•Arányosság

Az arányosság elvével összhangban szükséges és arányos szabályokat meghatározni a személyes adatoknak az uniós intézmények, szervek és hivatalok által végzett kezelésére vonatkozóan azon alapvető célok elérése érdekében, hogy biztosítsák a természetes személyek azonos szintű védelmét a személyes adatok kezelése tekintetében, valamint a személyes adatok Unión belüli szabad áramlását. E rendelet az Európai Unióról szóló szerződés 5. cikkének (4) bekezdésével összhangban nem lépi túl a célkitűzések eléréséhez szükséges mértéket.

•A jogi aktus típusának megválasztása

A rendelet a megfelelő jogi eszköz a személyeknek a személyes adataik uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelmére és az ilyen adatok szabad áramlására vonatkozó keret meghatározásához. A keret törvény alapján érvényesíthető jogokat biztosít a személyeknek, és meghatározza az uniós intézmények, szervek és hivatalok adatkezelőinek adatkezelési kötelezettségeit. Rendelkezik továbbá egy független felügyeleti hatóságról, az európai adatvédelmi biztosról, amely a személyes adatok uniós intézmények, szervek és hivatalok általi kezelésének nyomon követéséért felel.

3.AZ UTÓLAGOS ÉRTÉKELÉSEK, AZ ÉRDEKELT FELEKKEL FOLYTATOTT KONZULTÁCIÓK ÉS A HATÁSVIZSGÁLATOK EREDMÉNYEI

A Bizottság 2010-ben és 2011-ben a 45/2001/EK rendelet javasolt módosításait tartalmazó adatvédelmi reformcsomag előkészítésével összefüggésben konzultációt folytatott az érdekelt felekkel és hatásvizsgálatot végzett. Ezzel kapcsolatban a Bizottság felmérést végzett a bizottsági adatvédelmi koordinátorokról is 5 .

A 45/2001/EK rendelet uniós intézmények, szervek és hivatalok általi gyakorlati alkalmazása tekintetében a Bizottság az európai adatvédelmi biztostól, más uniós intézményektől, szervektől és hivataloktól, a Bizottság más főigazgatóságaitól és egy külső vállalkozótól gyűjtött információkat. Az adatvédelmi tisztviselők hálózata számára kérdőívet küldtek 6 .

2015. július 9-én, 2015. október 22-én, 2016. január 19-én és 2016. március 15-én számos uniós intézmény, szerv és hivatal adatvédelmi felelősének részvételével munkaértekezleteket tartottak a 45/2001/EK rendelet reformjáról.

A Bizottság 2013-ban úgy döntött, értékelő tanulmányt végez a 45/2001/EK rendelet addigi alkalmazásáról, és ezzel megbízott egy külső vállalkozót. Az értékelő tanulmány végleges eredményeit (végső jelentés, öt esettanulmány és cikkenkénti elemzés) 2015. június 8-án nyújtották be a Bizottságnak 7 .

Az értékelés szerint az adatvédelmi tisztviselők és az európai adatvédelmi biztos köré szerveződő irányítási rendszer hatékony. A jelentés megállapította, hogy az adatvédelmi tisztviselők és az európai adatvédelmi biztos közötti hatáskörmegosztás egyértelmű és kiegyensúlyozott, és mindkettő megfelelő hatáskörrel rendelkezik. Nehézségek adódhatnak azonban abból, hogy az adatvédelmi tisztviselők nem kapnak megfelelő támogatást a vezetőségüktől.

Az értékelő tanulmány rámutatott, hogy az európai adatvédelmi biztos által hozott szankciók révén javítani lehetne a 45/2001/EK rendelet érvényesítését. A felügyelő hatóság hatásköreinek fokozott alkalmazása az adatvédelmi szabályok jobb végrehajtását eredményezheti. Az értékelés az a következtetést is levonta, hogy az adatkezelőknek kockázatkezelési megközelítést kellene alkalmazniuk, és az adatkezelési műveletek elvégzése előtt kockázatértékelést kellene végezniük az adatmegőrzésre és adatbiztonságra vonatkozó követelmények megfelelőbb teljesítése érdekében.

A tanulmány továbbá rámutatott arra, hogy a 45/2001/EK rendelet IV. fejezetének a távközlési ágazatra vonatkozó jelenlegi szabályai elavultak, és ezt a fejezetet össze kell hangolni az elektronikus hírközlési adatvédelmi irányelvvel. Az értékelő tanulmány szerint a 45/2001/EK rendelet néhány kulcsfontosságú fogalommeghatározását is egyértelműbbé kell tenni. Ezek közé tartoznak az uniós intézmények, szervek és hivatalok adatkezelőinek azonosításáról, a címzett fogalmáról, valamint a titoktartás követelményének a külső adatfeldolgozókra való kiterjesztéséről szóló rendelkezések.

Az értékelő tanulmány arra is utalt, hogy a hatékonyság növelése és az adminisztratív terhek csökkentése érdekében egyszerűsíteni kell az értesítések és az előzetes ellenőrzések rendszerét.

Az értékelés keretében 64 uniós intézményre, szervre és hivatalra kiterjedő internetes felmérés készült. A felmérés kérdéseire 422 adatkezelői felelősséggel rendelkező tisztviselő, 73 adatvédelmi tisztviselő, 118 adatvédelmi koordinátor és 109 IT-szakember válaszolt. Az értékelés végzője számos interjút készített az érdekelt felekkel. 2015. március 26-án az értékelés végzője és a Bizottság záró munkaértekezletet rendezett, amelyen számos adatkezelő, adatvédelmi tisztviselő, adatvédelmi koordinátor, IT-szakember és az európai adatvédelmi biztos képviselői vettek részt.

•Szakértői vélemények beszerzése és felhasználása

Lásd az értékelő tanulmányra való hivatkozást az előző pontban.

•Hatásvizsgálat

E javaslat hatása elsősorban az uniós intézményeket, szerveket és hivatalokat érinti. Ezt az európai adatvédelmi biztostól, más uniós intézményektől, szervektől és hivataloktól, a Bizottság főigazgatóságaitól és egy külső vállalkozótól gyűjtött információk megerősítik. Továbbá az (EU) 2016/679 rendeletből eredő azon új kötelezettségek hatásának elemzésére már sor került az említett rendeletre irányuló előkészítő munka keretében, amelyekkel a jelen javaslat tárgyát képező rendeletet össze kell hangolni. Így felesleges e rendeletre vonatkozóan külön hatásvizsgálatot végezni.

•Célravezető szabályozás és egyszerűsítés

Tárgytalan.

•Alapjogok

A személyes adatok védelméhez való jogot az Európai Unió Alapjogi Chartájának (a továbbiakban: a Charta) 8. cikke, az EUMSZ 16. cikke és az emberi jogok európai egyezményének 8. cikke rögzíti. Miként azt az Európai Unió Bírósága kiemelte 8 , a személyes adatok védelméhez való jog nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni 9 . Az adatvédelem szorosan kapcsolódik a Charta 7. cikke által védett magán- és családi élet tiszteletben tartásához is.

E javaslat szabályokat határoz meg a személyeknek a személyes adataik uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelmére és az ilyen adatok szabad áramlására vonatkozóan.

A Chartában rögzített további esetlegesen érintett alapvető jogok a következők: a véleménynyilvánítás szabadsága (11. cikk); a tulajdonhoz való jog és különösen a szellemi tulajdon védelme (17. cikk (2) bekezdés); a faj, etnikai származás, genetikai tulajdonság, vallás vagy meggyőződés, politikai vagy más vélemény, fogyatékosság vagy szexuális irányultság alapján történő megkülönböztetés tilalma (21. cikk); a gyermekek jogai (24. cikk); az emberi egészség védelmének magas szintjéhez való jog (35. cikk); a dokumentumokhoz való hozzáférés joga (42. cikk), valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog (47. cikk).

4.KÖLTSÉGVETÉSI VONZATOK

Lásd a mellékletben található pénzügyi kimutatást.

5.EGYÉB ELEMEK

•Végrehajtási tervek, valamint a nyomon követés, az értékelés és a jelentéstétel szabályai

Tárgytalan.

•Magyarázó dokumentumok (irányelvek esetén)

Tárgytalan.

I. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK

Az 1. cikk meghatározza a rendelet tárgyát, valamint – a 45/2001/EK rendelet 1. cikkéhez hasonlóan – a rendelet két célkitűzését: az adatvédelemhez való alapvető jog védelmét és a személyes adatok Unión belüli szabad áramlásának biztosítását. Rendelkezik továbbá az európai adatvédelmi biztos főbb feladatairól.

A 2. cikk meghatározza a rendelet hatályát: e rendeletet kell alkalmazni a személyes adatok bármely közösségi intézmény és szerv által történő kezelésére, ha a kezelés részben vagy teljes egészében az uniós jog hatálya alá tartozó tevékenységek gyakorlása során történik. E rendelet tárgyi hatálya technológiasemleges. A személyes adatok védelme a személyes adatok automatizált eszközök útján végzett és manuális kezelésére egyaránt vonatkozik, amennyiben a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni.

A 3. cikk a rendeletben használt fogalmak meghatározását tartalmazza. A rendeletben használt fogalmak meghatározása – az „uniós intézmények és szervek”, az „adatkezelő”, a „felhasználó” és az „adattár” fogalmának meghatározásán kívül, amelyek e rendeletre jellemzőek –az (EU) 2016/679 rendeletben, az (EU) 0000/00 rendeletben [az új elektronikus hírközlési adatvédelmi rendelet], az (EU) 00/0000 irányelvben [az Európai Elektronikus Hírközlési Kódex létrehozásáról szóló irányelv], valamint a 2008/63/EK bizottsági irányelvben található.

II. FEJEZET – ELVEK

A 4. cikk rögzíti a személyes adatok kezelésére vonatkozó elveket, amelyek megfelelnek az (EU) 2016/679 rendelet 5. cikkében foglaltaknak. A 45/2001/EK rendelethez képest a következő új elveket vezeti be: átláthatóság, integritás és bizalmas jelleg.

Az 5. cikk az (EU) 2016/679 rendelet 6. cikke alapján meghatározza az adatkezelés jogszerűségének kritériumait– az egyedüli kivétel az adatkezelő jogos érdekével kapcsolatos kritérium, mivel ez nem alkalmazható a közszférára, így az uniós intézményekre és szervekre sem. Az 5. cikk fenntartja a 45/2001/EK rendelet 5. cikkében már meghatározott kritériumokat.

A 6. cikk az (EU) 2016/679 rendelet 6. cikkének (4) bekezdésével összhangban pontosítja az adatgyűjtés céljától eltérő, összeegyeztethető célból történő adatkezelés feltételeit. A 45/2001/EK rendelet 6. cikkéhez képest ez az új rendelkezés nagyobb rugalmasságot és jogbiztonságot nyújt a összeegyeztethető célból történő további adatkezelés tekintetében.

A 7. cikk – az (EU) 2016/679 rendelet 7. cikkével összhangban – pontosítja, hogy a hozzájárulás milyen feltételek teljesülése esetén számít a jogszerű adatkezelés érvényes jogalapjának.

A 8. cikk – az (EU) 2016/679 rendelet 8. cikkével összhangban – meghatározza, milyen további feltételek vonatkoznak a gyermekek személyes adatainak jogszerű kezelésére az információs társadalommal összefüggő, közvetlenül a gyermekek részére nyújtott szolgáltatások vonatkozásában. A cikk az érvényes hozzájárulás alsó korhatáraként a 13. életévet határozza meg.

A 9. cikk – a 45/2001/EK rendelet 8. cikkével összhangban – szabályokat határoz meg a személyes adatoknak az uniós intézményektől és szervektől eltérő, az (EU) 2016/679 rendelet vagy az (EU) 2016/680 irányelv hatálya alá tartozó címzettek részére való továbbítására vonatkozó védelem speciális szintjére vonatkozóan. Egyértelművé teszi, hogy amennyiben az adatkezelő kezdeményezi a továbbítást, igazolnia kell a továbbítás szükségességét és arányosságát.

A 10. cikk – az (EU) 2016/679 rendelet 9. cikkére alapozva és a 45/2001/EK rendelet 10. cikkét továbbfejlesztve – általános tilalmat állapít meg a személyes adatok különleges kategóriáinak feldolgozására vonatkozóan, valamint meghatározza az általános szabály alóli kivételeket.

A 11. cikk – az (EU) 2016/679 rendelet 10. cikkével összhangban és a 45/2001/EK rendelet 10. cikkének (5) bekezdésének megfelelően – meghatározza a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésének feltételeit.

A 12. cikk egyértelműsíti az adatkezelőnek az érintett tájékoztatására vonatkozó kötelezettségét, az (EU) 2016/679 rendelet 11. cikkével összhangban úgy rendelkezve, hogy ha az adatkezelő által kezelt személyes adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelő nem köteles az érintett személyazonosságának megállapítása érdekében kiegészítő információkat beszerezni pusztán abból a célból, hogy megfeleljen e rendeletnek. Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának támogatása érdekében nyújtott további információkat.

A 13. cikk – az (EU) 2016/679 rendelet 89. cikkének (1) bekezdése alapján – meghatározza a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciákról szóló szabályokat.

III. FEJEZET – AZ ÉRINTETT JOGAI

1. szakasz – Átláthatóság és intézkedések

A 14. cikk – az (EU) 2016/679 rendelet 12. cikke alapján – bevezeti az adatkezelők azon kötelezettségét, amely értelmében az érintett számára a jogai gyakorlásához átlátható, könnyen hozzáférhető és érthető tájékoztatást, eljárásokat és mechanizmust kell biztosítaniuk, adott esetben elektronikus úton, az érintett kérelmére meghatározott időn belül válaszolniuk kell, a kérelmek elutasítását pedig indokolniuk kell. Mivel az uniós intézmények és szervek semmilyen körülmények között nem számíthatnak fel díjat a tájékoztatás adminisztratív költségére való tekintettel, az (EU) 2016/679 rendelet e lehetőségre vonatkozó rendelkezéseit nem veszi át a javaslat.

2. szakasz – Tájékoztatás és az adatokhoz való hozzáférés

A 15. cikk – az (EU) 2016/679 rendelet 13. cikkére alapozva és a 45/2001/EK rendelet 11. cikkét továbbfejlesztve – meghatározza az adatkezelőnek az érintettel szemben abban az esetben fennálló tájékoztatási kötelezettségeit, ha a személyes adatokat az érintettől gyűjtik, amelyek értelmében tájékoztatniuk kell az érintettet többek között a tárolás időtartamáról, a panasz benyújtásának jogáról, valamint a nemzetközi továbbítás tekintetében.

A 16. cikk – az (EU) 2016/679 rendelet 14. cikkére alapozva és a 45/2001/EK rendelet 12. cikkét továbbfejlesztve – tovább részletezi az adatkezelőnek az érintettel szemben abban az esetben fennálló tájékoztatási kötelezettségeit, ha a személyes adatokat nem az érintettől szerezték meg, amelyek értelmében tájékoztatást kell nyújtania az adatok forrásáról. Fenntartja továbbá az (EU) 2016/679 rendelet szerinti esetleges eltéréseket, például azt, hogy nem áll fenn tájékoztatási kötelezettség, ha az érintett már rendelkezik az információkkal, ha a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről, ha a személyes adatok az uniós jog által szabályozott szakmai titoktartási kötelezettség hatálya alá tartoznak, vagy ha a személyes adat rögzítését vagy közlését valamely jogszabály kifejezetten előírja. Ez alkalmazható lehet például a szociális biztonságért vagy egészségügyi kérdésekért felelős szolgálatok eljárásai tekintetében.

A 17. cikk – az (EU) 2016/679 rendelet 15. cikkével összhangban és a 45/2001/EK rendelet 13. cikkét továbbfejlesztve – az érintett saját személyes adataihoz való hozzáférési jogáról rendelkezik, új elemekkel egészítve ki azt, például azzal a kötelezettséggel, hogy az érintetteket tájékoztatni kell a tárolás időtartamáról, valamint a helyesbítéshez, a törléshez és a panasztételhez való joggal.

3. szakasz – Helyesbítés és törlés

A 18. cikk – az (EU) 2016/679 rendelet 16. cikkére alapozva és a 45/2001/EK rendelet 14. cikkét továbbfejlesztve – az érintett törléshez való jogáról rendelkezik.

A 19. cikk – az (EU) 2016/679 rendelet 17. cikkével összhangban és a 45/2001/EK rendelet 16. cikkét továbbfejlesztve – meghatározza az érintett jogát a személyes adatok tárolásának megszüntetéséhez és törléséhez. Rendelkezik a személyes adatok tárolásának megszüntetéséhez való jog feltételeiről, beleértve a személyes adatokat nyilvánosságra hozó adatkezelő kötelezettségét a harmadik felek arról történő tájékoztatására, hogy az érintett kérte az e személyes adatokra mutató internetes link vagy az adatok másolatának, illetve másodpéldányának törlését.

