bocsátja a felügyelő hatóság feladatainak ellátásához szükséges össze információt.

(2)          A felügyelő hatóság 46. cikk a) és b) pontja szerinti hatáskörének gyakorlását követően az adatkezelő és az adatfeldolgozó ésszerű határidőn belül válaszol a felügyelő hatóságnak. A válasz tartalmazza a felügyelő hatóság észrevételeire válaszul meghozott intézkedések ismertetését és az elért eredményeket.

26. cikk Előzetes konzultáció a felügyelő hatósággal

(1)          A tagállamok biztosítják, hogy az adatkezelő vagy -feldolgozó konzultál a felügyelő hatósággal az olyan személyes adatok feldolgozása előtt, amelyeket új nyilvántartási rendszer részévé kívánnak tenni, amennyiben:

a)      a személyes adatok 8. cikk szerinti különleges kategóriáit kívánják feldolgozni;

b)      a feldolgozás fajtája, különösen új technológiák, mechanizmusok vagy eljárások használata révén, egyéb különös kockázatot hordoz az érintettek alapvető jogai és szabadságai, különösen személyes adataik védelme tekintetében.

(2)          A tagállamok előírhatják, hogy a felügyelő hatóság megállapítja az (1) bekezdés szerinti előzetes konzultáció tárgyát képező adatfeldolgozási műveletek jegyzékét.

2. SZAKASZ

aDAtBIZTONSÁG

27. cikk Az adatfeldolgozás biztonsága

(1)          A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó, a technika állására és a végrehajtás költségeire tekintettel, végrehajtja a megfelelő műszaki és szervezési intézkedéseket az adatfeldolgozás által jelentett kockázatoknak és a védendő adatok jellegének megfelelő védelmi szint biztosítása érdekében.

(2)          Az automatizált adatfeldolgozás tekintetében minden tagállam előírja, hogy az adatkezelő vagy -feldolgozó a kockázatok értékelését követően intézkedéseket hajt végre a következő célok érdekében:

a)      jogosulatlan személyeknek a személyes adatok feldolgozásához használt adatfeldolgozó berendezésekhez való hozzáférésének megtagadása (berendezésekhez való hozzáférés ellenőrzése);

b)      az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c)      a jogosulatlan adatbevitel, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d)      az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

e)      annak biztosítása, hogy az automatikus adatfeldolgozó rendszer használatára felhatalmazott személyek kizárólag a hozzáférési engedélyben meghatározott adatokhoz férjenek hozzá (adathozzáférés ellenőrzése);

f)       annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

g)      annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vittek be automatikus adatfeldolgozó rendszerekbe, valamint hogy az adatokat mikor és ki vitte be (bevitel ellenőrzése);

h)      a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, -másolás, -módosítás vagy -törlés megakadályozása (szállítás ellenőrzése);

i)       annak biztosítása, hogy a telepített rendszereket üzemzavar esetén helyre lehessen állítani (helyreállítás);

j)       annak biztosítása, hogy a rendszer teljesítse feladatait, hogy a feladatok során fellépő hibákról jelentés készüljön (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén ne sérüljenek (sértetlenség).

(3)          A Bizottság a szükséges esetekben végrehajtási jogi aktusok útján pontosan meghatározhatja az (1) és (2) bekezdés szerinti követelményeket a különböző helyzetek, különösen a titkosítási szabványok tekintetében. E végrehajtási jogi aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

28. cikk A felügyelő hatóság értesítése a személyes adatok megsértéséről

(1)          A tagállamok előírják, hogy az adatkezelő a személyes adatok megsértése esetén indokolatlan késedelem nélkül, lehetőség szerint a tudomásszerzéstől számított 24 órán belül értesíti a felügyelő hatóságot a személyes adatok megsértéséről. Az adatkezelő kérelemre írásban indokolja a felügyelő hatóság számára azokat az eseteket, amikor az értesítésre nem került sor 24 órán belül.

(2)          Az adatfeldolgozó a személyes adatok megsértésének tudomására jutását követően azonnal figyelmezteti és tájékoztatja az adatkezelőt.

(3)          Az (1) bekezdés szerinti értesítés legalább az alábbiakat tartalmazza:

a)      a személyes adatok megsértésének ismertetése, ideértve az érintettek kategóriáit és számát, valamint az érintett adatjegyzékek kategóriáit és számát;

b)      a 30. cikk szerinti adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó személyének és elérhetőségének közlése;

c)      a személyes adatok megsértéséből eredő esetleges hátrányos következmények enyhítésére irányuló intézkedésekre vonatkozó javaslat;

d)      a személyes adatok megsértéséből fakadó esetleges következmények ismertetése;

e)      az adatkezelő által a személyes adatok megsértésének orvoslására javasolt vagy tett intézkedések ismertetése.

(4)          A tagállamok előírják, hogy az adatkezelő minden személyesadat-sértést a hozzá kapcsolódó tények, hatások és az orvoslására tett intézkedések feltüntetésével dokumentál. E dokumentáció teszi lehetővé a felügyelő hatóság számára az e cikkel való összhang vizsgálatát. A dokumentáció csak az említett célból szükséges információt tartalmazza.