A 20. cikk bevezeti az adatkezelés bizonyos esetekben való korlátozására vonatkozó jogot, elkerülve a 45/2001/EK rendeletben használt homályos „zárolás” kifejezést, és biztosítva az (EU) 2016/679 rendelet 18. cikke szerinti új terminológiával való összhangot.

A 21. cikk – az (EU) 2016/679 rendelet 19. cikkével összhangban és a 45/2001/EK rendelet 17. cikkét továbbfejlesztve – előírja, hogy az adatkezelőnek minden olyan címzettet tájékoztatnia kell a személyes adatok esetleges helyesbítéséről, törléséről vagy azok kezelésének korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az adatkezelőnek tájékoztatnia kell az érintettet is – kérése esetén – e címzettekről.

A 22. cikk – az (EU) 2016/679 rendelet 20. cikkével összhangban – bevezeti az érintett adathordozhatósághoz való jogát, amelynek értelmében az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat megkapja, továbbá jogosult arra, hogy – ha ez technikailag megvalósítható – kérje e személyes adatok más adatkezelőnek való közvetlen továbbítását. Ennek előfeltételeként – és annak érdekében, hogy fokozza az egyének lehetőségét a személyes adataikhoz való hozzáféréshez – a cikk biztosítja azt a jogot, amely alapján ezek az adatok az adatkezelőtől tagolt, széles körben használt, géppel olvasható formátumban igényelhetők. E jog csak abban az esetben alkalmazandó, amennyiben az adatkezelés az érintett hozzájárulásán, vagy az érintett által kötött szerződésen alapul.

4. szakasz – A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben

A 23. cikk – az (EU) 2016/679 rendelet 21. cikkére alapozva és a 45/2001/EK rendelet 18. cikkét továbbfejlesztve – az érintett tiltakozáshoz való jogáról rendelkezik.

A 24. cikk – az (EU) 2016/679 rendelet 22. cikkére alapozva és a 45/2001/EK rendelet 19. cikkét továbbfejlesztve – arról rendelkezik, hogy az érintett jogosult arra, hogy ne terjedjen ki rá olyan intézkedés hatálya, amely kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapul.

5. szakasz – Korlátozások

A 25. cikk lehetővé teszi az érintett 14–22. cikkben, valamint a 34. és 38. cikkben meghatározott jogainak, valamint a 4. cikkben meghatározott elvek (amennyiben ezek rendelkezései megfelelnek a 14–22. cikkben meghatározott jogoknak és kötelezettségeknek) korlátozását. Az ilyen korlátozásokat a Szerződések alapján vagy az uniós intézmények és szervek belső szabályai alapján elfogadott jogi aktusokban kell meghatározni. Amennyiben ilyen korlátozásról nem rendelkeznek a Szerződések alapján elfogadott jogi aktusok vagy az uniós intézmények és szervek belső szabályai , az utóbbiak abban az esetben írhatnak elő ad hoc korlátozást, ha a korlátozás – egy adott feldolgozási művelet tekintetében – tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint egy demokratikus társadalomban az érintett jogainak korlátozását lehetővé tevő célok védelme érdekében szükséges és arányos intézkedés. E cikk összhangban van az (EU) 2016/679 rendelet 23. cikkével. Ugyanakkor az (EU) 2016/679 rendelet 23. cikkével ellentétben és az 45/2001/EK rendelet 20. cikkével összhangban a rendelkezés nem teszi lehetővé a tiltakozáshoz való jog és a kizárólag automatizált adatkezelésen alapuló döntések alóli mentesüléshez való jog korlátozását. A korlátozásokra vonatkozó követelmények összhangban vannak az Alapjogi Chartával és az emberi jogok európai egyezményével, az Európai Unió Bíróságának és Emberi Jogok Európai Bíróságának vonatkozó értelmezéseit is figyelembe véve.

IV. FEJEZET – AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1. szakasz – Általános kötelezettségek

A 26. cikk továbbfejleszti az (EU) 2016/679 rendelet 24. cikkét és bevezeti az elszámoltathatóság elvét, meghatározva, hogy az adatkezelő köteles felelősséget vállalni a rendeletnek való megfelelésért és e megfelelés bizonyításáért, többek között az ilyen megfelelést biztosító technikai és szervezési intézkedések, valamint adott esetben belső szabályok és mechanizmusok elfogadása révén. Az (EU) 2016/679 rendelet 24. cikkének (3) bekezdését nem tartalmazza e rendelkezés, mivel az uniós intézményeknek és szervekre nem alkalmazandók magatartási kódexek vagy tanúsítási mechanizmusok.

A 27. cikk – az (EU) 2016/679 rendelet 25. cikkével összhangban – meghatározza az adatkezelőnek a beépített és az alapértelmezett adatvédelem elveiből eredő kötelezettségeit.

A közös adatkezelőkről szóló 28. cikk az (EU) 2016/679 rendelet 26. cikkére alapoz, hogy pontosítsa a közös adatkezelők felelősségi körét – akár uniós intézményekről vagy szervekről van szó, akár nem – azok belső kapcsolata és az érintettel való kapcsolatuk tekintetében. Ezen átmeneti rendelkezés szabályozza azt a helyzetet, amikor a közös adatkezelők mindegyikére ugyanaz a jogi szabályozás vonatkozik (e rendelet), valamint azt is, amikor a közös adatkezelők között vannak olyanok, amelyekre e rendelet alkalmazandó, valamint olyanok is, amelyek más jogi eszköz hatálya alá tartoznak (az (EU) 2016/679 rendelet, az (EU) 2016/680 irányelv, az (EU) 2016/681 irányelv vagy más speciális, az uniós intézményeket vagy szerveket érintő adatvédelmi szabályozás).

A 29. cikk az (EU) 2016/679 rendelet 28. cikkére alapozva és a 45/2001/EK rendelet 23. cikkét továbbfejlesztve pontosítja az adatfeldolgozók helyzetét és kötelezettségeit, beleértve annak meghatározását is, hogy amennyiben egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelésről szóló 30. cikk az (EU) 2016/679 rendelet 29. cikkén alapul, és előírja, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

A 31. cikk az (EU) 2016/679 rendelet 30. cikkére épül, és bevezeti az adatkezelők és adatfeldolgozók azon kötelezettségét, hogy – az európai adatvédelmi biztosnak a 45/2001/EK rendelet 25. cikkében előírt előzetes értesítése és az adatvédelmi tisztviselők által vezetett nyilvántartás helyett – a felelősségi körükbe tartozóan végzett adatkezelési műveletekről nyilvántartást kell vezetniük. Az (EU) 2016/679 rendelettel szemben e rendelkezés nem említi az adatkezelő képviselőit, mivel az uniós intézményeknek nincs képviselője és minden esetben rendelkeznek adatvédelmi tisztviselőkkel. Az (EU) 2016/679 rendelet a különös helyzetekben biztosított eltéréseken alapuló továbbításokra való hivatkozásait nem tartalmazza e javaslat, mivel ilyen típusú továbbításokról e rendelet nem rendelkezik. Az adatkezelési tevékenységekről való nyilvántartás vezetésére vonatkozó kötelezettség egy uniós intézmény vagy szerv szintjén központosítható. Ebben az esetben az uniós intézményeknek és szerveknek lehetőségük van az adatkezelési tevékenységek nyilvántartását nyilvánosan elérhető nyilvántartásban vezetni.

A 32. cikk – az (EU) 2016/679 rendelet 31. cikke alapján – tisztázza az uniós intézményeknek és szerveknek az európai adatvédelmi biztossal való együttműködésre vonatkozó kötelezettségeit.

2. szakasz – Adatbiztonság és az elektronikus kommunikáció bizalmas jellege

A 33. cikk – az (EU) 2016/679 rendelet 32. cikkével összhangban és a 45/2001/EK rendelet 22. cikkét továbbfejlesztve – kötelezi az adatkezelőt az adatkezelés biztonságát garantáló megfelelő intézkedések végrehajtására, és kiterjeszti e kötelezettséget az adatfeldolgozókra is, az adatkezelővel való szerződésük jellegétől függetlenül.

A 34. cikk a 45/2001/EK rendelet 36. cikkére épül, és biztosítja az uniós intézményeken és szerveken belüli elektronikus kommunikáció bizalmas jellegét.

A 35. cikk az uniós intézmények és szervek meglévő gyakorlatára épül, és védi az uniós intézmények és szervek által biztosított, nyilvánosan elérhető weboldalait és mobilalkalmazásait elérő végfelhasználók végberendezéseivel kapcsolatos információkat, az (EU) XXXX/XX rendelettel [az elektronikus adatvédelemről szóló új rendelettel] összhangban, különös tekintettel annak 8. cikkére.

A 36. cikk a 45/2001/EK rendelet 38. cikkére épül, és biztosítja az uniós intézmények és szervek nyilvános és személyes névjegyzékeiben tárolt személyes adatok védelmét.

A 37. és a 38. cikk – az (EU) 2016/679 rendelet 33. és 34. cikkével összhangban – bevezeti az adatvédelmi incidensek bejelentésére vonatkozó kötelezettséget.

3. szakasz – Adatvédelmi hatásvizsgálat és előzetes konzultáció

A 39. cikk az (EU) 2016/679 rendelet 35. cikkére épül, és bevezeti az adatkezelők és adatfeldolgozók azon kötelezettségét, hogy adatvédelmi hatásvizsgálatot végezzenek az olyan feldolgozási műveleteket megelőzően, amelyek valószínűsíthetően magas kockázattal járnak a természetes személyek jogaira és szabadságaira nézve. E kötelezettség különösen vonatkozik a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelésére, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, a személyes adatok különleges kategóriáinak nagy számban történő kezelésére, vagy nyilvános helyek nagymértékű, módszeres megfigyelésére.

A 40. cikk az (EU) 2016/679 rendelet 36. cikkén alapul, és azokra az esetekre vonatkozik, amelyekben az adatkezelést megelőzően kötelező az európai adatvédelmi biztos engedélyének beszerzése és a vele való konzultálás. Ugyanakkor a 40. cikk első bekezdése átveszi az (EU) 2016/679 rendelet (94) preambulumbekezdését, és a konzultációra való kötelezettség hatályának pontosítására irányul.

4. szakasz – Tájékoztatás és jogalkotási konzultáció

A 41. cikk rendelkezik arról a kötelezettségről, hogy az uniós intézményeknek és szerveknek értesíteniük kell az európai adatvédelmi biztost a személyes adatok kezelésére vonatkozó közigazgatási intézkedések és belső szabályok kidolgozása esetén.

A 42. cikk rendelkezik arról a kötelezettségről, hogy a Bizottságnak konzultálnia kell az európai adatvédelmi biztossal a jogalkotási aktusokra vonatkozó javaslatok, ajánlások, vagy az EUMSZ 218. cikke alapján a Tanácsnak benyújtott javaslatok elfogadását követően, valamint az egyének személyes adataik kezelése tekintetében fennálló jogainak és szabadságainak védelmére hatással lévő felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok előkészítésekor. Amennyiben ezek a jogi aktusok különösen fontosak az egyének személyes adataik kezelése tekintetében fennálló jogainak és szabadságainak védelméhez, a Bizottság az Európai Adatvédelmi Testülettel is konzultálhat. Ilyen esetekben a két érintett hatóságnak közös vélemény kiadása céljából össze kell hangolnia a munkáját. A cikk az említett esetekben a tanács kiadására vonatkozóan nyolc hetes határidőt állapít meg, eltéréseket téve lehetővé sürgős esetekben és más indokolt esetekben, például amikor a Bizottság felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat készít elő.

5. szakasz – Válaszadási kötelezettség az állítólagos jogsértések tekintetében

A 43. cikk rendelkezik arról a kötelezettségről, hogy az adatkezelőknek és az adatfeldolgozónak válaszolniuk kell az állításokra azt követően, hogy az európai adatvédelmi biztos úgy döntött, hozzájuk fordul az üggyel.

6. szakasz – Az adatvédelmi tisztviselő

A 44. cikk az (EU) 2016/679 rendelet 37. cikke (1) bekezdésének a) pontjára és a 45/2001/EK rendelet 24. cikkére épül, és az uniós intézményeknél és szerveknél kötelezően kinevezendő adatvédelmi tisztviselőről rendelkezik.

A 45. cikk az (EU) 2016/679 rendelet 38. cikkére és a 45/2001/EK rendelet 24. cikkére épül, és az adatvédelmi tisztviselő jogállásáról rendelkezik.

A 46. cikk az (EU) 2016/679 rendelet 39. cikkére és a 45/2001/EK rendelet 24. cikkére, valamint mellékletének második és harmadik bekezdésére épül, és az adatvédelmi tisztviselő alapvető feladatairól rendelkezik.

V. FEJEZET – A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA

A 47. cikk továbbfejleszti a 45/2001/EK rendelet 9. cikkét, és az (EU) 2016/679 rendelet 44. cikkével összhangban kimondja azt az általános elvet, hogy a személyes adatok harmadik országba vagy nemzetközi szervezetek részére történő továbbítása – ezen belül a harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítása – esetén kötelező betartani e rendelet rendelkezéseit és az V. fejezetben rögzített feltételeket.

A 48. cikk megállapítja, hogy személyes adatok harmadik országba vagy nemzetközi szervezetek részére történő továbbítására akkor kerülhet sor, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése szerint megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít, valamint a személyes adatok továbbítására kizárólag az adatkezelő illetékességi körébe tartozó feladatok végrehajtásának lehetővé tétele céljából kerül sor. E cikk (2) és (3) bekezdése átveszi a 45/2001/EK rendelet 9. cikkének rendelkezéseit, mivel ezek hasznos elemek a harmadik országok és nemzetközi szervezetek által biztosított védelmi szint nyomon követésének tekintetében.

A 49. cikk az (EU) 2016/679 rendelet 46. cikkére épül, és előírja, hogy amennyiben a Bizottság nem fogadott el a megfelelőségre vonatkozó határozatot, a harmadik országoknak való továbbításra csak megfelelő garanciák, különösen pedig általános adatvédelmi kikötések és szerződési feltételek mellett kerülhet sor. Az uniós intézményeken és szerveken kívüli adatfeldolgozók az (EU) 2016/679 rendelettel összhangban kötelező erejű vállalati szabályokat, magatartási kódexeket és tanúsítási mechanizmusokat is alkalmazhatnak. E cikk negyedik bekezdése, amely az uniós intézmények és szervek azon kötelezettségéről szól, hogy tájékoztatniuk kell az európai adatvédelmi biztost azokról az esetkategóriákról, amelyekben e cikket alkalmazták, a 45/2001/EK rendelet 9. cikke (8) bekezdésének felel meg, amelyet annak sajátos jellege miatt megőriz. Az ötödik bekezdés az (EU) 2016/679 rendelet 46. cikke (5) bekezdésében meghatározott hatályos engedélyek szerzett jogok alapján történő fenntartására épül.

Az 50. cikk – az (EU) 2016/679 rendelet 48. cikkével összhangban – egyértelműsíti, hogy valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely a személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb módozatainak sérelme nélkül.

Az 51. cikk az (EU) 2016/679 rendelet 49. cikkére épül, és megállapítja és egyértelművé teszi az adattovábbítással kapcsolatos eltéréseket. Ez különösen a fontos közérdekből szükséges adattovábbításokra érvényes, például a versenyhatóságokat, adó- és vámhivatalokat, vagy a társadalombiztosítási, illetve halászati gazdálkodási ügyekben illetékes szolgáltatókat érintő nemzetközi adattovábbítások esetében. Az ötödik bekezdés, amely arról a kötelezettségről rendelkezik, hogy az európai adatvédelmi biztost tájékoztatni kell azokról az esetkategóriákról, amelyekben a továbbítás eltéréseken alapul, a jelenleg hatályos 45/2001/EK rendelet 9. cikke (8) bekezdésének felel meg.

Az 52. cikk az (EU) 2016/679 rendelet 50. cikkén alapul, és kifejezetten rendelkezik a személyes adatok védelmével kapcsolatos nemzetközi együttműködés mechanizmusairól, amelyek – a Bizottsággal és az Európai Adatvédelmi Testülettel együttműködést folytató – európai adatvédelmi biztos és a harmadik országok felügyeleti hatóságai között alakítandók ki.

VI. FEJEZET – AZ EURÓPAI ADATVÉDELMI BIZTOS

A 53. cikk a 45/2001/EK rendelet 41. cikkére épül, és az európai adatvédelmi biztos létrehozására vonatkozik.