(5)          A Bizottság felhatalmazást kap arra, hogy az (1) és (2) bekezdésben említett adatsértés megállapítására és az adatkezelő és adatfeldolgozó személyes adatok megsértéséhez kapcsolódó értesítési kötelezettségének különös körülményeire vonatkozó szempontok és követelmények további meghatározása érdekében az 56. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(6)          A Bizottság meghatározhatja a felügyelő hatóságok ilyen értesítésének egységes formanyomtatványait, az értesítési követelmény teljesítése során alkalmazandó eljárásokat, valamint a (4) bekezdés szerinti dokumentáció formáját és szabályait, beleértve az abban tárolt információk törlésére vonatkozó határidőket is. E végrehajtási aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

29. cikk Az érintett értesítése a személyes adatok megsértéséről

(1)          A tagállamok előírják, hogy az adatkezelő, amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az érintett személyes adatainak vagy magánéletének védelmét, a 28. cikk szerinti értesítést követően indokolatlan késedelem nélkül tájékoztatja az érintettet a személyes adatok megsértéséről.

(2)          Az érintett (1) bekezdés szerinti ismertetnie kell a személyes adat megsértésének jellegét, és tartalmaznia kell legalább a 28. cikk (3) bekezdésének b) és c) pontjában előírt tájékoztatást és javaslatot.

(3)          A személyes adatok megsértéséről nem szükséges értesíteni az érintettet, ha az adatkezelő a felügyelő hatóság által elfogadott módon igazolja, hogy a megfelelő technológiai védelmi intézkedéseket végrehajtotta, és az említett intézkedéseket alkalmazták a személyes adatok megsértésével érintett adatokra. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára.

(4)          Az érintett értesítésének késleltetésére, korlátozására vagy elmaradására a 11. cikk (4) bekezdése szerinti okokból kerülhet sor.

3. SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

30. cikk Az adatvédelmi tisztviselő kijelölése

(1)          A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó adatvédelmi tisztviselőt jelöl ki.

(2)          Az adatvédelmi tisztviselőt szakmai képesítés és elsősorban az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 32. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(3)          Az adatvédelmi tisztviselő több szervhez is kijelölhető, figyelemmel az illetékes hatóság szervezeti felépítésére.

31. cikk Az adatvédelmi tisztviselő jogállása

(1)          A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)          Az adatkezelő vagy -feldolgozó biztosítja az adatvédelmi tisztviselő számára a 32. cikk szerinti feladatok és kötelezettségek hatékony és független ellátásához szükséges eszközöket, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat.

32. cikk Az adatvédelmi tisztviselő feladatai

A tagállamok előírják, hogy az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt legalább a következő feladatokkal bízza meg:

a)           az adatkezelő vagy -feldolgozó részére az ezen irányelv értelmében elfogadott rendelkezéseknek megfelelő kötelezettségekkel kapcsolatos tájékoztatás és tanácsadás, valamint e tevékenységének és a kapott válaszoknak a dokumentálása;

b)           a személyes adatok védelmével kapcsolatos politikák végrehajtásának és alkalmazásának ellenőrzése, ideértve a feladatok kijelölését, az adatfeldolgozási műveletekben részt vevő személyzet képzését és az ehhez kapcsolódó ellenőrzéseket is;

c)           az ezen irányelv értelmében elfogadott rendelkezések végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és az ezen irányelv szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében;

d)           a 23. cikk szerinti dokumentálás biztosítása;

e)           a személyes adatok megsértéséről szóló, a 28. és 29. cikk szerinti dokumentáció, értesítés és tájékoztatás ellenőrzése;

f)            szükség esetén a felügyelő hatósággal való, 26. cikk szerinti előzetes konzultáció alkalmazásának ellenőrzése;

g)           a felügyelő hatóság megkeresésére adott válaszok ellenőrzése, valamint az adatvédelmi tisztviselő hatáskörén belül a felügyelő hatósággal – annak kérelmére vagy saját kezdeményezésre – történő együttműködés;

h)           az adatfeldolgozással kapcsolatos ügyekben kapcsolat tartása a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció.

V. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

33. cikk A személyes adatok továbbítására vonatkozó általános elvek

A tagállamok előírják, hogy a feldolgozásra kerülő vagy a továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók az illetékes hatóságok által harmadik ország vagy nemzetközi szervezet részére, beleértve a további harmadik ország vagy nemzetközi szervezet részére történő további továbbítást is, ha:

a)      az adattovábbítás bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása érdekében szükséges; és

b)      az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket.

34. cikk Adattovábbítás megfelelőségi határozat alapján

(1)          A tagállamok előírják, hogy a személyes adatok akkor továbbíthatók harmadik ország vagy nemzetközi szervezet részére, ha a Bizottság a […]/2012/EU rendelet 41. cikkével vagy e cikk (3) bekezdésével összhangban úgy ítéli meg, hogy a harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges további engedély.

(2)          A […]/2012/EU rendelet 41. cikke szerinti határozat elfogadásának elmaradása esetén a védelmi szint megfelelőségét a Bizottság a következők figyelembevételével mérlegeli:

a)      a jogállamiság, a hatályos általános és ágazati jogszabályok, köztük a közbiztonságra, védelemre, nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, valamint az adott országban vagy nemzetközi szervezetben érvényesülő biztonsági intézkedések; továbbá az érintettek – különösen azon Unióban lakóhellyel rendelkező érintettek, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogai;

b)      a szóban forgó harmadik országban vagy nemzetközi szervezetben az adatvédelmi szabályok betartásának biztosításáért, az érintett részére történő, a jogai gyakorlásához kapcsolódó segítségnyújtásért és tanácsadásért, valamint az uniós és tagállami felügyelő hatóságokkal való együttműködésért felelős egy vagy több független felügyelő hatóság léte és hatékony működése; továbbá

c)      a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségvállalásai.

(3)          A Bizottság ezen irányelv hatályán belül határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet a (2) bekezdés értelmében vett megfelelő védelmi szintet biztosít. E végrehajtási jogi aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással összhangban kell elfogadni.

(4)          A végrehajtási jogi aktus pontosan rögzíti saját földrajzi ás ágazati alkalmazási körét, és – szükség esetén – meghatározza a (2) bekezdés b) pontjában említett felügyelő hatóságot.

(5)          A Bizottság az ezen irányelv hatályán belül határozhat arról, hogy valamely harmadik ország vagy valamely harmadik ország régiója vagy adatfeldolgozó ágazata, illetve valamely nemzetközi szervezet nem biztosít a (2) bekezdés értelmében vett megfelelő védelmi szintet, különösen akkor, ha az adott országban vagy nemzetközi szervezetben hatályos általános és ágazati jogszabályok nem biztosítanak az érintettek számára – különösen azon érintettek számára, akiknek személyes adatait továbbítják – hatékony és érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokat. E végrehajtási aktusokat az 57. cikk (2) bekezdése szerinti vizsgálóbizottsági eljárással vagy – az egyének vonatkozásában személyes adatok védelméhez való jogukra tekintettel rendkívüli sürgősséget igénylő esetekben – az 57. cikk (3) bekezdése szerinti eljárással összhangban kell elfogadni.

(6)          A tagállamok biztosítják, hogy amennyiben a Bizottság az (5) bekezdés szerint határoz, miszerint tilos a személyes adatok továbbítása a szóban forgó harmadik ország, annak régiója vagy adatfeldolgozó ágazata, illetve a szóban forgó nemzetközi szervezet részére, e határozat nem sérti a 35. cikk (1) bekezdése, illetve a 36. cikk szerinti továbbítási lehetőséget. A Bizottság megfelelő időben konzultációkat kezdeményez a harmadik országgal vagy nemzetközi szervezettel az e cikk (5) bekezdése szerinti határozatból eredő helyzet orvoslására.

(7)          A Bizottság az Európai Unió Hivatalos Lapjában közzéteszi azoknak a harmadik országoknak, harmadik országon belüli régióknak és adatfeldolgozó ágazatoknak, valamint nemzetközi szervezeteknek a jegyzékét, amelyek esetében úgy ítélte meg, hogy a megfelelő védelmi szint biztosított, illetve nem biztosított.

(8)          A Bizottság ellenőrzi a (3)–(5) bekezdés szerinti végrehajtási jogi aktusok alkalmazását.

35. cikk Adattovábbítás megfelelő biztosítékok alapján

(1)          Amennyiben a Bizottság nem hoz a 34. cikk értelmében határozatot, a tagállamok biztosítják, hogy személyes adatok továbbítására harmadik országbeli címzettek vagy nemzetközi szervezet részére csak abban az esetben kerülhet sor, ha:

a)      a személyes adatok védelme tekintetében megfelelő biztosítékok állnak rendelkezésre jogilag kötelező eszköz útján; vagy

b)      az adatkezelő vagy -feldolgozó megvizsgálta a személyesadat-továbbítás összes körülményét és megállapítja, hogy e vizsgálat alapján a személyes adatok védelme tekintetében fennállnak a megfelelő biztosítékok.

(2)          Az (1) bekezdés b) pontján alapuló továbbításra vonatkozó döntést a személyzet megfelelő felhatalmazással rendelkező tagjainak kell meghozniuk. Ezeket az adattovábbításokat dokumentálni kell, és a dokumentációt – kérésre – hozzáférhetővé kell tenni a felügyelő hatóság számára.

36. cikk Eltérések

A 34. és 35. cikktől eltérve, a tagállamok előírják, hogy a személyes adatok harmadik ország vagy nemzetközi szervezet részére csak azzal a feltétellel továbbíthatók, ha az adattovábbítás:

a)      az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy

b)      az érintett jogos érdekeinek biztosításához szükséges, és amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik; vagy

c)      valamely tagállam vagy harmadik ország közbiztonságát közvetlenül és komolyan fenyegető veszély elhárítása érdekében szükséges; vagy

d)      az adattovábbítás egyedi esetben bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása, vagy a büntetőjogi szankciók végrehajtása; vagy

e)      az adattovábbítás egyedi esetben, adott bűncselekmény megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy adott büntetőjogi szankciók végrehajtásához kapcsolódó jogi követelések megállapítása, érvényesítése vagy védelme miatt szükséges.

37. cikk A személyes adatok továbbításának különös feltételei

A tagállamok előírják, hogy az adatkezelő a személyes adatok címzettjét az adatfeldolgozás valamennyi korlátozásáról tájékoztatja, és minden ésszerű lépést megtesznek az említett korlátozások betartásának biztosítása érdekében.

38. cikk A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

(1)          A Bizottság és a tagállamok a harmadik országok és nemzetközi szervezetek tekintetében megfelelő lépéseket tesznek annak érdekében, hogy:

a)      a személyes adatok védelméről szóló jogszabályok érvényesítésének egyszerűsítését célzó hatékony nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)      a személyes adatok védelméről szóló jogszabályok érvényesítésében – a személyes adatok védelme és a többi alapvető jog és szabadság megfelelő biztosítása mellett –, többek között értesítés, panaszok kivizsgálása, nyomozati segítségnyújtás és információátadás útján biztosítsák a kölcsönös nemzetközi segítségnyújtást;

c)      az érintett érdekelteket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítésében további együttműködést célzó párbeszédbe és tevékenységekbe;

d)      előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását.

(2)          Az (1) bekezdés céljai érdekében a Bizottság megfelelő lépéseket tesz a harmadik országokkal és nemzetközi szervezetekkel – különösen azok felügyelő hatóságaival – való kapcsolat fejlesztésére, amennyiben úgy határozott, hogy azok a 34. cikk (3) bekezdése értelmében megfelelő védelmi szintet biztosítanak.