Az 54. cikk a 45/2001/EK rendelet 42. cikkére és a 1247/2002/EK határozat 3. cikkére épül, és meghatározza az európai adatvédelmi biztos Európai Parlament és Tanács általi kinevezésének szabályait. Megállapítja továbbá megbízatásának időtartamát, amely öt év.

Az 55. cikk a 45/2001/EK rendelet 43. cikkére és a 1247/2002/EK határozat 1. cikkére épül, és meghatározza az európai adatvédelmi biztos feladatkörének ellátására vonatkozó szabályozást és általános feltételeket, valamint a vonatkozó személyi és anyagi erőforrásokat.

Az 56. cikk az (EU) 2016/679 rendelet 52. cikkére és a 45/2001/EK rendelet 44. cikkére épül, és pontosítja az európai adatvédelmi biztos függetlenségére vonatkozó feltételeket, figyelembe véve az Európai Unió Bíróságának ítélkezési gyakorlatát.

Az 57. cikk – a 45/2001/EK rendelet 45. cikke alapján – meghatározza az európai adatvédelmi biztost megbízatási ideje alatt és után terhelő titoktartási kötelezettséget minden olyan bizalmas információ tekintetében, amelyről hivatali feladatainak ellátása során szerzett tudomást.

Az 58. cikk az (EU) 2016/679 rendelet 57. cikkére és a 45/2001/EK rendelet 46. cikkére épül, és meghatározza az európai adatvédelmi biztos feladatkörét, amely magában foglalja a panaszok meghallgatását és kivizsgálását, valamint a nyilvánosság tájékoztatását a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról.

A 59. cikk az (EU) 2016/679 rendelet 58. cikkén és a 45/2001/EK rendelet 47. cikkén alapul, és meghatározza az adatvédelmi tisztviselő hatáskörét.

A 60. cikk az (EU) 2016/679 rendelet 59. cikkére és a 45/2001/EK rendelet 48. cikkére épül, és meghatározza az adatvédelmi tisztviselő azon kötelezettségét, hogy tevékenységeiről éves jelentést kell készítenie.

VII. FEJEZET – EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG

A 61. cikk az (EU) 2016/679 rendelet 61. cikkére és a 45/2001/EK rendelet 46. cikkének f) pontjára épül, és kifejezett szabályokat vezet be az adatvédelmi tisztviselő nemzeti felügyeleti hatóságokkal folytatandó együttműködésére vonatkozóan.

A 62. cikk az európai adatvédelmi biztos azon kötelezettségeiről rendelkezik, amelyek azokban az esetekben állnak fenn, amikor más uniós jogi aktusok a nemzeti felügyeleti hatóságokkal való összehangolt felügyelet keretében hivatkoznak e cikkre. Célja az összehangolt felügyelet egységes modelljének érvényesítése. E modell alkalmazható a nagyszabású informatikai rendszerek – például az Eurodac, a Schengeni Információs Rendszer második generációja, a Vízuminformációs Rendszer, a váminformációs rendszer és a belső piaci információs rendszer – összehangolt felügyeletére, továbbá egyes uniós ügynökségek – például az Europol – felügyeletére is, amelyekre vonatkozóan az európai adatvédelmi biztos és a nemzeti hatóságok közötti együttműködés külön modelljét határozták meg. A hatékony összehangolt felügyelet általános érvényesülésének biztosítása céljából az Európai Adatvédelmi Testület alkalmazandó egyedüli fórumként.

VIII. FEJEZET – JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

A 63. cikk az (EU) 2016/679 rendelet 77. cikkén és a 45/2001/EK rendelet 32. cikkén alapul, és biztosítja minden érintett számára az európai adatvédelmi biztosnál történő panasztételhez való jogot. Attól is rendelkezik, hogy az európai adatvédelmi biztos köteles e panaszt kezelni és tájékoztatni az érintettet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről három hónapon belül, és e határidő elteltével a panaszt elutasítottnak kell tekinteni.

A 64. cikk fenntartja a 45/2001/EK rendelet 32. cikkének (1) bekezdését, meghatározva, hogy az e rendelet rendelkezéseivel kapcsolatos valamennyi jogvitában – ideértve a kártérítési igényeket is – az Európai Unió Bírósága rendelkezik hatáskörrel.

A 65. cikk a vagyoni és nem vagyoni kár esetén a Szerződésben foglalt, többek között a felelősségre vonatkozó feltételek szerinti kártérítésre való jogosultságról rendelkezik.

A 66. cikk az (EU) 2016/679 rendelet 83. cikkére épül, és arról rendelkezik, hogy az európai adatvédelmi biztos hatáskörrel rendelkezik arra, hogy – végső eszközként és kizárólag abban az esetben, ha az adott uniós intézmény vagy szerv nem teljesítette az európai adatvédelmi biztos által kiadott, az 59. cikk (2) bekezdésének a)–h) és j) pontjában említett utasítást – közigazgatási bírságokat szabhat ki az uniós intézményekre és szervekre. E cikk továbbá részletezi az egyes esetekben kiszabandó bírság összegének meghatározására vonatkozó kritériumokat, az éves maximális felső határok pedig a tagállamok egy részében alkalmazott bírságok összegéből indulnak ki.

A 67. cikk – az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésével összhangban – lehetővé teszi, hogy bizonyos szervek, szervezetek vagy egyesületek panaszt nyújtsanak be az érintett nevében.

A 68. cikk – a 45/2001/EK rendelet 33. cikkével összhangban – az európai adatvédelmi biztosnál e rendelet rendelkezéseinek vélt megsértésével kapcsolatban a hivatali út igénybevétele nélkül panaszt tevő uniós alkalmazottak védelmére irányuló speciális szabályokról rendelkezik.

A 69. cikk a 45/2001/EK rendelet 49. cikkére épül, és szankciókról rendelkezik arra az esetre vonatkozóan, ha az Európai Unió tisztviselői vagy más köztisztviselői megszegik az e rendeletben foglalt kötelezettségeit.

IX. FEJEZET – VÉGREHAJTÁSI JOGI AKTUSOK

A 70. cikk a végrehajtási hatásköröknek a Bizottságra történő átruházásához szükséges bizottsági eljárásról rendelkezik azokban az esetekben, amelyekben az EUMSZ 291. cikkel összhangban valamely kötelező erejű uniós jogi aktus végrehajtásának egységes feltételek szerint kell történnie. A vizsgálóbizottsági eljárás alkalmazandó.

X. FEJEZET – ZÁRÓ RENDELKEZÉSEK

A 71. cikk hatályon kívül helyezi a 45/2001/EK rendeletet és az 1247/2002/EK határozatot, és úgy rendelkezik, hogy a két hatályon kívül helyezett jogi aktusra való hivatkozásokat e rendeletre való hivatkozásként kell értelmezni.

A 72. cikk egyértelművé teszi, hogy e rendelet nem érinti az európai adatvédelmi biztos és a helyettes biztos jelenlegi megbízatását, továbbá a rendelet 54. cikkének (4), (5) és (7) bekezdése, valamint 56. és 57. cikke a jelenlegi helyettes biztosra vonatkozik a megbízatásának lejártáig, azaz 2019. december 5-ig.

A 73. cikk az (EU) 2016/679 rendelet alkalmazásának kezdő napjával való összhang biztosítása érdekében e rendelet hatálybalépésének időpontjaként 2018. május 25-ét határozza meg.

2017/0002 (COD)

Javaslat

AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és a 1247/2002/EK határozat hatályon kívül helyezéséről

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikke (2) bekezdésére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére 10 ,

rendes jogalkotási eljárás keretében,

mivel:

(1)A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2)A 45/2001/EK európai parlamenti és tanácsi rendelet 11 érvényesíthető jogokkal ruházza fel a természetes személyeket, meghatározza az adatkezelőknek a közösségi intézményeken és szerveken belüli adatfeldolgozási kötelezettségeit, és létrehoz egy független felügyeleti hatóságot, az európai adatvédelmi biztost, amelynek feladata a személyes adatok uniós intézmények és szervek általi feldolgozásának nyomon követése. E rendelet nem alkalmazandó azonban a személyes adatoknak az uniós intézmények és szervek olyan tevékenységei során történő feldolgozására, amelyek az uniós jog hatályán kívül esnek.

(3)Az Unió 2016. április 27-én elfogadta az (EU) 2016/679 európai parlamenti és tanácsi rendeletet 12 és az (EU) 2016/680 európai parlamenti és tanácsi irányelvet 13 . A rendelet a természetes személyeknek a személyes adatok feldolgozásával kapcsolatos védelmére és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó általános szabályokat állapítja meg, az irányelv pedig a természetes személyeknek a személyes adatok feldolgozásával kapcsolatos védelmére, valamint a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó különös szabályokat rögzíti a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén.

(4)Az (EU) 2016/679 rendelet hangsúlyozza, hogy szükség van a 45/2001/EK rendelet kiigazítására annak érdekében, hogy az Unióban szilárd és koherens adatvédelmi keret álljon rendelkezésre, és ugyanakkor lehetővé váljék az (EU) 2016/679 rendelet alkalmazása.

(5)A személyes adatok védelmének Unión belüli egységes megközelítése és a személyes adatok Unión belüli szabad áramlása érdekében a lehető legnagyobb mértékben összhangba kell hangolni az uniós intézményekre és szervekre vonatkozó adatvédelmi szabályokat a tagállamokban a közszektor számára elfogadott adatvédelmi szabályokkal. Amennyiben e rendelet rendelkezései ugyanazon az elven alapulnak, mint az (EU) 2016/679 rendelet rendelkezései, az érintett két rendelkezést egységesen kell értelmezni, különösen mivel e rendelet szerkezete az (EU) 2016/679 rendelet szerkezetével egyenértékűnek tekintendő.

(6)Védeni kell azok a személyeket, akiknek a személyes adatait az uniós intézmények és szervek bármilyen összefüggésben feldolgozzák, például azért, mert az említett intézmények és szervek alkalmazásában állnak. Ez a rendelet nem alkalmazandó az elhunyt személyek személyes adatainak feldolgozására. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

(7)Annak érdekében, hogy kiküszöbölhető legyen a szabályok kijátszásának komoly kockázata, a természetes személyek védelmének technológiailag semlegesnek kell lennie, és nem függhet a felhasznált technikai megoldásoktól. A természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.

(8)A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé. Ez a rendelet ezért csak annyiban alkalmazandó a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén tevékenységet folytató uniós ügynökségekre, amennyiben az ilyen ügynökségekre alkalmazandó uniós jog nem tartalmaz a személyes adatok feldolgozására vonatkozó különös szabályokat.

(9)Az (EU) 2016/680 irányelv harmonizált szabályokat állapít meg a bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából feldolgozott személyes adatok védelmére és szabad áramlására vonatkozóan, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését. Annak érdekében, hogy a természetes személyek számára jogi úton érvényesíthető jogok révén Unió-szerte azonos szintű védelmet biztosítsanak, valamint hogy megelőzzék a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén folytatott tevékenységeket végző uniós ügynökségek és a tagállami illetékes hatóságok közötti cseréjét akadályozó eltéréseket, az ilyen uniós ügynökségek által feldolgozott, az operatív személyes adatok védelemére és szabad áramlására vonatkozó szabályoknak az e rendelet alapját képező elvekre kell épülniük, és összhangban kell állniuk az (EU) 2016/680 irányelvvel.

(10)Amennyiben a Szerződés V. címe 4. és 5. fejezetének hatálya alá tartozó tevékenységeket végző uniós ügynökség alapító okirata önálló adatvédelmi rendszert hoz létre az operatív személyes adatok feldolgozására, e rendelet nem érinti az ilyen rendszereket. Mindazonáltal a Bizottságnak az (EU) 2016/680 irányelv 62. cikkével összhangban 2019. május 6-ig felül kell vizsgálnia azokat az uniós jogi aktusokat, amelyek a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából az illetékes hatóságok általi feldolgozást szabályozzák, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését, valamint adott elő kell terjesztenie a szükséges javaslatokat az említett jogi aktusok módosítására a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén való védelme következetes megközelítésének biztosítása érdekében.

(11)Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

(12)A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek eleget tegyenek. Az „álnevesítés” e rendeletbe történő kifejezett bevezetése nem irányul más adatvédelmi intézkedés kizárására.

(13)A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

(14)Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

(15)A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

(16)Az elszámoltathatóság elvével összhangban, amennyiben az uniós intézmények és szervek személyes adatokat továbbítanak más uniós intézményeken vagy szerveken belül, meg kell vizsgálniuk, hogy e személyes adatok szükségesek-e a címzett hatáskörébe tartozó feladatok jogszerű teljesítéséhez, amennyiben a címzett nem része az adatkezelőnek. Különösen a címzettnek a személyes adatok továbbítására vonatkozó kérelmét követően az adatkezelőnek ellenőriznie kell a személyes adatok jogszerű feldolgozásának releváns okát, a címzett hatáskörét, és előzetesen el kell bírálnia az adatok továbbításának szükségességét. Ha a szükségességgel kapcsolatban kétségek merülnek fel, az adatkezelőnek további tájékoztatást kell kérnie a címzettől. A címzettnek gondoskodnia kell arról, hogy az adatok továbbításának szükségessége utóbb igazolható legyen.

(17)Az adatfeldolgozás jogszerűsége érdekében a személyes adatok feldolgozásának azon a szükségszerűségen kell alapulnia, hogy az uniós intézmények és szervek ellássanak egy adott közérdekű feladatot vagy hivatalos hatáskörükben járjanak el, az adatkezelő eleget tegyen jogszabályi kötelezettségeinek, vagy annak egyéb jogszerű, e rendeletben említett alappal kell rendelkeznie, beleértve az érintett hozzájárulását vagy egy olyan szerződés teljesítésének szükségességét, amelyben az érintett félként részt vesz, vagy annak érdekében, hogy az érintett kérésére a szerződés megkötése előtt lépéseket lehessen tenni. Az uniós intézmények és szervek által a közérdekből végzett feladatok teljesítése érdekében végzett személyesadat-feldolgozás magában foglalja az ilyen intézmények és szervek irányításához és működéséhez szükséges személyes adatok feldolgozását is. Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból – ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében – van szükség.

(18)Az uniós jognak – ideértve az e rendeletben hivatkozott belső szabályokat – világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára, az Európai Unió Bíróságának és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlatával összhangban.

(19)A személyes adatoknak a gyűjtésük eredetitől eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető azokkal a célokkal, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, az uniós jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni. Az uniós jogban foglalt, a személyes adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között a következőket: az említett eredeti célok és a tervezett további adatkezelési célok között fennálló bármely összefüggés; az adatgyűjtés körülményei és különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásai; a személyes adatok jellege; az, hogy az érintettekre nézve milyen következményekkel járna az adatok tervezett további felhasználása; valamint a megfelelő garanciák megléte mind az eredeti, mind a tervezett további adatfeldolgozási műveletek során.

(20)Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult. Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette. A 93/13/EGK tanácsi irányelvnek 14 megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek tisztában kell lennie legalább az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

(21)A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. E különleges védelmet különösen a gyermekekkel kapcsolatos személyi profilok létrehozására és személyes adatok gyűjtésére kell alkalmazni az uniós intézmények és szervek internetes oldalain közvetlenül gyermekeknek kínált szolgáltatások igénybevétele esetén, ideértve például az interperszonális kommunikációs szolgáltatásokat vagy az online jegyértékesítést, valamint azokat a helyzeteket, amikor a személyes adatok feldolgozása hozzájáruláson alapul.

(22)Amennyiben az Unióban székhellyel rendelkező és az (EU) 2016/679 rendelet vagy az (EU) 2016/680 irányelv hatálya alá tartozó címzettek az uniós intézmények és szervek által számukra továbbított személyes adatokat szeretnének kapni, a címzettnek bizonyítania kell, hogy a továbbítás a céljának eléréséhez szükséges, arányos, és nem lépi túl az e cél eléréséhez szükséges mértéket. Az uniós intézményeknek és szerveknek – az átláthatóság elvének tiszteletben tartásával – bizonyítaniuk kell az adattovábbítás szükségességét, amikor azt ők maguk kezdeményezik.

(23)Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen adatnak minősülnek a faji vagy etnikai származásra utaló személyes adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket. Az érzékeny személyes adatok feldolgozására vonatkozó különös előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

(24)A népegészség területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az érintett hozzájárulása nélkül történő kezelése. Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében megfelelő és célzott intézkedéseket kell hozni. Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben 15 meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi adatok ilyen közérdekű kezelése nem eredményezheti a személyes adatok harmadik személyek általi kezelését más célokból.

(25)Ha az adatkezelő által kezelt személyes adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelőt az érintett személyazonosságának megállapítása érdekben nem lehet további információk beszerzésére kötelezni annak érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének. Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának elősegítése érdekében nyújtott további információkat. Az azonosítás magában foglalja az érintettek például olyan hitelesítési mechanizmus révén történő digitális azonosítását, amelynek keretében az érintett ugyanazokat a belépési azonosító adatokat adja meg, amelyeket az adatkezelő által nyújtott online szolgáltatáshoz történő bejelentkezéshez használ.