VI. FEJEZET

FÜGGETLEN FELÜGYELŐ HATÓSÁGOK

1. SZAKASZ FÜGGETLEN JOGÁLLÁS

39. cikk A felügyelő hatóság

(1)          Minden tagállam rendelkezik arról, hogy a természetes személyeket személyes adataik feldolgozásával kapcsolatban megillető alapvető jogok és szabadságok védelme, valamint a személyes adatok Unión belüli szabad áramlásának egyszerűsítése érdekében egy vagy több hatóság feladata, hogy az ezen irányelv értelmében elfogadott rendelkezések alkalmazását ellenőrizze, és azok következetes alkalmazásához az Unió egész területén hozzájáruljon. A felügyelő hatóságok e célból együttműködnek a Bizottsággal és egymással.

(2)          A tagállamok rendelkezhetnek arról, hogy a […]/2012/EU rendelet alapján a tagállamokban létrehozott felügyelő hatóság látja el az e cikk (1) bekezdése értelmében létrehozandó felügyelő hatóság feladatait.

(3)          Amennyiben valamely tagállamban egynél több felügyelő hatóságot hoznak létre, ez a tagállam kijelöli azt a felügyelő hatóságot, amelyik az e hatóságok Európai Adatvédelmi Testületben való hatékony részvétele érdekében egyedüli kapcsolattartóként működik.

40. cikk Függetlenség

(1)          A tagállamok biztosítják, hogy a felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlásakor teljesen függetlenül jár el.

(2)          Minden tagállam előírja, hogy a felügyelő hatóságok tagjai feladatkörük ellátása során senkitől sem kérnek vagy kapnak utasításokat.

(3)          A felügyelő hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt nem vállalhatnak – akár kereső, akár ingyenesen végzett – összeférhetetlen szakmai tevékenységet.

(4)          A felügyelő hatóság tagjai hivatali idejük leteltét követően a kinevezések és előnyök elfogadása tekintetében feddhetetlenül és tartózkodóan járnak el.

(5)          Minden tagállam biztosítja, hogy a felügyelő hatóság számára rendelkezésre bocsátja a feladat- és hatáskörei, köztük a kölcsönös segítségnyújtás, együttműködés és az Európai Adatvédelmi Testületben való részvétel ellátásához szükséges megfelelő emberi, műszaki és pénzügyi forrásokat, helyiségeket és infrastruktúrát.

(6)          Minden tagállam biztosítja, hogy a felügyelő hatóság saját személyzettel rendelkezzen, amelyet a felügyelő hatóság vezetése nevez ki és irányít.

(7)          A tagállamok biztosítják, hogy a felügyelő hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy a felügyelő hatóság elkülönített éves költségvetéssel rendelkezik. A költségvetést közzé kell tenni.

41. cikk A felügyelő hatóság tagjaira vonatkozó általános feltételek

(1)          A tagállamok előírják, hogy a felügyelő hatóság tagjait az érintett tagállam parlamentje vagy kormánya nevezi ki.

(2)          A tagokat olyan személyek közül kell kiválasztani, akiknek függetlenségéhez nem fér kétség, és akik már bizonyították az ellátandó feladatkörhöz szükséges tapasztalataikat és képességeiket.

(3)          A tag feladatköre a hivatali idő lejártával, lemondással vagy felmentéssel szűnik meg, az (5) bekezdésnek megfelelően.

(4)          A tagot az illetékes nemzeti bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(5)          Amennyiben a hivatali idő lejár, vagy a tag lemond, a tag mindaddig ellátja feladatköreit, amíg új tagot nem neveznek ki.

42. cikk A felügyelő hatóság létrehozására vonatkozó szabályok

Valamennyi tagállam jogszabályban rendelkezik a következőkről:

a)           a felügyelő hatóság létrehozása és jogállása a 39. és 40. cikkel összhangban;

b)           a felügyelő hatóság tagjai feladatköreinek ellátásához szükséges végzettség, tapasztalat és készségek;

c)           a felügyelő hatóság tagjainak kinevezésére vonatkozó szabályok és eljárások, valamint a hivatali feladatkörökkel összeférhetetlen tevékenységekre és foglalkozásokra vonatkozó szabályok;

d)           a felügyelő hatóság tagjai megbízatásának időtartama, amely legalább négy év, kivéve az ezen irányelv hatálybalépését követő első kinevezést, amely rövidebb ideig tarthat;

e)           a felügyelő hatóság tagjainak esetleges ismételt kinevezhetősége;

f)            a felügyelő hatóság tagjainak és munkatársainak feladatköreire vonatkozó szabályok és általános feltételek;

g)           a felügyelő hatóság tagjai megbízatásának megszűnésére vonatkozó szabályok és eljárások, beleértve azt az esetet, ha már nem tesznek eleget a kötelezettségek végrehajtásához szükséges feltételeknek, vagy ha súlyos kötelezettségszegést követtek el.

43. cikk Szakmai titoktartás

A tagállamok rendelkeznek arról, hogy a felügyelő hatóság tagjait és személyzetét a hivatali feladatkörük ellátása során tudomásukra jutott bizalmas információk tekintetében hivatali idejük alatt és annak leteltét követően is szakmai titoktartási kötelezettség terheli.

2. SZAKASZ FELADAT- ÉS HATÁSKÖRÖK

44. cikk Illetékesség

(1)          A tagállamok előírják, hogy a felügyelő hatóságok a rájuk ruházott hatásköröket a tagállamuk területén ezen irányelvnek megfelelően gyakorolják.

(2)          A tagállamok előírják, hogy hatásköre nem terjed ki a bíróságok által igazságszolgáltatási feladataik körében végzett adatfeldolgozási műveletek felügyeletére.

45. cikk Feladatkörök

(1)          A tagállamok előírják, hogy a felügyelő hatóság:

a)      ellenőrzi és biztosítja az ezen irányelv értelmében elfogadott rendelkezések és az azokat végrehajtó intézkedések alkalmazását;

b)      foglalkozik az érintett vagy az érintetteket képviselő, szabályszerű felhatalmazással rendelkező szervezet által az 50. cikkel összhangban benyújtott panaszokkal, az ügyet a szükséges mértékben megvizsgálja, és az érintettet, illetve a szervezetet ésszerű időn belül tájékoztatja a panasszal kapcsolatos eljárási fejleményekről és eredményekről, különösen ha további vizsgálat vagy egy másik felügyelő hatósággal való együttműködés válik szükségessé;

c)      ellenőrzi az adatfeldolgozás 14. cikk szerinti jogszerűségét, valamint ésszerű határidőn belül tájékoztatja az érintettet az ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

d)      kölcsönös segítséget nyújt más felügyelő hatóság számára, és biztosítja az ezen irányelv értelmében elfogadott rendelkezések következetes alkalmazását és érvényesítését;

e)      saját kezdeményezés, panasz vagy egy másik felügyelő hatóság megkeresése alapján vizsgálatot folytat le, és ésszerű határidőn belül tájékoztatja a vizsgálat eredményéről az érintettet, amennyiben az emelt panaszt;

f)       figyelemmel kíséri a személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információtechnológia és a hírközlési technológia fejlődését;

g)      egyeztet a tagállami intézményekkel és szervekkel a személyes adatok feldolgozásához fűződő egyéni jogok és szabadságok védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

h)      a 26. cikk szerint konzultál az adatfeldolgozási műveletekről;

i)       részt vesz az Európai Adatvédelmi Testület tevékenységeiben.

(2)          Valamennyi felügyelő hatóság előmozdítja a polgárok tudatosságát a személyes adatok védelmével kapcsolatos kockázatok, szabályok, biztosítékok és jogok tekintetében. Különös figyelmet kell fordítani a kifejezetten gyermekekre irányuló tevékenységekre.

(3)          A felügyelő hatóság kérelemre valamennyi érintettnek tanácsokat ad az ezen irányelv szerint elfogadott rendelkezésekben meghatározott jogaik gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyelő hatóságaival.

(4)          Az (1) bekezdés b) pontja szerinti panaszok vonatkozásában a felügyelő hatóság – a kommunikáció más módjainak kizárása nélkül – a panasz benyújtásához szükséges, elektronikus úton kitölthető formanyomtatványt bocsát rendelkezésre.

(5)          A tagállamok előírják, hogy a felügyelő hatóság az érintett vonatkozásában térítésmentesen látja el feladatait.

(6)          Amennyiben a kérelmek zaklató jellegűek, különösen ismétlődő jellegük miatt, a felügyelő hatóság díjat számíthat fel, vagy visszautasíthatja az érintett által kért intézkedés megtételét. A felügyelő hatóságot terheli annak bizonyítása, hogy a kérelem zaklató jellegű.

46. cikk Hatáskörök

A tagállamok előírják, hogy valamennyi felügyelő hatóság rendelkezzen különösen:

a)      vizsgálati hatáskörrel, így hatáskörrel arra, hogy hozzáférjen az adatfeldolgozási műveletek tárgyát képező adatokhoz, valamint arra, hogy összegyűjtsön minden, felügyeleti feladatkörének gyakorlásához szükséges adatot;

b)      tényleges vizsgálati hatáskörrel, így véleménynyilvánítási jogkörrel az adatfeldolgozás elvégzését megelőzően, illetve az ilyen vélemények megfelelő közzétételére irányuló jogkörrel, továbbá hatáskörrel arra, hogy elrendelje az adat korlátozását, törlését vagy megsemmisítését, az adatfeldolgozás átmeneti vagy végleges tilalmát, az adatkezelő figyelmeztetését vagy megrovását, továbbá tájékoztassa az ügyről a nemzeti parlamentet vagy más politikai intézményt;

c)      hatáskörrel arra, hogy az ezen irányelv alapján elfogadott rendelkezések megsértése esetén jogi eljárást indítson, vagy a jogsértésre felhívja az igazságszolgáltatási hatóságok figyelmét.

47. cikk A tevékenységről szóló jelentés

A tagállamok előírják, hogy valamennyi felügyelő hatóság éves jelentést készít a tevékenységeiről. A jelentést elérhetővé kell tenni a Bizottság és az Európai Adatvédelmi Testület számára.

VII. FEJEZET

EGYÜTTMŰKÖDÉS

48. cikk Kölcsönös segítségnyújtás

(1)          A tagállamok előírják, hogy a felügyelő hatóságok kölcsönösen segítséget nyújtanak egymásnak az ezen irányelv értelmében elfogadott rendelkezések következetes végrehajtása és alkalmazása érdekében, valamint a hatékony együttműködést célzó intézkedéseket vezetnek be. A kölcsönös segítségnyújtás elsősorban az információkérést és az olyan felügyeleti intézkedéseket foglalja magában, mint például az előzetes egyezetés, vizsgálat és nyomozás folytatására vonatkozó kérelmek.

(2)          A tagállamok előírják, hogy a felügyelő hatóság megteszi az összes szükséges intézkedést a valamely másik felügyelő hatóságtól érkezett megkeresés megválaszolása érdekében.