(26)E rendelet alapján a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak. Az említett garanciák biztosítják, hogy technikai és szervezési intézkedéseket hoztak különösen annak érdekében, hogy az adattakarékosság elve érvényesüljön. A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további kezelésére akkor kerülhet sor, ha az adatkezelő előzetesen felmérte, hogy ezek a célok megvalósíthatók olyan személyes adatok kezelésével, amelyek eleve nem vagy a továbbiakban már nem teszik lehetővé az érintettek azonosítását, feltéve hogy megfelelő garanciák állnak rendelkezésre (mint például a személyes adatok álnevesítése). Az uniós intézményeknek és szerveknek rendelkezniük kell az uniós jogon belüli megfelelő garanciákról a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelése tekintetében; ezek a garanciák belső szabályok is lehetnek.

(27)Az érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát. Az adatkezelő ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének nem tesz eleget, indokolnia kell azt.

(28)A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő azokat a további információkat is az érintett rendelkezésére bocsátja, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Az érintettet továbbá a profilalkotás tényéről és annak következményeiről tájékoztatni kell. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon. Amikor az ikonokat elektronikus formátumban jelenítik meg, azoknak géppel olvashatóknak kell lenniük.

(29)Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

(30)Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen. Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, továbbá hogy minderről tájékoztatást kapjon. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. Ha az adatkezelő nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik.

(31)Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését és megilleti őt az „a személyes adatok tárolásának megszüntetéséhez való jog”, ha a szóban forgó adatok megőrzése sérti e rendeletet vagy olyan uniós jogot, amelynek hatálya az adatkezelőre kiterjed. Az érintett jogosult arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes adataik kezelése egyéb szempontból nem felel meg e rendeletnek. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig el akarja távolítani a szóban forgó személyes adatokat, különösen az internetről. Az érintett e jogát gyakorolhatja akkor is, ha már nem gyermek. Ugyanakkor a személyes adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek való megfelelés, illetőleg közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása miatt, vagy a népegészségügy területét érintő közérdekből, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

(32)Az elfeledtetéshez való jog online környezetben történő megerősítése érdekében a törléshez való jogot emellett oly módon szükséges kiterjeszteni, hogy a személyes adatokat nyilvánosságra hozó adatkezelőnek az ilyen személyes adatokat kezelő adatkezelőket tájékoztatnia kell arról, hogy töröljék a szóban forgó személyes adatokra mutató linkeket vagy e személyes adatok másolatát, illetve másodpéldányát. E tájékoztatás során az adatkezelőnek észszerű lépéseket kell tennie annak érdekében, hogy – figyelembe véve a rendelkezésre álló technológiát és a végrehajtás költségeit, ideértve a technikai intézkedések alkalmazását is – a személyes adatokat kezelő adatkezelők értesüljenek az érintett kéréséről.

(33)A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között a szóban forgó személyes adatoknak egy másik adatkezelő rendszerbe történő ideiglenes áthelyezése vagy a felhasználók számára való hozzáférhetőségük megszüntetése, vagy egy honlapról az ott közzétett adatok ideiglenes eltávolítása. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani, oly módon, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Azt a tényt, hogy a személyes adatok kezelése korlátozott, egyértelműen jelezni kell a rendszerben.

(34)Ha a személyes adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák. Az adatkezelőket ösztönözni kell, hogy az adathordozhatóságot lehetővé tevő interoperábilis formátumokat fejlesszenek ki. Ez a jog abban az esetben gyakorolható, ha az érintett a személyes adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges. Ennélfogva nem gyakorolható különösen akkor, ha a személyes adatok kezelésére valamely, az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében szükséges. Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn. Ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait. Ez a jog nem érinti továbbá az érintettnek jogát arra, hogy a személyes adatainak törlését elérje, sem pedig az e jogra vonatkozóan e rendeletben megállapított korlátozásokat, továbbá nem járhat különösen az érintettre vonatkozó olyan személyes adatok törlésével, amelyeket az érintett valamely szerződés teljesítése céljából bocsátott rendelkezésre, ha és ameddig a szóban forgó személyes adatokra szükség van az adott szerződés teljesítéséhez. Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.

(35)Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetére vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához van szükség. Az adatkezelő bizonyítja, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet.

(36)Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti, mint például az emberi beavatkozás nélkül folytatott online munkaerő-toborzás. Ilyen adatkezelésnek minősül a „profilalkotás” is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt az olyan uniós jog kifejezetten engedélyezi. Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelybe beletartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről és hogy megtámadja a döntést. Az ilyen intézkedés gyermekre nem vonatkozhat. Az érintett szempontjából tisztességes és átlátható adatkezelés biztosítása érdekében – az adatkezelés konkrét körülményeinek és kontextusának figyelembevételével – az adatkezelő a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat alkalmaz, olyan megfelelő technikai és szervezési intézkedéseket vezet be, amelyek biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését, továbbá a személyes adatok biztonságáról oly módon gondoskodik, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és amely megakadályozza egyebek között az olyan hatások érvényesülését, amelyek a természetes személyek közötti hátrányos megkülönböztetést eredményeznek faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján, illetve amelyek ilyen hatást kiváltó intézkedésekhez vezetnek. A személyes adatok különleges kategóriáit célzó automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezhető.

(37)A Szerződések vagy az uniós intézmények és szervek belső szabályai alapján elfogadott jogi aktusok olyan mértékig korlátozhatnak bizonyos elveket, a tájékoztatáshoz való jogot, a személyes adatokhoz való hozzáférési, helyesbítési és törlési jogot, az adathordozhatósághoz való jogot, az elektronikus hírközlési adatok titkosságát, az adatvédelmi incidens érintettel történő közlését, valamint az adatkezelők bizonyos kapcsolódó kötelezettségeit, amilyen mértékig ez egy demokratikus társadalomban szükségesnek és arányosnak tekinthető a közbiztonság védelme érdekében – beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, valamint a bűncselekmények megelőzését, kivizsgálását és üldözését, illetve a büntetőjogi szankciók végrehajtását és ezen belül többek között a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is –, továbbá az uniós intézmények és szervek belső biztonságát, az Unió vagy valamely tagállam általános közérdeket szolgáló egyéb fontos célkitűzéseit, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdekeit, az állami nyilvántartások vezetését a közérdek vagy az érintett védelme vagy mások jogainak és szabadságainak védelme érdekében, beleértve a szociális védelmet, a közegészségügyet és a humanitárius célokat.

Amennyiben a Szerződések alapján vagy az uniós intézmények és szervek belső szabályai alapján elfogadott jogi aktusok ilyen korlátozásról nem rendelkeznek, az uniós intézmények és szervek abban az esetben írhatják elő bizonyos elvek és az érintett jogainak ad hoc korlátozását, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényegét, és egy adott adatfeldolgozási művelet tekintetében az (1) bekezdésben említett egy vagy több célkitűzés megőrzéséhez egy demokratikus társadalomban szükségesnek és arányosnak tekinthető. A korlátozásról az adatvédelmi felelőst értesíteni kell. Valamennyi ilyen korlátozásnak tiszteletben kell tartania a Charta, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény rendelkezéseit.

(38)A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni. A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – és különösen gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki. Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni. A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve nagy kockázattal járnak-e.

(39)A természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szakpolitikákat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek eleget tesznek különösen a beépített és az alapértelmezett adatvédelem elveinek. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

(40)Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

(41)Annak biztosítása érdekében, hogy az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelmények teljesüljenek, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is. Az uniós intézményektől és szervektől eltérő adatfeldolgozó kötelezettségei teljesítésének bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz. Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintett jogait és szabadságait érintő kockázatot is. Az adatkezelő és az adatfeldolgozó számára lehetővé kell tenni, hogy választhasson az egyedi szerződés vagy általános szerződési feltételek alkalmazása között, amelyeket vagy közvetlenül a Bizottság, vagy pedig az európai adatvédelmi biztos, majd a Bizottság fogadja el. Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

(42)Az e rendeletnek való megfelelés bizonyítása érdekében az adatkezelőnek nyilvántartást kell vezetnie a felelősségi körébe tartozó feldolgozási tevékenységekről, az adatfeldolgozónak pedig nyilvántartást kell vezetnie a felelősségi körébe tartozó feldolgozási tevékenységek kategóriáiról. Az uniós intézmények és szervek kötelesek együttműködni az európai adatvédelmi biztossal, és nyilvántartásaikat utóbbi kérésére hozzáférhetővé kell tenniük a számára, az érintett adatkezelési műveletek ellenőrzése érdekében. Az uniós intézményeknek és szerveknek képesnek kell lenniük a feldolgozási tevékenységeik központi nyilvántartásának létrehozására. Az átláthatóság érdekében lehetővé kell tenni számukra az ilyen nyilvántartás nyilvánosságra hozatalát is.

(43)A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek különösen fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

(44)Az uniós intézményeknek és szerveknek biztosítaniuk kell az elektronikus kommunikáció titkosságát, a Charta 7. cikkének rendelkezéseivel összhangban. Az uniós intézményeknek és szerveknek biztosítaniuk kell különösen az elektronikus hírközlő hálózataik biztonságát, a nyilvánosan elérhető weboldalakhoz és mobil alkalmazásokhoz való hozzáférést biztosító végfelhasználói végberendezésekkel kapcsolatos információk védelemét az (EU) XXXX/XX rendelet [az új elektronikus hírközlési adatvédelmi rendelet] szerint, valamint a felhasználók telefonkönyvekben szereplő személyes adatainak védelmét.

(45) Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és lehetőleg a tudomásszerzéstől számított legkésőbb 72 órán belül köteles bejelenteni az az európai adatvédelmi biztosnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, hozzá kell fűzni a késedelem okát, az információkat pedig további indokolatlan késedelem nélkül részletekben is közölni lehet. Amennyiben a késedelem indokolt, az incidensre vonatkozó kevésbé érzékeny vagy kevésbé konkrét információkat a lehető leghamarabb közölni kell, ahelyett, hogy a bejelentést megelőzően teljes mértékben megoldják az alapul szolgáló eseményt.

(46)Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve az európai adatvédelmi biztossal, és betartva az általa vagy más érintett, például bűnüldöző hatóságok által adott útmutatást.

(47)A 45/2001/EK rendelet általános kötelezettséget ír elő az adatkezelő számára, hogy értesítse az adatvédelmi tisztviselőt a személyes adatok feldolgozásáról, aki pedig nyilvántartást vezet a bejelentett adatfeldolgozási műveletekről. Ez a kötelezettség igazgatási és pénzügyi terhekkel jár, azonban nem minden esetben járul hozzá a személyes adatok védelmének javításához. Ezért ezeket a megkülönböztetés nélküli általános jellegű értesítési kötelezettségeket meg kell szüntetni és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek az adatkezelési műveletek azon típusaira összpontosítanak, amelyek a jellegüknél, hatókörüknél, körülményeiknél és céljaiknál fogva a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal járnak. Az adatkezelési műveletek említett típusai közé tartozhatnak különösen azok, amelyek új technológiákat alkalmaznak, illetve amelyek új fajtájúak, és amelyek esetében az adatkezelő még nem végezte el az adatvédelmi hatásvizsgálatot, vagy amelyek esetében az adatvédelmi hatásvizsgálat az első adatkezelés óta eltelt időre tekintettel vált szükségessé. A természetes személyek jogaira és szabadságaira nézve magas kockázattal járó ilyen esetekben az adatkezelő – annak érdekében, hogy az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve felmérje a magas kockázat különös valószínűségét és súlyosságát – az adatkezelés előtt adatvédelmi hatásvizsgálatot végez. Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.

(48)Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt konzultálni kell az európai adatvédelmi biztossal. Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait. Az európai adatvédelmi biztos meghatározott határidőn belül választ ad a konzultáció iránti megkeresésre. Amennyiben azonban az európai adatvédelmi biztos az említett határidőn belül nem reagál, az nem érinti az európai adatvédelmi biztosnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló bármely beavatkozását, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve. E konzultációs eljárás során lehetővé kell tenni, hogy a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét – és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét – benyújtsák az európai adatvédelmi biztosnak.

(49)Az európai adatvédelmi biztost tájékoztatni kell az uniós intézmények és szervek azon közigazgatási intézkedéseiről és belső szabályairól, amelyek biztosítják a személyes adatok feldolgozását, megállapítják az érintettek jogainak korlátozására vonatkozó feltételeket, illetve megfelelő biztosítékokat nyújtanak az érintettek jogaira vonatkozóan, annak biztosítása érdekében, hogy a tervezett adatfeldolgozás megfeleljen e rendeletnek, és különösen az érintett kockázatainak csökkentése céljából.

(50)Az (EU) 2016/679 rendelet létrehozta az európai adatvédelmi testületet mint jogi személyiséggel rendelkező, független uniós szervet. A testületnek hozzá kell járulnia az (EU) 2016/679 rendelet és az (EU) 2016/680 irányelv következetes alkalmazásához az Unió egész területén, többek a Bizottságnak biztosított tanácsadás révén. Ugyanakkor az európai adatvédelmi biztosnak továbbra is gyakorolnia kell felügyeleti és tanácsadói feladatait valamennyi uniós intézmény és szerv tekintetében, ideértve saját kezdeményezésére vagy kérésre történő fellépéseit is. Az adatvédelmi szabályok Unió-szerte való egységességének biztosítása érdekében kötelezővé kell tenni a Bizottsággal való konzultációt az EUMSZ 289., 290. és 291. cikkében meghatározott jogalkotási aktusok, felhatalmazáson alapuló jogi aktusok és végrehajtási aktusok elfogadását, valamint a harmadik országokkal és nemzetközi szervezetekkel kötendő megállapodásokra vonatkozó ajánlások és javaslatok az EUMSZ 218. cikke szerinti elfogadását követően, amelyek hatással vannak a személyes adatok védeleméhez való jogra. Ilyen esetekben a Bizottság köteles konzultálni az európai adatvédelmi biztossal, kivéve, ha az (EU) 2016/679 rendelet előírja az európai adatvédelmi testülettel folytatandó kötelező konzultációt, például a megfelelőségi határozatok vagy a szabványosított ikonokra vonatkozó felhatalmazáson alapuló jogi aktusok, valamint a tanúsítási mechanizmusokra vonatkozó követelmények esetében. Amennyiben a szóban forgó jogi aktus különös jelentőséggel bír az egyének jogainak és szabadságainak a személyes adatok feldolgozása tekintetében való védelme szempontjából, a Bizottságnak ezen túlmenően lehetőséget kell biztosítani az európai adatvédelmi testülettel való konzultációra. Ezek az esetekben az európai adatvédelmi biztosnak – az európai adatvédelmi testület tagjaként – össze kell hangolnia a munkáját az utóbbiéval azzal a céllal, hogy közös véleményt adjanak ki. Az európai adatvédelmi biztos és adott esetben az európai adatvédelmi testület nyolc héten belül benyújtja írásbeli tanácsát. Sürgős esetben vagy ha az egyéb okokból indokolt – például amikor a Bizottság felhatalmazáson alapuló jogi aktusokat és végrehajtási aktusokat készít – ezt az időkeretet le kell rövidíteni.

(51)Minden egyes uniós intézménynél és szervnél adatvédelmi tisztviselőnek kell biztosítania e rendelet alkalmazását, valamint tanácsokkal kell ellátnia az adatkezelőket és adatfeldolgozókat a kötelezettségeik teljesítésével kapcsolatban. Ennek a tisztviselőnek olyan személynek kell lennie, aki szakértői ismeretekkel rendelkezik az adatvédelmi jog és gyakorlat terén, amelyek szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Az adatvédelmi tisztviselőnek függetlenül és hatékonyan kell ellátnia kötelezettségeit és feladatait.

(52)A személyes adatoknak az uniós intézményektől vagy szervektől harmadik országbeli adatkezelőknek, adatfeldolgozóknak, egyéb címzetteknek vagy nemzetközi szervezetek részére történő továbbítása esetén nem sérülhet a természetes személyeknek az Unióban e rendelettel biztosított védelem szintje, és annak fenn kell maradnia az ilyen személyes adatoknak az adott harmadik országból vagy nemzetközi szervezettől ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőnek, adatfeldolgozónak vagy nemzetközi szervezetnek történő újbóli továbbítása esetén is. A harmadik országokba és a nemzetközi szervezetekhez való továbbítás csak e rendelet teljes betartása mellett hajtható végre. A továbbításra akkor kerülhet csak sor, ha az adatkezelő vagy az adatfeldolgozó – e rendelet egyéb rendelkezéseire is figyelemmel – teljesíti az harmadik országok vagy nemzetközi szervezeteknek történő adattovábbításra vonatkozó, e rendeletben meghatározott feltételeket.