(3)          A megkeresett felügyelő hatóság tájékoztatja a megkereső felügyelő hatóságot az eredményekről, vagy adott esetben az elért előrelépésről vagy a megkereső felügyelő hatóság kérelmének teljesítése érdekében hozott intézkedésekről.

49. cikk Az Európai Adatvédelmi Testület feladatai

(1)          A […]/2012/EU rendelettel létrehozott Európai Adatvédelmi Testület az ezen irányelv hatálya alá tartozó adatfeldolgozással kapcsolatban az alábbi feladatokat látja el:

a)      tanáccsal látja el a Bizottságot a személyes adatok Unión belüli védelmével kapcsolatos problémák, köztük az ezen irányelv bármely javasolt módosítása tekintetében;

b)      a Bizottság kérésére, illetve a saját vagy tagjainak kezdeményezésére megvizsgál bármely, az ezen irányelv értelmében elfogadott rendelkezések alkalmazását érintő kérdést, valamint az említett rendelkezések következetes alkalmazásának elősegítésére iránymutatásokat, ajánlásokat és bevált módszereket dolgoz ki a felügyelő hatóságok számára;

c)      felülvizsgálja a b) pont szerinti iránymutatások, ajánlások és bevált módszerek gyakorlati alkalmazását, és erről rendszeres jelentést készít a Bizottságnak;

d)      véleményezi a Bizottság számára a harmadik országok, illetve nemzetközi szervezetek által nyújtott védelem szintjét;

e)      előmozdítja a felügyelő hatóságok közötti együttműködést és a hatékony két- vagy többoldalú információcserét és gyakorlatok cseréjét;

f)       támogatja a közös képzési programokat, továbbá megkönnyíti a felügyelő hatóságok – valamint emellett adott esetben a harmadik országok vagy nemzetközi szervezetek felügyelő hatóságai – közötti személyzeti csereprogramokat;

g)      előmozdítja a világ adatvédelmi felügyelő hatóságai közötti tudás- és dokumentációátadást, beleértve az adatvédelmi jogszabályok és gyakorlat átadását is.

(2)          Amennyiben a Bizottság tanácsot kér az Európai Adatvédelmi Testülettől, az ügy sürgősségét figyelembe véve meghatározhatja azt a határidőt, amelyen belül az Európai Adatvédelmi Testületnek tanácsot kell adnia.

(3)          Az Európai Adatvédelmi Testület véleményeit, iránymutatásait, javaslatait és bevált módszereit továbbítja a Bizottságnak és az 57. cikk (1) bekezdése szerinti bizottságnak, és nyilvánosságra hozza azokat.

(4)          A Bizottság tájékoztatja az Európai Adatvédelmi Testületet a Testület által meghozott véleményeket, iránymutatásokat, javaslatokat és bevált módszereket követően megtett intézkedésekről.

VIII. FEJEZET

JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

50. cikk A felügyelő bizottsághoz címzett panasz benyújtásához való jog

(1)          A tagállamok az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, rendelkeznek arról, hogy minden érintettnek joga van panaszt emelni bármely tagállam felügyelő hatóságánál, ha megítélése szerint a rá vonatkozó személyes adatok feldolgozása ellentétes az ezen irányelv értelmében elfogadott rendelkezésekkel.

(2)          A tagállamok rendelkeznek arról, hogy valamennyi olyan szerv, szervezet vagy egyesület, amelynek célja az érintettek személyes adatok védelmére vonatkozó jogainak és érdekeinek védelme, és amelyet valamely tagállam jogának megfelelően hoztak létre, egy vagy több érintett nevében eljárva, bármely tagállam felügyelő hatóságánál jogosult a panaszemelésre, ha megítélése szerint az érintett személyes adatainak feldolgozása következtében megsértették annak az ezen irányelv szerinti jogait. Az érintett(ek)nek szabályszerű meghatalmazást kell adni(uk) a szervezetnek vagy egyesületnek.

(3)          A tagállamok rendelkeznek arról, hogy a (2) bekezdés szerinti szerv, szervezet vagy egyesület az érintett panaszától függetlenül jogosult bármely tagállam felügyelő hatóságánál panaszt emelni, ha megítélése szerint a személyes adatok megsértésére került sor.

51. cikk A felügyelő hatósággal szembeni bírósági jogorvoslathoz való jog

(1)          A tagállamok rendelkeznek a felügyelő hatóság döntései elleni bírósági jogorvoslathoz való jogról.

(2)          A jogai védelméhez szükséges határozat hiányában, vagy amennyiben a felügyelő hatóság három hónapon belül nem tájékoztatja az érintettet – a 45. cikk (1) bekezdésének b) pontjának megfelelően – a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről, valamennyi érintettnek joga van a felügyelő hatóságot a panasz elbírálására kötelező bírósági jogorvoslathoz.

(3)          A tagállamok előírják, hogy a felügyelő hatóság elleni eljárást a felügyelő hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

52. cikk Az adatkezelővel vagy -feldolgozóval szembeni bírósági jogorvoslathoz való jog

A tagállamok a rendelkezésre álló közigazgatási jogorvoslatokat, köztük a felügyelő hatóságnál emelt panaszok benyújtásának jogát tiszteletben tartva rendelkeznek arról, hogy minden természetes személyt megillet a bírósági jogorvoslathoz való jog, ha megítélése szerint a személyes adatainak az ezen irányelv értelmében elfogadott rendelkezésekkel ellentétes feldolgozása következtében megsértették az e rendelkezések szerinti jogait.

53. cikk A bírósági eljárásokra vonatkozó közös szabályok

(1)          A tagállamok rendelkeznek arról, hogy az 50. cikk (2) bekezdése szerinti szerv, szervezet vagy egyesület jogosult az 51. és 52. cikk szerinti jogokat egy vagy több érintett nevében gyakorolni.

(2)          Az ezen irányelv értelmében elfogadott rendelkezések végrehajtása, illetve a személyes adatok Unión belüli védelmének következetes biztosítása érdekében valamennyi felügyelő hatóság jogosult a jogi eljárásokban részt venni és bírósági keresetet indítani.

(3)          A tagállamok biztosítják, hogy a nemzeti jog alapján rendelkezésre álló bírósági keresetek lehetővé teszik a feltételezett jogsértés megszüntetésére és az érintett érdekek jövőbeni megsértésének megelőzésére irányuló, ideiglenes intézkedéseket is magukban foglaló intézkedések gyors elfogadását.

54. cikk Felelősség és kártérítéshez való jog

(1)          A tagállamok előírják, hogy minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmében elfogadott rendelkezésekkel összeegyeztethetetlen cselekmény eredményeként kárt szenvedett, az elszenvedett károkért az adatkezelővel vagy -feldolgozóval szemben kártérítésre jogosult.

(2)          Amennyiben az adatfeldolgozásban egynél több adatkezelő vagy -feldolgozó vesz részt, minden adatkezelő vagy -feldolgozó egyetemlegesen felel a kár teljes összegéért.

(3)          Az adatkezelő vagy -feldolgozó részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

55. cikk Szankciók

A tagállamok rögzítik az ezen irányelv értelmében elfogadott rendelkezések megsértése esetén alkalmazandó szankciók szabályait, és azok végrehajtásának biztosítására minden szükséges intézkedést megtesznek. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

IX. FEJEZET

FELHATALMAZÁSON ALAPULÓ ÉS VÉGREHAJTÁSI JOGI AKTUSOK

56. cikk A felhatalmazás gyakorlása

(1)          A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktusok elfogadására.

(2)          A Bizottságnak a 28. cikk (5) bekezdésében említett felhatalmazása az ezen irányelv hatálybalépésnek időpontjától számított határozatlan időre szól.

(3)          Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 28. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való közzétételét követő napon vagy a határozatban meghatározott későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4)          A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(5)          A 28. cikk (5) bekezdésében említett felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek vagy a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt kifogást a felhatalmazáson alapuló jogi aktus ellen, vagy ha az Európai Parlament és a Tanács az időtartam leteltét megelőzően egyaránt arról tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére ezen időtartam két hónappal meghosszabbodik.

57. cikk A bizottsági eljárás

(1)          A Bizottság munkáját egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottság.

(2)          Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)          Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkével összefüggésben értelmezett 8. cikkét kell alkalmazni.

X. FEJEZET

ZÁRÓ RENDELKEZÉSEK

58. cikk Hatályon kívül helyezés

(1)          A 2008/977/IB tanácsi kerethatározat hatályát veszti.

(2)          Az (1) bekezdésben említett, hatályon kívül helyezett kerethatározatra történő hivatkozásokat ezen irányelvre történő hivatkozásokként kell értelmezni.

59. cikk A büntetőügyekben folytatott igazságügyi és rendőrségi együttműködésre vonatkozóan korábban elfogadott uniós jogi aktusokkal való kapcsolat

Változatlanul hatályban maradnak az ezen irányelv elfogadásának időpontját megelőzően elfogadott, a tagállamok közötti személyesadat-feldolgozást és a tagállamok kijelölt hatóságainak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozó uniós jogi aktusok személyesadat-védelemre vonatkozó, a bűncselekmények megelőzésével, nyomozásával, felderítésével, büntetőeljárás lefolytatásával vagy büntetőjogi szankciók végrehajtásával kapcsolatos különös rendelkezései.

60. cikk A bűnügyi igazságügyi és rendőrségi együttműködés területén korábban megkötött nemzetközi megállapodásokhoz fűződő viszony

A tagállamok által ezen irányelv hatálybalépését megelőzően kötött nemzetközi megállapodásokat az ezen irányelv hatálybalépését követő öt éven belül szükség esetén módosítani kell.

61. cikk Értékelés

(1)          A Bizottság értékeli ezen irányelv alkalmazását.

(2)          A Bizottság ezen irányelv hatálybalépését követő három éven belül felülvizsgálja az Európai Unió egyéb, a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozását szabályozó jogi aktusait, különösen az 59. cikkben említett uniós jogi aktusokat, annak érdekében, hogy szükséges-e azokat az ezen irányelvhez igazítani, valamint hogy adott esetben megtegye az említett jogi aktusok módosítására irányuló szükséges javaslatokat a személyes adatok ezen irányelv hatálya alá tartozó védelme következetes megközelítésének biztosítása érdekében.

(3)          A Bizottság rendszeres időközönként jelentéseket terjeszt az Európai Parlament és a Tanács elé az ezen irányelv (1) bekezdésnek megfelelő értékeléséről és felülvizsgálatáról. Az első jelentéseket legkésőbb ezen irányelv hatályba lépésétől számított négy éven belül kell benyújtani. A további jelentéseket azt követően négyévente kell benyújtani. A Bizottság – amennyiben szükségesnek ítéli – megfelelő javaslatokat tesz ezen irányelv módosítására és más jogi eszközök kiigazítására. A jelentéseket nyilvánosságra kell hozni.

62. cikk Végrehajtás

(1)          A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek legkésőbb a hatálybalépést követő két év]-ig megfeleljenek. Az említett rendelkezések szövegét haladéktalanul megküldik a Bizottság számára.

Ezeket a rendelkezéseket [időpont/a hatálybalépést követő két év elteltével]-tól/-től alkalmazzák.