(53)A Bizottság az (EU) 2016/679 rendelet 45. cikke értelmében eldöntheti, hogy valamely harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja-e a megfelelő szintű adatvédelmet. Amennyiben igen, az uniós intézmények és szervek minden további engedély beszerzése nélkül továbbíthatják a személyes adatokat az említett országokba vagy nemzetközi szervezetek részére.

(54)Megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról. Ezek a megfelelő garanciák magukban foglalhatják a Bizottság által elfogadott általános adatvédelmi kikötések, az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötések vagy az európai adatvédelmi biztos által engedélyezett szerződési feltételek alkalmazását. Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, ezek a megfelelő biztosítékok az (EU) 2016/679 rendelet szerinti nemzetközi adattovábbításhoz használt kötelező erejű vállalati szabályokat, magatartási kódexeket és tanúsítási mechanizmusokat is magukban foglalhatnak. A garanciák biztosítják az adatvédelmi követelményeknek való megfelelést és az érintettek számára az Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat , beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe és kártérítést igényelhessenek az Unióban vagy egy harmadik országban. A garanciák különösen a személyes adatok kezelésre vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak. Adattovábbítást az uniós intézmények és szervek harmadik országbeli közigazgatási szervek vagy hasonló feladatot vagy funkciókat ellátó nemzetközi szervezetek felé is végezhetnek, többek között a közigazgatási megállapodásokba – például egyetértési megállapodás formájában – beillesztendő, az érintetteknek tényleges és érvényesíthető jogokat biztosító rendelkezések alapján. Az európai adatvédelmi biztos engedélyét be kell szerezni abban az esetben, ha a garanciákat olyan közigazgatási megállapodások tartalmazzák, amelyek jogilag nem kötelező erejűek.

(55)Az a lehetőség, miszerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötéseket, nem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezeket , sem pedig azt, hogy további rendelkezéseket vagy garanciákat adjon hozzájuk, feltéve hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

(56)Néhány harmadik ország olyan törvényeket, rendeleteket és más jogszabályokat fogad el, amelyek jogot formálnak az uniós intézmények és szervek által végzett adatkezelési tevékenységek közvetlen szabályozására. Idetartoznak a harmadik országok bíróságai és törvényszékei által hozott ítéletek, valamint közigazgatási hatóságai által hozott döntések, amelyek valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írják elő, és amelyek nem egy olyan hatályos nemzetközi megállapodáson alapulnak, amely a megkereső harmadik ország és az Unió között jött létre. E törvények, rendeletek és más jogszabályok országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja a természetes személyeknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, ha az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor állhat fenn, ha az adatközlés az uniós jogban elismert fontos közérdekből szükséges.

(57)Különleges helyzetekben, ha az érintett kifejezett hozzájárulását adta, az adatok továbbítását bizonyos körülmények esetén lehetővé kell tenni, ha az adattovábbítás alkalomszerű, és valamely szerződéssel vagy jogi igénnyel kapcsolatban válik szükségessé, függetlenül attól, hogy a szerződés teljesítésére vagy a jogi igény érvényesítésére bírósági eljárás, illetve közigazgatási vagy egyéb nem bírósági útra tartozó eljárás keretében kerül-e sor, ideértve a szabályozói szervek előtt zajló eljárásokat is. Szintén lehetővé kell tenni az adatok továbbítását, ha azt az uniós jogban megállapított fontos közérdek védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánosság vagy az e tekintetben jogos érdekkel rendelkezők általi betekintés biztosítása. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő személye adatok vagy adatkategóriák összességére – kivéve ha arra az uniós jog felhatalmazást ad –, és ha a nyilvántartás célja a jogos érdekkel rendelkező személyek általi betekintés biztosítása, a nekik való továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy akkor, ha ők a címzettek, teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait.

(58)Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például az uniós intézmények és szervek, illetve a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyeleti hatóságok és a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere érdekében, például fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése vagy a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából. A személyes adatok továbbítása hasonlóképpen jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni. Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriába tartozó adatoknak valamely harmadik országba vagy nemzetközi szervezet részére történő továbbítását. Ha a genfi egyezmények által előírt feladat elvégzése, illetve a nemzetközi humanitárius jog fegyveres konfliktus esetén alkalmazandó rendelkezéseinek történő megfelelés alapján valamely nemzetközi humanitárius szervezet számára olyan érintett személyes adatait továbbítják, akinek fizikailag vagy jogilag nem áll módjában a hozzájárulás megadása, erre úgy lehet tekinteni, mint ami fontos közérdekből vagy az érintett létfontosságú érdeke védelmében szükséges.

(59)Ha a Bizottság az adott harmadik ország viszonylatában nem hozott határozatot a harmadik ország adatvédelemi szintjéről, az adatkezelő vagy az adatfeldolgozó olyan megoldásokhoz folyamodhat, amelyek az érintettek számára olyan tényleges és érvényesíthető jogokat garantálnak, hogy az érintettek az adattovábbítást követően is élvezhetik az őket megillető alapvető jogokat és garanciákat.

(60)A személyes adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti. Ugyanakkor előfordulhat, hogy az uniós felügyeleti hatóságok – ideértve az európai adatvédelmi biztost – nem tudnak joghatóságukon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni. A határokon átnyúló összefüggésben tett erőfeszítéseiket az elégtelen megelőzési vagy jogorvoslati hatáskör, az egymásnak ellentmondó jogrendszerek, valamint olyan gyakorlati akadályok is hátráltathatják, mint a források korlátozott volta. Ezért elő kell mozdítani az európai adatvédelmi biztos és az egyéb adatvédelmi felügyeleti hatóságok közötti szorosabb együttműködést a nemzetközi partnereikkel való információcsere elősegítése érdekében.

(61)A 45/2001/EK rendelet által bevezetett európai adatvédelmi biztos a természetes személyek személyes adatainak kezelésével összefüggésben fennálló védelem alapvető alkotóeleme, aki a feladatai ellátása és hatáskörei gyakorlása során teljes függetlenséget élvez. E rendeletnek tovább erősíti és egyértelművé teszi az európai adatvédelmi biztos szerepét és függetlenségét.

(62)Az adatvédelmi szabályok Unió-szerte következetes ellenőrzésének és érvényesítésének biztosítása érdekében az európai adatvédelmi biztosnak ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell rendelkeznie, mint a tagállamok felügyeleti hatóságainak, ideértve a vizsgálati hatáskört, a korrekciós hatásköröket és a szankciókat, az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszai esetében, valamint az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén az Európai Unió Bíróságához forduljanak, és bírósági eljárást kezdeményezzenek az elsődleges joggal összhangban. E hatáskörök magukban foglalják az adatkezelés átmeneti vagy végleges korlátozását, ideértve az adatkezelés tilalmának elrendelésére vonatkozó jogosultságot. Annak elkerülésére, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon, az európai adatvédelmi biztos valamennyi intézkedésének megfelelőnek, szükségesnek és arányosnak kell lennie az e rendeletnek való megfelelés biztosítása érdekében, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben tartva azt, hogy minden személynek joga van ahhoz, hogy az egyedi intézkedés meghozatala előtt meghallgassák. Az európai adatvédelmi biztos minden jogilag kötelező erejű intézkedését írásban hozza meg, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetnie rajta az intézkedés meghozatalának időpontját, el kell látnia azt az aláírásával, indokolni kell és hivatkozni kell benne a hatékony jogorvoslathoz való jogra.

(63)Az európai adatvédelmi biztos e rendelet szerint meghatározott, adatfeldolgozási műveletekre vonatkozó mentességekkel, garanciákkal, engedélyekkel és feltételekkel kapcsolatos döntéseit a tevékenységről szóló jelentésben kell közzétenni. Az éves tevékenységi jelentés közzétételétől függetlenül az európai adatvédelmi biztos konkrét témákban jelentéseket tehet közzé.

(64)A nemzeti felügyeleti hatóságok figyelemmel kísérik az (EU) 2016/679 rendelet alkalmazását és hozzájárulnak annak Unió-szerte történő végrehajtásához annak érdekében, hogy védjék a természetes személyeket a személyes adataik kezelésével kapcsolatosan, valamint biztosítsák a személyes adatok belső piacon belüli szabad áramlását. A tagállamokban alkalmazandó, és az uniós intézményekre és szervekre vonatkozó adatvédelmi szabályok következetes alkalmazása érdekében az európai adatvédelmi biztosnak hatékonyan együtt kell működnie a nemzeti felügyeleti hatóságokkal.

(65)Bizonyos esetekben az uniós jog biztosítja az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok közötti közös koordinált felügyelet modelljét. Ezen túlmenően az európai adatvédelmi biztos az Europol felügyeleti hatósága, és a nemzeti felügyeleti hatóságokkal való együttműködés sajátos modellje, amely egy tanácsadó funkcióval rendelkező együttműködési testület révén jön létre. Az anyagi adatvédelmi szabályok hatékony felügyeletének és érvényesítésének javítása érdekében egységes, következetes és összehangolt felügyeleti modellt kell bevezetni az Unióban. A Bizottságnak ezért adott esetben jogalkotási javaslatokat kell előterjesztenie az összehangolt felügyelet modelljét biztosító uniós jogi aktusok módosítása céljából, annak érdekében, hogy összhangba hozza azokat az összehangolt felügyelet e rendelet szerinti modelljével. A hatékony összehangolt felügyelet általános érvényesülésének biztosítása céljából az Európai Adatvédelmi Testület alkalmazandó egyedüli fórumként.

(66)Minden érintett jogosult arra, hogy panaszt tegyen az európai adatvédelmi biztosnál, és a Szerződésekkel összhangban hatékony bírósági jogorvoslattal éljen az Európai Unió Bírósága előtt, amennyiben úgy ítéli meg, hogy az e rendelet alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha az európai adatvédelmi biztos nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne. A panaszt követő vizsgálatot – amely bírósági felülvizsgálat tárgyát képezheti – a konkrét esethez szükséges mértékben kell lefolytatni. Az európai adatvédelmi biztosnak észszerű határidőn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy egy másik nemzeti felügyeleti hatósággal való további együttműködést tesz szükségessé, az érintettet időközben tájékoztatni kell. A panaszok benyújtásának megkönnyítése érdekében az európai adatvédelmi biztos intézkedéseket tesz, például olyan panasztételi formanyomtatványt biztosít, amely elektronikus úton is kitölthető, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(67)Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért a Szerződésben foglalt feltételek szerint az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(68)Az európai adatvédelmi biztos felügyeleti szerepének és e rendelet hatékony végrehajtásának megerősítése érdekében az európai adatvédelmi biztosnak – végső megoldásként – lehetősége van arra, hogy közigazgatási bírságokat szabjon ki. A bírságoknak arra kell irányulniuk, hogy az e rendelet megsértésének megakadályozása, valamint az Unió intézményein és szervein belül a személyes adatok védelme kultúrájának előmozdítása érdekében e rendelet megsértéséért az intézményt vagy szervet, és ne az egyéneket szankcionálják. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjai. A közigazgatási bírságot az egyes esetekben az európai adatvédelmi biztos állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Közigazgatási bírság uniós szervre történő kiszabásakor az európai adatvédelmi biztosnak meg kell vizsgálnia a bírság összegének arányosságát. Az uniós intézményekre és szervekre kiszabott pénzbírságokra vonatkozó közigazgatási eljárás során tiszteletben kell tartani az uniós jognak az Európai Unió Bírósága által értelmezett általános elveit.

(69)Ha az érintett úgy ítéli meg, hogy az ez rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, a személyes adatok védelmével foglalkozó, az alapszabályában rögzített közérdekű célokat szolgáló, az uniós jognak vagy a tagállami jognak megfelelően létrehozott nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be az európai adatvédelmi biztosnál. Az ilyen szerv, szervezet vagy egyesület jogosult a bírósági jogorvoslathoz való jogot, illetve a kártérítéshez való jogot gyakorolni, ha ez utóbbit a tagállami jog biztosítja.

(70)Az Unió azon tisztviselője vagy alkalmazottja ellen, aki nem teljesíti az e rendeletben foglalt kötelezettségeket, az Európai Unió tisztviselőinek személyzeti szabályzatában vagy az Európai Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételekben megállapított szabályokkal és eljárásokkal összhangban fegyelmi vagy bármely más intézkedés foganatosítható.

(71)E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni, ha e rendelet úgy rendelkezik. E hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek 16 megfelelően kell gyakorolni. A vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és az adatfeldolgozók közötti, valamint az adatfeldolgozók közötti általános szerződési feltételek elfogadására, azon adatkezelési műveletek jegyzékének elfogadására, amelyek esetében az adatkezelőknek előzetes konzultációt kell folytatniuk az európai adatvédelmi biztossal közérdekű feladat ellátása érdekében, valamint a nemzetközi adattovábbításhoz megfelelő biztosítékokat nyújtó általános szerződési feltételek elfogadására.

(72)Az uniós és a nemzeti statisztikai hatóságok által a hivatalos uniós és a hivatalos nemzeti statisztikák készítéséhez gyűjtött bizalmas adatokat védeni kell. Az uniós statisztikákat az EUMSZ 338. cikkének (2) bekezdésében foglalt statisztikai elveknek megfelelően kell kidolgozni, elkészíteni és terjeszteni. A 223/2009/EK európai parlamenti és tanácsi rendelet 17 további konkrét rendelkezéseket határoz meg az uniós statisztikákra vonatkozó titoktartási kötelezettségekről.

(73)A 45/2001/EK rendeletet és az 1247/2002/EK határozatot hatályon kívül kell helyezni A hatályát vesztett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.

(74)A független felügyeleti hatóság tagjai teljes függetlenségének biztosítása érdekében ez a rendelet nem érinti a jelenlegi európai adatvédelmi biztos és a jelenlegi helyettes biztos megbízatását. A jelenlegi helyettes biztos kitölti hivatali idejét, kivéve, ha az európai adatvédelmi biztos megbízatása e rendeletben meghatározott idő előtti megszűnésére vonatkozó feltételek egyike teljesül. E rendelet a helyettes biztosra vonatkozó rendelkezéseit hivatali ideje lejártáig alkalmazandók.

(75)Az arányosság elvének megfelelően szükséges és helyénvaló a természetes személyek azonos szintű védelmére és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó alapvető célkitűzés elérése érdekében a személyes adatok uniós intézményekben és szervekben történő feldolgozására vonatkozó szabályokat megállapítani. E rendelet az Európai Unióról szóló szerződés 5. cikkének (4) bekezdésével összhangban nem lépi túl a kitűzött cél eléréséhez szükséges mértéket.

(76)Az európai adatvédelmi biztossal a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban konzultációt folytattak; a biztos […]-án/-én nyilvánított véleményt.

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Általános rendelkezések

(1)Ez a rendelet a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek által történő feldolgozása tekintetében a természetes személyek védelemére vonatkozó szabályokat, valamint a személyes adatok ezen intézmények, szervek, hivatalok és ügynökségek közötti, vagy Unión belüli címzetthez irányuló szabad áramlására vonatkozó szabályokat állapít meg, összhangban az (EU) 2016/679 rendelettel 18 vagy az (EU) 2016/680 irányelv 19 alapján elfogadott nemzeti jogszabályok rendelkezéseivel.

(2)Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

(3)Az európai adatvédelmi biztos figyelemmel kíséri e rendelet rendelkezéseinek uniós intézmény vagy szerv által végzett valamennyi feldolgozási műveletre történő alkalmazását.

2. cikk

Alkalmazási kör

(1)E rendeletet kell alkalmazni a személyes adatok bármely uniós intézmény és szerv által történő feldolgozására, ha a feldolgozás részben vagy teljes egészében az uniós jog hatálya alá tartozó tevékenységek gyakorlása során történik.

(2)E rendeletet kell alkalmazni a személyes adatok részben vagy teljes egészében automatizált módon történő feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni.

3. cikk

Fogalommeghatározások

(1)E rendelet alkalmazásában az alábbi fogalommeghatározások alkalmazandók:

a)az (EU) 2016/679 rendelet fogalommeghatározásai, a rendelet 4. cikkének 7. pontjában szereplő „adatkezelő” meghatározásának kivételével;

b) az „elektronikus kommunikáció” meghatározása az (z) XX/XXXX/EU rendelet [az elektronikus hírközlési adatvédelmi rendelet] 4. cikke (2) bekezdésének a) pontjában;

c) az „elektronikus hírközlő hálózat” és a „végfelhasználó” meghatározása a(z) 00/0000/EU irányelv [az európai elektronikus hírközlési szabályzat létrehozásáról szóló irányelv] 2. cikkének 1) és 14) pontjában;

d) a „végberendezések” meghatározása a 2008/63/EK bizottsági irányelv 20 1. cikkének 1) pontjában.