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2)          A tagállamok közlik a Bizottsággal a nemzeti jog azon főbb rendelkezéseit, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

63. cikk Hatálybalépés és alkalmazás

Ez az irányelv az Európai Unió Hivatalos Lapjában való közzétételét követő napon lép hatályba.

64. cikk Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Brüsszelben, 2012.1.25.-én.

az Európai Parlament részéről                      a Tanács részéről

az elnök                                                          az elnök

[1]               Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, HL L 281., 31. o.

[2]               A teljes jegyzéket lásd a hatásvizsgálat 3. mellékletében (SEC(2012)72).

[3]               A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről, HL L 350., 2008.12.30., 60. o.

[4]               A stockholmi program, HL C 115., 2010.5.4., 1. o.

[5]               Lásd az Európai Parlamentnek a stockholmi programról szóló, 2009. november 25-i állásfoglalását.

[6]               COM(2010) 171 végleges.

[7]               Az Európai Bizottság 2010. november 4-i közleménye „A személyes adatok Európai Unión belüli védelmének átfogó megközelítéséről”, COM(2010) 609 végleges.

[8]               21. nyilatkozat a személyes adatok védelméről a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén (amelyet csatoltak a Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához, 2007. december 13.).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Eurobarometer, 359. sz. különjelentés – Data Protection and Electronic Identity in the EU [Az adatvédelemhez és az elektronikus azonosító az Európai Unióban].(2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

[12]             Lásd: Study on the economic benefits of privacy enhancing technologies [A magánélet védelmét erősítő technológiák gazdasági előnyeiről szóló tanulmány], valamint Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments [A magánéletet – különösen a technológiai fejlődés következtében – jelentkező új kihívások eltérő megközelítéseiről szóló összehasonlító tanulmány] 2010. január (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             A munkacsoportot 1996-ban (az irányelv 29. cikkével) tanácsadó jelleggel hozták létre és a nemzeti adatvédelmi felügyelő hatóságok képviselőiből, az európai adatvédelmi biztosból és a Bizottságból áll. Tevékenységeit illetően további információért lásd: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Lásd különösen a következő véleményeket: a „Magánélet védelmének jövőjéről” szóló, 2009/[…] sz., (WP 168.) vélemény; az „adatkezelő” és az „adatfeldolgozó” fogalmának meghatározásáról szóló, 1/2010. sz. vélemény (WP 169.); a viselkedésalapú online reklámról szóló, 2010/2. sz. vélemény (WP 171.); az elszámoltathatóság elvéről szóló, 2010/3. sz. vélemény (WP 173.); az alkalmazandó jogról szóló, 2010/8. sz. vélemény (WP 179.), valamint a hozzájárulásról szóló, 15/2011. sz. vélemény (WP 187). A Bizottság kérésére továbbá három tanácsadó véleményt fogadott el az értesítésről, a szenzitív adatokról és a 95/46/EK irányelv 28. cikke (6) bekezdésének gyakorlati alkalmazásáról is. Ezek mindegyike hozzáférhető a http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm cím alatt.

[15]             Elérhető az európai adatvédelmi biztos weboldalán: http://www.edps.europa.eu/EDPSWEB/.

[16]             Az Európai Parlament 2011. július 6-i jogalkotási állásfoglalása a személyes adatok Európai Unión belüli védelmének átfogó megközelítéséről (2011/2025(INI)) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//HU (Előadó: MEP Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012)12

[20]             Az Európai Unió Bíróságának C-92/09. és C-93/09. sz., Schecke egyesített ügyekben 2010. november 9-én hozott ítélete.

[21]             A Charta 52. cikkének (1) bekezdésével összhangban lehetséges az adatvédelemhez való jog gyakorlásának korlátozása, feltéve hogy a korlátozásra a törvény által, a jogok és szabadságok lényeges tartalmának, valamint az arányosság elvének tiszteletben tartásával kerül sor, továbbá a korlátozás elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

[22]             A gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról szóló, 2011. december 13-i 2011/92/EU európai parlamenti és tanácsi irányelv (HL L 335., 2011.12.17., 1. o.) 2. cikkének a) pontjában is említésre kerül.

[23]             COM(2005) 475 végleges.

[24]             A 2009/371/IB Europol-határozat 14. cikke.

[25]             A 2009/426/IB Eurojust-határozat 15. cikke.

[26]             A 2009/371/IB Europol-határozat 14. cikke.

[27]             Az Emberi Jogok Európai Bíróságának a 30562/04. és 30566/04. sz., Marper kontra Egyesült Királyság ügyekben 2008. december 4‑én hozott ítélete.       

[28]             Az adatvédelmi és a magánélet védelmével foglalkozó biztosok 2009. november 5-én rendezett nemzetközi konferenciáján elfogadott állásfoglalás.

[29]             Az Európai Unió Bíróságnak a C-518/07. sz., Bizottság kontra Németország ügyben 2010. március 9-én hozott ítélete [EBHT 2010., I-1885. o.].

[30]             Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról, HL L 008., 2001.1.12., 1. o.

[31]             Lásd a 27. lábjegyzetben hivatkozott ítéletet.

[32]             Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól (Elektronikus kereskedelemről szóló irányelv), HL L 178., 2000.7.17., 1. o.

[33]             HL C [...], [...] o.

[34]             HL L 281., 1995.11.23., 31. o.

[35]             HL L 350., 2008.12.30., 60. o.

[36]             HL L 55., 2011.2.28., 13. o.

[37]             HL L 335., 2011.12.17., 1. o.

[38]             HL L 176., 1999.7.10., 36. o.

[39]             HL L 53., 2008.2.27., 52.o.

[40]             HL L 160., 2011.6.18., 19. o.