(2)Ezenfelül e rendelet alkalmazásában az alábbi fogalommeghatározásokat is alkalmazni kell:

a)„uniós intézmények és szervek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés vagy az Euratom-szerződés által vagy azok alapján létrehozott uniós intézmények, szervek, hivatalok és ügynökségek;

b)„adatkezelő”: az az uniós intézmény, szerv, hivatal, ügynökség, főigazgatóság vagy bármely más szervezeti jogalany, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha az adatkezelés céljait és eszközeit egy konkrét uniós jogi aktus határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog is meghatározhatja;

c)„felhasználó”: olyan természetes személy, aki valamely uniós intézmény vagy szerv ellenőrzése mellett üzemeltetett hálózati vagy végberendezést használ;

d)„nyilvántartás”: valamely uniós intézményen vagy szerven belül rendelkezésre álló, illetve uniós intézmények és szervek – nyomtatott vagy elektronikus formában – rendelkezésre álló, nyilvánosan hozzáférhető nyilvántartás vagy felhasználók belső jegyzéke.

II. FEJEZET

ELVEK

4. cikk

A személyes adatok kezelésére vonatkozó elvek

(1)A személyes adatok:

a)kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b)gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok további feldolgozására nem kerülhet sor ezekkel a célokkal össze nem egyeztethető módon; 13. cikknek megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c)az adatkezelés céljai szempontjából megfelelőek és relevánsak, és a szükségesre korlátozódnak („adattakarékosság”);

d)pontosak, és ha szükséges, időszerűek legyenek; minden észszerű intézkedést meg kell tenni annak érdekében, hogy a hibás vagy hiányos adatok, tekintettel gyűjtésük vagy további kezelésük céljaira, késedelem nélkül törlésre vagy helyesbítésre kerüljenek („pontosság”);

e)tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljából szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak annyiban kerülhet sor, amennyiben a személyes adatok kezelésére a 13. cikk bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f)kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

(2)Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

5. cikk

Az adatkezelés jogszerűsége

(1)A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)az adatkezelés közérdekű vagy az uniós intézményre vagy szervre ruházott közhatalmi jogosítvány alapján vagy gyakorlásának keretében végzett feladat végrehajtásához szükséges;

b)az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

c)az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

d)az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

e)az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

(2)Az (1) bekezdés a) pontjában említett feladatokat az uniós jog határozza meg.

6. cikk

Más összeegyeztethető célból történő feldolgozás

Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 25. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a)a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c)a személyes adatok jellegét, különösen pedig azt, hogy a 10. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 11. cikk szerinti kezeléséről van-e szó;

d)azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

7. cikk

A hozzájárulás feltételei

(1)Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett hozzájárult a személyes adatainak kezeléséhez.

(2)Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

(3)Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(4)Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

8. cikk

A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában

(1)Ha az 5. cikk (1) bekezdésének d) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 13. életévét betöltötte. A 13. életévét be nem töltött gyermek esetében a személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

(2)Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

(3)Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.

9. cikk

Személyes adatok továbbítása az Unióban letelepedett és az (EU) 2016/679 rendelet vagy az (EU) 2016/680 irányelv hatálya alá tartozó, az uniós intézményektől és szervektől eltérő címzetteknek

(1)A 4., 5., 6. és 10. cikk sérelme nélkül, a személyes adatok csak akkor továbbíthatók az Unióban székhellyel rendelkező és az (EU) 2016/679 rendelet vagy az (EU) 2016/680 irányelv alapján elfogadott nemzeti jog hatálya alá tartozó címzettek számára, ha a címzett igazolja, hogy:

a)az adatok közérdekből elvégzendő feladat ellátásához vagy a közhatalom gyakorlásához szükségesek, vagy

b)szükség van az adatok továbbítására, a továbbított adatok a továbbítás céljával arányosak, és nincs ok azt feltételezni, hogy az érintett jogai, szabadságai és jogos érdekei sérülnének.

(2)Amennyiben az e cikk szerinti továbbítás az adatkezelő kezdeményezésére történik, az adatkezelőnek bizonyítania kell, hogy a személyes adatok továbbítása az (1) bekezdés a) vagy b) pontjában meghatározott feltételek alkalmazásával a továbbítás céljához szükséges és azzal arányos.

10. cikk

A személyes adatok különleges kategóriáinak kezelése

(1)A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2)Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)az érintett kifejezett hozzájárulását adta az említett adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával; vagy

b)az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós jog ezt lehetővé teszi; vagy

c)az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d)az adatkezelés valamely uniós intézménybe vagy szervbe integrált nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében és valamely politikai, világnézeti, vallási vagy szakszervezeti célból történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)az adatkezelés olyan adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor az Európai Unió Bírósága igazságszolgáltatási feladatkörében jár el; vagy

g)az adatkezelés jelentős közérdek miatt szükséges, uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

h)az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

i)az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és az adatkezelés olyan uniós jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

j)az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

(3)Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós jogban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll.

11. cikk

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 5. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós jog – amely magában foglalhat belső szabályokat is – lehetővé teszi.

12. cikk

Azonosítást nem igénylő adatkezelés

(1)Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

(2)Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről őt lehetőség szerint megfelelő módon tájékoztatja. Ilyen esetekben a 17–22. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

13. cikk

A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák

A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.

III. FEJEZET

AZ ÉRINTETT JOGAI

1. SZAKASZ

ÁTLÁTHATÓSÁG ÉS INTÉZKEDÉSEK

14. cikk

Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

(1)Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 15. és a 16. cikkben említett valamennyi információt és a 17–24. és 38. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2)Az adatkezelő elősegíti az érintett 17–24. cikk szerinti jogainak a gyakorlását. A 12. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 17–24. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

(3)Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 17–24. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4)Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, és élhet bírósági jogorvoslati jogával.

(5)A 15. és 16. cikk szerinti információkat és a 17–24. és 38. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő megtagadhatja a kérelem teljesítését.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(6)A 12. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 17–23. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(7)Az érintett részére a 15. és 16. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.

(8)Amennyiben a Bizottság az (EU) 2016/679 rendelet 12. cikkének (8) bekezdése értelmében felhatalmazáson alapuló jogi aktusokat fogad el az ikonok által feltüntetendő információk meghatározásáról, valamint a szabványosított ikonok benyújtására vonatkozó eljárásokról, az uniós intézmények és szervek adott esetben a 15–16. cikk szerinti információkat az ilyen szabványosított ikonokkal együtt adják meg.

2. SZAKASZ

TÁJÉKOZTATÁS ÉS SZEMÉLYES ADATOKHOZ VALÓ HOZZÁFÉRÉS

15. cikk

Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik

(1)Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a)az adatkezelő személye és elérhetőségei;

b)az adatvédelmi tisztviselő elérhetőségei;

c)a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

e)adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 49. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2)Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és adott esetben azon joga, hogy tiltakozhat az ilyen személyes adatok kezelése ellen, vagy az érintett adathordozhatósághoz való joga;

c)az 5. cikk (1) bekezdésének d) pontján vagy a 10. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d)az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;

e)az a tény, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f)a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.

(3)Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4)Az (1), (2) és (3) bekezdés nem alkalmazandó, amennyiben és amilyen mértékben az érintett már rendelkezik az információkkal.

16. cikk

Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

(1)Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a)az adatkezelő személye és elérhetőségei;

b)az adatvédelmi tisztviselő elérhetőségei;

c)a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)az érintett személyes adatok kategóriái;

e)a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f)adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 49. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2)Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a)a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

d)az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;

e)a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

f)a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3)Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

a)a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b)ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c)ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

(4)Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5)Az (1)–(4) bekezdés nem alkalmazandó, amennyiben és amilyen mértékben:

a)az érintett már rendelkezik az információkkal;

b)a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;

c)az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós jog; vagy

d)a személyes adatoknak valamely uniós jogban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia.

17. cikk

Az érintett hozzáférési joga

(1)Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a)az adatkezelés céljai;

b)az érintett személyes adatok kategóriái;

c)azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d)adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f)az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;

g)ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h)a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2)Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 49. cikk szerinti megfelelő garanciákról.

(3)Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4)A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

3. SZAKASZ

HELYESBÍTÉS ÉS TÖRLÉS

18. cikk

A helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

19. cikk

A törléshez való jog („az elfeledtetéshez való jog”)

(1)Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)az érintett visszavonja a 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)az érintett a 23. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

d)a személyes adatokat jogellenesen kezelték;

e)a személyes adatokat az adatkezelőre alkalmazandó előírt jogi kötelezettség teljesítéséhez törölni kell;

f)a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2)Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

(3)Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés az alábbiak céljából szükséges:

a)a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása;

b)az adatkezelőre alkalmazandó kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása;

c)a 10. cikk (2) bekezdése h) és i) pontjának, valamint a 10. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d)közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e)jogi igények előterjesztése, érvényesítése, illetve védelme.

20. cikk

Az adatkezelés korlátozásához való jog

(1)Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a)az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát, ideértve azok teljességét;

b)az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c)az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

d)az érintett a 23. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

(2)Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

(3)Az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést.

(4)Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel biztosítják. A személyes adatok korlátozásának tényét a rendszerben olyan módon kell feltüntetni, amelyből egyértelmű, hogy az adatok nem használhatók fel.

21. cikk

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat a 18. cikk, a 19. cikk (1) bekezdése, illetve a 20. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

22. cikk

Az adathordozhatósághoz való jog

(1)Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a)az adatkezelés a 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 5. cikk (1) bekezdésének c) pontja szerinti szerződésen alapul; és

b)az adatkezelés automatizált módon történik.

(2)Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

(3)Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 19. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

(4)Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.

4. SZAKASZ

A TILTAKOZÁSHOZ VALÓ JOG ÉS AUTOMATIZÁLT DÖNTÉSHOZATAL EGYEDI ÜGYEKBEN

23. cikk

A tiltakozáshoz való jog

(1)Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az 5. cikk (1) bekezdésének a) pontján alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2)Az (1) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

(3)A 34. és 35. cikk sérelme nélkül az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

(4)Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

24. cikk

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

(1)Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2)Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

a)az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b)meghozatalát olyan uniós jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c)az érintett kifejezett hozzájárulásán alapul.

(3)A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4)A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 10. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 10. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

5. SZAKASZ

KORLÁTOZÁSOK

25. cikk

Korlátozások

(1)A Szerződések alapján elfogadott jogi aktusok, vagy az uniós intézmények vagy szervek működéséhez kapcsolódó ügyekben e szervek által előírt belső szabályok korlátozhatják a 14–22. cikkben, a 34. és a 38. cikkben foglalt, valamint a 14–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 4. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a)a tagállamok nemzetbiztonsága, közbiztonsága vagy honvédelme;

b)bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

c)az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

d)az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlő hálózatokat is;

e)a bírói függetlenség és a bírósági eljárások védelme;

f)a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

g)az a)–c) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

h)az érintett védelme vagy mások jogainak és szabadságainak védelme;

i)polgári jogi követelések érvényesítése.

(2)Amennyiben valamely korlátozásról nem a Szerződések alapján elfogadott jogi aktus vagy az (1) bekezdés szerinti belső szabály rendelkezik, az uniós intézmények vagy szervek korlátozhatják a 14–22. cikkben, a 34. és a 38. cikkben foglalt, valamint a 14–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 4. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, konkrét adatkezeléshez kapcsolódik, valamint az (1) bekezdés szerinti egy vagy több célkitűzés védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban. A korlátozásról értesíteni kell az adatvédelmi tisztviselőt.

(3)Ha a személyes adatok kezelése tudományos és történelmi kutatási célból vagy statisztikai célból történik, az uniós jog – amely alatt akár belső szabályok is értendők – a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., 18., 20. és 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják az adott célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(4)Ha a személyes adatok kezelése közérdekű archiválás céljából történik, az uniós jog – amely alatt akár belső szabályok is értendők – a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., 18., 20., 21., 22. és 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják az adott célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(5)Az (1), (3) és (4) bekezdésben említett belső szabályoknak kellően világosnak és pontosnak kell lenniük, és megfelelő módon közzé kell tenni azokat.

(6)Ha az (1) vagy a (2) bekezdésben foglaltak szerint korlátozásra kerül sor, az érintettet tájékoztatni kell – az uniós joggal összhangban – a korlátozás alkalmazásának fő okairól, és arról, hogy joga van panasszal fordulni az európai adatvédelmi biztoshoz.

(7)Ha az (1) vagy a (2) bekezdésben foglaltak szerint bevezetett korlátozás alapján megtagadják az érintettől a betekintést, az európai adatvédelmi biztos – a panasz kivizsgálásakor – a jogosultat csak arról tájékoztatja, hogy az adatot szabályszerűen dolgozták-e fel, és ha nem, akkor történt-e helyesbítés.

(8)A (6) és (7) bekezdésben, valamint a 46. cikk (2) bekezdésében említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az (1) vagy (2) bekezdés alapján elrendelt korlátozás hatását.

IV. FEJEZET

AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ

1. SZAKASZ

ÁLTALÁNOS KÖTELEZETTSÉGEK

26. cikk

Az adatkezelő feladatai

(1)Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2)Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

27. cikk

Beépített és alapértelmezett adatvédelem

(1)Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2)Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

28. cikk

Közös adatkezelők

(1)Amennyiben egy uniós intézmény vagy szerv egy vagy több olyan adatkezelővel együtt, amelyek lehetnek akár uniós intézmények vagy szervek, akár egyebek, közösen határozzák meg a feldolgozás céljait és eszközeit, közös adatkezelőnek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 15. és a 16. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2)Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3)Az érintett egy vagy több közös adatkezelő vonatkozásában vagy velük szemben gyakorolhatja az e rendelet szerinti jogait, figyelembe véve azoknak az (1) bekezdésben említett megállapodás feltételeiben meghatározott szerepét.

29. cikk

Az adatfeldolgozó

(1)Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2)Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3)Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a)a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)meghozza a 33. cikkben előírt intézkedéseket;

d)tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;

e)az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)segíti az adatkezelőt a 33–40. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;

h)az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

(4)Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5)Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 40. cikkének (5) bekezdése szerinti jóváhagyott magatartási kódexekhez vagy az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozása felhasználható annak bizonyítása részeként, hogy biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.

(6)Az adatkezelő és az adatfeldolgozó közötti bármely egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek az (EU) 2016/679 rendelet 42. cikke alapján az uniós intézménytől vagy szervtől eltérő adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.

(7)A Bizottság – a 70. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8)Az európai adatvédelmi biztos általános szerződési feltételeket fogadhat el a (3) és (4) bekezdésben foglaltakra vonatkozóan.

(9)A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10)A 65. és 66. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

30. cikk

Az adatkezelő és az adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

31. cikk

Az adatkezelési tevékenységek nyilvántartása

(1)Minden adatkezelő nyilvántartást vezet a felelősségébe tartozóan végzett adatkezelési tevékenységekről. E nyilvántartás a következő információkat tartalmazza:

a)az adatkezelő, az adatvédelmi tisztviselő, valamint – ha van ilyen – az adatfeldolgozó és a közös adatkezelő tisztviselő neve és elérhetősége;

b)az adatkezelés céljai;

c)az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

d)olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

e)adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

f)ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)ha lehetséges, a 33. cikkben említett technikai és szervezési intézkedések általános leírása.

(2)Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

a)az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, minden olyan adatkezelő neve és elérhetősége, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá az adatvédelmi tisztviselő neve és elérhetőségei;

b)az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

d)ha lehetséges, a 33. cikkben említett technikai és szervezési intézkedések általános leírása.

(3)Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4)Az uniós intézmények és szervek a nyilvántartást megkeresés esetén az európai adatvédelmi biztos rendelkezésére bocsátják.

(5)Az uniós intézmények és szervek dönthetnek úgy, hogy adatkezelési tevékenységeikről szóló nyilvántartásaikat központi nyilvántartásban vezetik. Ebben az esetben dönthetnek úgy is, hogy a nyilvántartást nyilvánosan hozzáférhetővé teszik.

32. cikk

Együttműködés az európai adatvédelmi biztossal

Az uniós intézmények és szervek megkeresésre együttműködnek az európai adatvédelmi biztossal a feladatai ellátása során.

2. SZAKASZ

A SZEMÉLYES ADATOK BIZTONSÁGA ÉS AZ ELEKTRONIKUS KOMMUNIKÁCIÓ BIZALMAS JELLEGE

33. cikk

Az adatkezelés biztonsága

(1)Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a)a személyes adatok álnevesítését és titkosítását;

b)a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c)fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d)az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2)A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3)Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós jog kötelezi őket.

34. cikk

Az elektronikus kommunikáció bizalmas jellege

Az uniós intézmények és szervek biztosítják az elektronikus kommunikáció bizalmas jellegét, különösen az elektronikus kommunikációs hálózataik biztonságossá tétele révén.

35. cikk

A végfelhasználói végberendezésekkel kapcsolatos információk védelme

Az uniós intézmények és szervek az (z) XX/XXXX/EU rendelettel [új elektronikus hírközlési adatvédelmi rendelet] és különösen annak 8. cikkével összhangban védik a végfelhasználóknak a nyilvánosan elérhető weboldalaikhoz és mobil alkalmazásaikhoz hozzáférő végfelhasználói végberendezésekkel kapcsolatos információit.

36. cikk

Felhasználói névjegyzékek

(1)A felhasználók névjegyzékeiben tárolt személyes adatok körét és az ilyen jegyzékekhez való hozzáférést a jegyzék konkrét céljához feltétlenül szükségesre kell korlátozni.

(2)Az uniós intézmények és szervek minden szükséges intézkedést megtesznek annak érdekében, hogy megakadályozzák az említett névjegyzékekben szereplő személyes adatok közvetlen üzletszerzés céljára történő felhasználását, függetlenül attól, hogy az adatok a nyilvánosság számára hozzáférhetők-e vagy sem.

37. cikk

Az adatvédelmi incidens bejelentése az európai adatvédelmi biztosnak

(1)Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2)Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3)Az (1) bekezdésben említett bejelentésben legalább:

a)ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit;

c)ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d)ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4)Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5)Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt az adatvédelmi incidensről.

(6)Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikk követelményeinek való megfelelést.

38. cikk

Az érintett tájékoztatása az adatvédelmi incidensről

(1)Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

(2)Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 37. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

(3)Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

a)az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b)az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c)a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

(4)Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

3. SZAKASZ

ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

39. cikk

Adatvédelmi hatásvizsgálat

(1)Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek hogyan érintik a személyes adatok védelmét. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2)Az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor kikéri az adatvédelmi tisztviselő szakmai tanácsát.

(3)Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

a)természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)a 10. cikkben említett személyes adatok különleges kategóriáinak, vagy a 11. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak nagy számban történő kezelése; vagy

c) nyilvános helyek kiterjedt, módszeres megfigyelése.

(4)Az európai adatvédelmi biztos összeállítja és nyilvánosságra hozza az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni.

(5)Az európai adatvédelmi biztos összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

(6)A hatásvizsgálat kiterjed legalább:

a)a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére;

b)az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

c)az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

d)a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

(7)Az adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó, az uniós intézményektől és szervektől eltérő adatfeldolgozók teljesítik-e az (EU) 2016/679 rendelet 40. cikkében említett jóváhagyott magatartási kódexek előírásait.

(8)Az adatkezelő adott esetben – a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(9)Ha az 5. cikk (1) bekezdésének a) vagy b) pontja szerinti adatkezelés jogalapját a Szerződések alapján elfogadott jogi aktus írja elő, és e jogi aktus a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogi aktus elfogadása előtt egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(6) bekezdést nem kell alkalmazni, az uniós jog eltérő rendelkezését kivéve.

(10)Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

40. cikk

Előzetes konzultáció

(1)Az adatkezelő az adatkezelési tevékenység előtt konzultál az európai adatvédelmi biztossal, ha a 39. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon. Az adatkezelő kikéri az adatvédelmi tisztviselő szakmai tanácsát az előzetes konzultáció szükségességéről.

(2)Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az európai adatvédelmi biztos az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 59. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az európai adatvédelmi biztos a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt és adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg az európai adatvédelmi biztos nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3)Az adatkezelő az európai adatvédelmi biztossal az (1) bekezdés alapján folytatott konzultáció során tájékoztatja az európai adatvédelmi biztost a következőkről:

a)adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről;

b)a tervezett adatkezelés céljairól és módjairól;

c)az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

d)az adatvédelmi tisztviselő elérhetőségeiről;

e)a 39. cikk szerinti adatvédelmi hatásvizsgálatról; és

f)az európai adatvédelmi biztos által kért bármely egyéb információról.

(4)A Bizottság végrehajtási jogi aktusban meghatározhatja azon esetek jegyzékét, amelyekben az adatkezelőknek konzultálniuk kell a felügyeleti hatósággal, és be kell szerezniük az európai adatvédelmi biztos előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

4. SZAKASZ

TÁJÉKOZTATÁS ÉS JOGALKOTÁSI KONZULTÁCIÓ

41. cikk

Tájékoztatás

Az uniós intézmények és szervek értesítik az európai adatvédelmi biztost azoknak a közigazgatási intézkedéseknek a kidolgozása esetén, amelyek egy uniós intézmény vagy szerv által önállóan végzett, vagy több uniós intézmény vagy szerv közös közreműködésével történő személyesadat-feldolgozásra vonatkoznak.

42. cikk

Jogalkotási konzultáció

(1)A Bizottság konzultál az európai adatvédelmi biztossal az olyan jogalkotási aktusra vonatkozó javaslatok és az EUMSZ 218. cikke szerinti, a Tanácshoz intézett ajánlások vagy javaslatok elfogadását követően, valamint az olyan felhatalmazáson alapuló jogi aktusok vagy végrehajtási jogi aktusok előkészítése során, amelyek a személyes adatok feldolgozása tekintetében érintik az egyének jogainak és szabadságainak védelmét.

(2)Amennyiben az (1) bekezdésben említett jogi aktus különös jelentőséggel bír az egyének jogainak és szabadságainak a személyes adatok feldolgozása tekintetében való védelme szempontjából, a Bizottság konzultálhat az európai adatvédelmi testülettel. Ilyen esetekben az európai adatvédelmi biztos és az európai adatvédelmi testület közös vélemény kiadása céljából összehangolja tevékenységét.

(3)Az (1) és (2) bekezdésben említett tanácsadást az (1) és (2) bekezdésben említett konzultációs kérelem kézhezvételétől számított nyolc héten belül írásban kell nyújtani. Sürgős vagy egyébként indokolt esetekben a Bizottság lerövidítheti a határidőt.

(4)Ez a cikk nem alkalmazandó, ha az (EU) 2016/679 rendelet értelmében a Bizottságnak konzultálnia kell az európai adatvédelmi testülettel.

5. SZAKASZ

VÁLASZADÁSI KÖTELEZETTSÉG AZ ÁLLÍTÓLAGOS JOGSÉRTÉSEK TEKINTETÉBEN

43. cikk

Válaszadási kötelezettség az állítólagos jogsértések tekintetében

Amennyiben az európai adatvédelmi biztos gyakorolja az 59. cikk (2) bekezdésének a), b) és c) pontjában előírt hatásköreit, az érintett adatkezelő vagy adatfeldolgozó az európai adatvédelmi biztos által meghatározandó észszerű határidőn belül tájékoztatja az európai adatvédelmi biztost, figyelembe véve a konkrét eset körülményeit. Ez a válasz az európai adatvédelmi biztos észrevételei nyomán adott esetben tett intézkedések leírását is tartalmazza.

6. SZAKASZ

AZ ADATVÉDELMI TISZTVISELŐ

44. cikk

Az adatvédelmi tisztviselő kijelölése

(1)Minden uniós intézmény vagy szerv adatvédelmi tisztviselőt jelöl ki.

(2)Az uniós intézmények és szervek közös adatvédelmi tisztviselőt jelölhetnek ki többedmaguk számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(3)Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 46. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(4)Az adatvédelmi tisztviselő az uniós intézmény vagy szerv alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(5)Az uniós intézmények vagy szervek közzéteszik az adatvédelmi tisztviselő nevét és elérhetőségét, és közlik azokat az európai adatvédelmi biztossal.

45. cikk

Az adatvédelmi tisztviselő jogállása

(1)Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)Az uniós intézmények és szervek támogatják az adatvédelmi tisztviselőt a 46. cikkben említett feladatai ellátásában azáltal, hogy biztosítják számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3)Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó nem bocsáthatja el és nem sújthatja szankcióval az adatvédelmi tisztviselőt annak feladatai ellátásával összefüggésben. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4)Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5)Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6)Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

(7)Az adatkezelő és az adatfeldolgozó, az érintett személyzeti bizottság, illetve bármely természetes személy a hivatali út igénybevétele nélkül konzultálhat az adatvédelmi tisztviselővel az e rendelet értelmezésével vagy alkalmazásával kapcsolatos bármely kérdésben. Senkit sem érhet joghátrány amiatt, hogy olyan tényt hoz az illetékes adatvédelmi tisztviselő tudomására, amely megítélése szerint e rendelet rendelkezéseit sérti.

(8)Az adatvédelmi tisztviselő kinevezése háromtól öt évre szól, és megújítható. Az adatvédelmi tisztviselőt az őt kijelölő uniós intézmény vagy szerv mentheti fel, kizárólag az európai adatvédelmi biztos hozzájárulásával, ha az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek.

(9)Kinevezése után az adatvédelmi tisztviselőt az őt kinevező uniós intézmény vagy szerv felveteti az európai adatvédelmi biztos által vezetett nyilvántartásba.

46. cikk

Az adatvédelmi tisztviselő feladatai

(1)Az adatvédelmi tisztviselő a következő feladatokat látja el:

a)tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b)független módon biztosítja e rendelet belső alkalmazását és ellenőrzi az e rendeletnek, valamint az egyéb alkalmazandó uniós adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c)biztosítja, hogy az adatfeldolgozás által érintetteket tájékoztassák e rendelet szerinti jogaikról és kötelezettségeikről;

d)kérelemre tanácsadást nyújt az adatvédelmi incidensről szóló értesítésnek vagy bejelentésnek a 37. és 38. cikk szerinti szükségessége tekintetében;

e)kérelemre tanácsadást nyújt az adatvédelmi hatásvizsgálat tekintetében, és nyomon követi annak végrehajtását a 39. cikk szerint, valamint konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az adatvédelmi hatásvizsgálat szükségességével kapcsolatban;

f)kérelemre tanácsadást nyújt az európai adatvédelmi biztossal való, a 40. cikk szerinti előzetes konzultáció szükségessége tekintetében, valamint konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az előzetes konzultáció szükségességével kapcsolatban;

g)válaszol az európai adatvédelmi biztos megkereséseire, és illetékességi körén belül együttműködik és konzultál az európai adatvédelmi biztossal annak kérésére vagy saját kezdeményezése alapján;

(2)Az adatvédelmi tisztviselő ajánlásokat tehet az adatkezelő és az adatfeldolgozó számára az adatvédelem gyakorlati javításával kapcsolatban, továbbá tanácsokat adhat számukra az adatvédelmi rendelkezések alkalmazásával kapcsolatos kérdésekben. Az adatvédelmi tisztviselő továbbá saját kezdeményezésére, illetve az adatkezelő vagy az adatfeldolgozó, az érintett személyzeti bizottság vagy bármely természetes személy kérelmére, megvizsgálhatja a feladataihoz közvetlenül kapcsolódó és tudomására jutó ügyeket és tényeket, és vizsgálatáról jelentést küldhet a vizsgálatot kérő személynek, az adatkezelőnek vagy az adatfeldolgozónak.

(3)Az egyes uniós intézmények vagy szervek az adatvédelmi tisztviselőre vonatkozóan további végrehajtási szabályokat fogadnak el. A végrehajtási szabályok különösen az adatvédelmi tisztviselő feladataira, kötelességeire és hatáskörére vonatkoznak.

V. FEJEZET

A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása

47. cikk

Az adattovábbításra vonatkozó általános elv

Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket a harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

48. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján úgy határozott, hogy a harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít, és a személyes adatokat kizárólag az adatkezelő hatáskörébe tartozó feladatok elvégzésének lehetővé tétele érdekében továbbítják.

(2)Az uniós intézmények vagy szervek értesítik a Bizottságot és az európai adatvédelmi biztost azokról az esetekről, amelyekben úgy vélik, hogy az adott harmadik ország vagy nemzetközi szervezet nem biztosít megfelelő szintű védelmet az (1) bekezdés értelmében.

(3)Az uniós intézmények és szervek megteszik a szükséges intézkedéseket annak érdekében, hogy megfeleljenek a Bizottság határozatának abban az esetben, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) és (5) bekezdése szerint megállapítja, hogy valamely harmadik ország vagy nemzetközi szervezet megfelelő szintű védelmet biztosít, vagy már nem biztosítja azt.

49. cikk

Megfelelő garanciák alapján történő adattovábbítások

(1)Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2)Az európai adatvédelmi biztos külön engedélyéhez nem kötött, az (1) bekezdés szerinti megfelelő garanciák az alábbiakat jelenthetik:

a)közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b)a Bizottság által a 70. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

c)az európai adatvédelmi biztos által elfogadott és a Bizottság által a 70. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

d)az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének b), e) és f) pontja szerinti kötelező erejű vállalati szabályok, magatartási kódexek és tanúsítási mechanizmusok, amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv.

(3)Az európai adatvédelmi biztos engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:

a)az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy

b)közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

(4)Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost azon esetkategóriákról, amelyekben e cikket alkalmazták.

(5)Az európai adatvédelmi biztos által a 45/2001/EK rendelet 9. cikkének (7) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén az európai adatvédelmi biztos nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

50. cikk

Az uniós jog által nem engedélyezett továbbítás és közlés

Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható végre bármely módon, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb módozatainak sérelme nélkül.

51. cikk

Különös helyzetekben biztosított eltérések

(1)Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése szerinti határozat, illetve a 49. cikk szerinti megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a)az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b)az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c)az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d)az adattovábbítás fontos közérdekből szükséges;

e)az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges; vagy

f)az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy

g)a továbbítást olyan nyilvántartásból végzik, amely az uniós jognak megfelelően a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság számára, vagy bármely, jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, de csak olyan mértékben, amilyenben az uniós jog által a betekintésre megállapított feltételek az adott esetben teljesülnek.

(2)Az (1) bekezdés g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét, kivéve, ha azt az uniós jog engedélyezi. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(3)Az (1) bekezdés d) pontjában említett közérdeket az uniós jog elismeri.

(4)Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását.

(5)Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost azon esetkategóriákról, amelyekben e cikket alkalmazták.

52. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

A harmadik országokkal és nemzetközi szervezetekkel kapcsolatban az európai adatvédelmi biztos a Bizottsággal és az Európai Adatvédelmi Testülettel együttműködésben megteszi a szükséges lépéseket annak érdekében, hogy:

a)a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b)a személyes adatok védelméről szóló jogszabályok érvényesítése terén kölcsönös nemzetközi segítségnyújtást biztosítsanak, egyebek mellett értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c)az érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d)előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országok viszonylatában felmerülő joghatósági összeütközéseket is.

VI. FEJEZET

AZ EURÓPAI ADATVÉDELMI BIZTOS

53. cikk

Európai adatvédelmi biztos

(1)E rendelettel létrejön az európai adatvédelmi biztos.

(2)A személyes adatok feldolgozása tekintetében az európai adatvédelmi biztos felelős annak biztosításáért, hogy az uniós intézmények és szervek tiszteletben tartsák a természetes személyek alapvető jogait és szabadságait, különösen az adatvédelemhez való jogukat.

(3)Az európai adatvédelmi biztos feladata, hogy az uniós intézmény vagy szerv általi személyesadat-feldolgozással kapcsolatban figyelemmel kísérje és biztosítsa az e rendelet és bármely más, a természetes személyek alapvető jogainak és szabadságainak védelméről szóló uniós jogi aktus rendelkezései alkalmazását, valamint a személyes adatok feldolgozásával kapcsolatos minden ügyben tanácsokkal lássa el az uniós intézményeket és szerveket, valamint az érintetteket. E célból az európai adatvédelmi biztos ellátja az 58. cikkben előírt feladatokat, és gyakorolja az 59. cikkben biztosított hatásköröket.

54. cikk

Az európai adatvédelmi biztos kinevezése

(1)Az Európai Parlament és a Tanács közös megegyezéssel nevezi ki az európai adatvédelmi biztost ötéves időtartamra, a Bizottság által a nyílt pályázati felhívást követően elkészített lista alapján. A pályázati felhívás lehetővé teszi, hogy az egész Unión belül valamennyi érdekelt fél benyújthassa pályázatát. A Bizottság által a pályázókról összeállított lista nyilvános. A Bizottság által összeállított lista alapján az Európai Parlament illetékes bizottsága dönthet úgy, hogy meghallgatást tart annak érdekében, hogy a kifejthesse preferenciáját.

(2)A Bizottság által összeállított listán, amelyről az európai adatvédelmi biztost választják, olyan személyek szerepelnek, akiknek függetlenségéhez nem férhet kétség, és akik elismerten rendelkeznek az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalatokkal és készségekkel, például azért, mert az (EU) 2016/679 rendelet 41. cikke alapján létrehozott felügyeleti hatóságokhoz tartoznak vagy tartoztak.

(3)Az európai adatvédelmi biztos megbízatása egyszer megújítható.

(4)Az európai adatvédelmi biztos megbízatása a következő körülmények fennállása esetén megszűnik:

a)ha az európai adatvédelmi biztos helyére mást neveznek ki;

b) ha az európai adatvédelmi biztos lemond tisztségéről;

c)ha az európai adatvédelmi biztost felmentik vagy kötelező nyugdíjazást írnak elő számára.

(5)Az európai adatvédelmi biztost az Európai Parlament, a Tanács vagy a Bizottság kérelmére az Európai Unió Bírósága felmentheti, vagy a nyugdíjhoz, illetve ahelyett egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.

(6)A megbízatás lejárta vagy lemondás esetén az európai adatvédelmi biztos mindazonáltal mindaddig hivatalában marad, amíg utódjáról nem gondoskodnak.

(7)Az Európai Unió kiváltságairól és mentességeiről szóló jegyzőkönyv 11–14., valamint 17. cikkét az európai adatvédelmi biztosra is alkalmazni kell.

55. cikk

Az európai adatvédelmi biztos feladatkörének ellátására vonatkozó szabályozás és általános feltételek, személyi és anyagi erőforrások

(1)Az európai adatvédelmi biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott más díjazások meghatározása tekintetében az Európai Unió Bíróságának bíráival egyenrangú.

(2)A költségvetési hatóság biztosítja, hogy az európai adatvédelmi biztos rendelkezzen a feladatainak elvégzéséhez szükséges személyi és anyagi erőforrásokkal.

(3)Az európai adatvédelmi biztos költségvetése az Európai Unió általános költségvetése IX. szakaszának külön tételében jelenik meg.

(4)Az európai adatvédelmi biztos munkáját titkárság segíti. A titkárság tisztviselőit és egyéb alkalmazottait az európai adatvédelmi biztos nevezi ki, felettesük az európai adatvédelmi biztos. Kizárólag az ő irányítása alá tartoznak. Létszámukról évente a költségvetési eljárás keretében döntenek.

(5)Az európai adatvédelmi biztos titkárságának tisztviselőire és más alkalmazottaira az Európai Unió tisztviselőire és egyéb alkalmazottaira vonatkozó szabályok és szabályzatok vonatkoznak.

(6)Az európai adatvédelmi biztos székhelye Brüsszelben van.

56. cikk

Függetlenség

(1)Az európai adatvédelmi biztos az e rendelet alapján ráruházott feladatai elvégzése és hatáskörei gyakorlása során teljesen függetlenül jár el.

(2)Az európai adatvédelmi biztos az e rendelettel összhangban ráruházott feladatok végzése és hatáskörök gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen jár el, és utasítást senkitől sem kérhet vagy fogadhat el.

(3)Az európai adatvédelmi biztos tartózkodni köteles minden olyan cselekedettől, amely feladataival nem egyeztethető össze, és megbízatásának ideje alatt nem vállalhat egyéb szakmai tevékenységet, függetlenül attól, hogy abból jövedelme származik-e vagy sem.

(4)Az európai adatvédelmi biztos a megbízatásának lejárta után köteles a kinevezések és előnyök elfogadása tekintetében feddhetetlenül és tartózkodóan eljárni.

57. cikk

Szakmai titoktartás

Az európai adatvédelmi biztost és személyzetét a megbízatási idejük alatt és után egyaránt szakmai titoktartási kötelezettség terheli minden olyan bizalmas információ tekintetében, amelyről hivatali feladataik ellátása során szereztek tudomást.

58. cikk

Feladatok

(1)Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, az európai adatvédelmi biztos a következő feladatokat látja el:

a)figyelemmel kíséri és biztosítja e rendelet és bármely más, a természetes személyek védelmére vonatkozó uniós jogi aktusok rendelkezéseinek alkalmazását a személyes adatok uniós intézmény vagy szerv általi feldolgozásával kapcsolatban, kivéve a személyes adatok Európai Unió Bírósága általi feldolgozását, amennyiben az bírósági minőségében jár el;

b)elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában; különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;

c)felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;

d)kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik a tagállamok felügyeleti hatóságaival;

e)kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 67. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

f)vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján is;

g)tanácsot ad az uniós intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

h)figyelemmel kíséri a tárgyra vonatkozó fejleményeket – különösen az információtechnológia és hírközlési technológia fejlődését –, amennyiben azok hatással vannak a személyes adatok védelmére;

i)elfogadja a 29. cikk (8) bekezdésében és a 49. cikk (2) bekezdésének c) pontjában említett általános szerződési feltételeket;

j)a 39. cikk (4) bekezdésének megfelelően jegyzéket állít össze, és az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban vezeti azt;

k)részt vesz az (EU) 2016/679 rendelet 68. cikkében létrehozott európai adatvédelmi testület tevékenységeiben;

l)biztosítja az európai adatvédelmi testület titkárságát, az (EU) 2016/679 rendelet 75. cikkével összhangban;

m)tanácsot ad a 40. cikk (2) bekezdésében említett adatkezeléssel kapcsolatban;

n)engedélyezi a 49. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;

o)belső nyilvántartást vezet e rendelet megsértéséről és az 59. cikk (2) bekezdése szerint meghozott intézkedésekről;

p)ellát bármely egyéb, a személyes adatok védelméhez kapcsolódó feladatot; és

q)megállapítja saját eljárási szabályzatát.

(2)Az európai adatvédelmi biztos megkönnyíti az (1) bekezdés e) pontjában említett panasz benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panaszbenyújtási formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(3)Az európai adatvédelmi biztos az érintett számára térítésmentesen végzi el feladatait.

(4)Ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az európai adatvédelmi biztos megtagadhatja a kérelem teljesítését. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, az európai adatvédelmi biztost terheli.

59. cikk

Hatáskörök

(1)Az európai adatvédelmi biztos az alábbi vizsgálati hatáskörökkel rendelkezik:

a)utasítja az adatkezelőt és az adatfeldolgozót, hogy adják meg számára a feladatai elvégzéséhez szükséges tájékoztatást;

b)vizsgálatot folytat adatvédelmi auditok formájában;

c)értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;

d)hozzáférést kap az adatkezelőtől vagy az adatfeldolgozótól a feladatainak teljesítéséhez szükséges minden személyes adathoz és minden információhoz; és

e)az uniós vagy tagállami eljárásjoggal összhangban hozzáférést kap az adatkezelő vagy az adatfeldolgozó bármely helyiségéhez, ideértve minden adatkezeléshez használt felszerelést és eszközt.

(2)Az európai adatvédelmi biztos az alábbi korrekciós hatáskörökkel rendelkezik:

a)figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy a tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

c)az ügyet az érintett adatkezelő vagy adatfeldolgozó, illetve szükség esetén az Európai Parlament, a Tanács vagy a Bizottság elé utalhatja;

d)utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;

e)utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

f)utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

g)átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

h)a 18., 19. és 20. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását, valamint a 19. cikk (2) bekezdésének és a 21. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;

i)a 66. cikknek megfelelően közigazgatási bírságot szab ki, ha valamely uniós intézmény vagy szerv nem felel meg az e bekezdésben említett intézkedéseknek, az adott eset körülményeitől függően; és

j)elrendeli a tagállambeli vagy harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.

(3)Az európai adatvédelmi biztos az alábbi engedélyezési és tanácsadási hatáskörökkel rendelkezik:

a)tanácsot ad az érintetteknek jogaik gyakorlásával kapcsolatban;

b)tanácsot ad az adatkezelőnek a 40. cikkben említett előzetes konzultációs eljárás keretében;

c)saját kezdeményezésére vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki uniós intézmények és szervek, valamint a nyilvánosság részére;

d)elfogadja a 29. cikk (8) bekezdésben és a 49. cikk (2) bekezdésének c) pontjában említett általános adatvédelmi kikötéseket;

e)engedélyezi a 49. cikk (3) bekezdésének a) pontjában említett szerződéses feltételeket;

f)engedélyezi a 49. cikk (3) bekezdésének b) pontjában említett közigazgatási megállapodásokat.

(4)Az e cikk alapján az európai adatvédelmi biztosra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós jogban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.

(5)Az európai adatvédelmi biztos jogosult az Európai Unió Bírósága elé utalni az ügyet a Szerződésben foglalt feltételek mellett, továbbá beavatkozni az Európai Unió Bírósága előtt indított keresetekbe.

60. cikk

Tevékenységi jelentés

(1)Az európai adatvédelmi biztos tevékenységéről éves jelentést nyújt be az Európai Parlamenthez, a Tanácshoz és a Bizottsághoz, és azt egyidejűleg nyilvánosságra is hozza.

(2)Az európai adatvédelmi biztos a tevékenységi jelentést továbbítja a többi uniós intézménynek és szervnek, amelyek észrevételeket tehetnek a jelentésnek az Európai Parlamentben történő esetleges vizsgálatára tekintettel.

VII. FEJEZET

EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG

61. cikk

A nemzeti felügyeleti hatóságokkal való együttműködés

Az európai adatvédelmi biztos együttműködik az (EU) 2016/679 rendelet 41. cikke és az (EU) 2016/680 irányelv 51. cikke alapján létrehozott felügyeleti hatóságokkal (a továbbiakban: nemzeti felügyeleti hatóságok) és a 2009/917/IB tanácsi határozat 21 25. cikke alapján létrehozott közös felügyeleti hatósággal a feladataik ellátásához szükséges mértékben, különösen azáltal, hogy egymás rendelkezésére bocsátják a vonatkozó információkat, felkérik a nemzeti felügyeleti hatóságokat, hogy gyakorolják hatáskörüket, vagy választ adnak az ilyen hatóságok megkereséseire.

62. cikk

Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok általi koordinált felügyelet

(1)Amennyiben egy uniós jogi aktus e cikkre hivatkozik, az európai adatvédelmi biztos aktívan együttműködik a nemzeti felügyeleti hatóságokkal a nagy méretű IT-rendszerek vagy uniós ügynökségek hatékony felügyeletének biztosítása érdekében.

(2)Az európai adatvédelmi biztos – hatáskörén és felelősségi körén belül eljárva – a nemzeti felügyeleti hatóságokkal együttműködve releváns információkat cserél, segítséget nyújt auditok és vizsgálatok végzéséhez, megvizsgálja az e rendelet és más alkalmazandó uniós jogi aktusok értelmezésével és alkalmazásával kapcsolatos nehézségeket, tanulmányozza a független felügyelet vagy az érintettek jogainak gyakorlásával kapcsolatos problémákat, szükség szerint harmonizált javaslatokat dolgoz ki az esetleges problémák megoldására és az adatvédelmi jogok ismeretének előmozdítására.

(3)Az (2) bekezdésben meghatározott célokból az európai adatvédelmi biztos legalább évente kétszer ülésezik a nemzeti felügyeleti hatóságokkal az európai adatvédelmi testület keretében. E találkozók költségei és megszervezése az európai adatvédelmi biztost terhelik. Az első találkozó alkalmával elfogadják az eljárási szabályzatot. A további munkamódszereket szükség esetén közösen dolgozzák ki.

(4)A tevékenységek koordinált felügyeletéről szóló közös jelentést két évente megküldik az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.

VIII. FEJEZET

JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

63. cikk

Az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog

(1)Az egyéb bírósági, közigazgatási vagy bíróságon kívüli jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen az európai adatvédelmi biztosnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)Az európai adatvédelmi biztos észszerű határidőn belül tájékoztatja az érintettet a panaszhoz fűződő fejleményekről és eredményekről, ideértve a 64. cikk szerinti bírósági jogorvoslat lehetőségét.

(3)Amennyiben az európai adatvédelmi biztos nem foglalkozik a panasszal, vagy a panasz állásáról vagy eredményéről három hónapon belül nem tájékoztatja az érintettet, a panaszt elutasítottnak kell tekinteni.

64. cikk

A hatékony bírósági jogorvoslathoz való jog

Az e rendelet rendelkezéseivel kapcsolatos valamennyi jogvitában – ideértve a kártérítési igényeket is – az Európai Unió Bírósága rendelkezik hatáskörrel.

65. cikk

A kártérítéshez való jog

Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért a Szerződésben foglalt feltételek szerint az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

66. cikk

Közigazgatási bírságok

(1)Az európai adatvédelmi biztos az egyes esetek körülményeitől függően közigazgatási bírságot szabhat ki az uniós intézményekre és szervekre, amennyiben valamely uniós intézmény vagy szerv nem tesz eleget az európai adatvédelmi biztos által az 59. cikk (2) bekezdésének d) – h) és j) pontja szerint hozott határozatnak. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)az uniós intézmény vagy szerv részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

c)az uniós intézmény vagy szerv felelősségének mértéke, figyelembe véve az általuk a 27. és 33. cikk alapján foganatosított technikai és szervezési intézkedéseket;

d)az uniós intézmény vagy szerv által korábban elkövetett hasonló jogsértések;

e)az európai adatvédelmi biztossal a jogsértés orvoslása és a jogsértés esetleges negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

f)a jogsértés által érintett személyes adatok kategóriái;

g)az, ahogyan az európai adatvédelmi biztos tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az uniós intézmény vagy szerv jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

h)ha az érintett uniós intézménnyel vagy szervvel szemben korábban – ugyanabban a tárgyban – elrendelték az 59. cikkben említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés.

A bírságok kiszabásához vezető eljárásokat az ügy körülményeinek megfelelően észszerű időn belül kell lefolytatni, figyelembe véve a 69. cikkben említett vonatkozó intézkedéseket és eljárásokat.

(2)Uniós intézmény vagy szerv a 8., 12., 27., 28., 29., 30., 31., 32., 33., 37., 38., 39., 40., 44., 45. és 46. cikk szerinti kötelezettségeinek megsértése esetén jogsértésenként legfeljebb 25 000 EUR összegű közigazgatási pénzbírság szabható ki, a pénzbírság éves felső határa 250 000 EUR.

(3)Uniós intézmény vagy szerv az alábbiakban felsorolt jogsértései esetén az (1) bekezdéssel összhangban jogsértésenként legfeljebb 50 000 EUR, évente összesen legfeljebb 500 000 EUR összegű közigazgatási pénzbírság szabható ki:

a)az adatkezelés elvei – ideértve a hozzájárulás feltételeit – a 4., 5., 7. és 10. cikknek megfelelően;

b)az érintettek jogai a 14–24. cikknek megfelelően;

c)személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása a 47–51. cikknek megfelelően.

(4)Ha egy uniós intézmény vagy szerv egyazon adatkezelési művelet vagy egymáshoz kapcsolódó vagy folyamatos adatkezelési műveletek tekintetében e rendelet több rendelkezését, vagy ugyanazon rendelkezését több alkalommal is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(5)Az e cikk szerinti határozatok meghozatala előtt az európai adatvédelmi biztos biztosítja az európai adatvédelmi biztos által lefolytatott eljárás tárgyát képező uniós intézmény vagy szerv számára a lehetőséget, hogy kifejtse álláspontját azon ügyekben, amelyek ellen a biztos kifogást emelt. Az európai adatvédelmi biztos határozatait kizárólag olyan kifogásokra alapozza, amelyekkel kapcsolatban az érintett felek megtehették észrevételeiket. A panaszosok szorosan kapcsolódnak az eljáráshoz.

(6)Az érintett felek védekezéshez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az érintett felek jogosultak arra, hogy hozzáférjenek az európai adatvédelmi biztos aktájához, figyelemmel az egyéneknek vagy vállalkozásoknak a személyes adataik vagy üzleti titkaik védeleméhez fűződő jogos érdekére.

(7)Az e cikk alapján kiszabott bírságok révén beszedett összegek az Európai Unió általános költségvetésének bevételét képezik.

67. cikk

Az érintettek képviselete

Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 63. cikk szerinti jogainak nevében való gyakorlásával, valamint a 65. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet az uniós jognak vagy valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

68. cikk

Az Unió személyzete által benyújtott panaszok

Az uniós intézmények vagy szervek által alkalmazott bármely személy a hivatali út igénybevétele nélkül panaszt nyújthat be az európai adatvédelmi biztoshoz az e rendelet rendelkezéseinek vélt megsértésével kapcsolatban. Senki sem szenvedhet sérelmet amiatt, hogy vélt jogsértéssel kapcsolatban panaszt nyújtott be az európai adatvédelmi biztoshoz.

69. cikk

Szankciók

Ha az Európai Unió tisztviselője vagy más alkalmazottja az e rendeletben foglalt kötelezettségeit szándékosan vagy gondatlanságból megszegi, ellene az Európai Unió tisztviselőinek személyzeti szabályzatában, illetve az egyéb alkalmazottakra vonatkozó alkalmazási feltételekben előírt szabályoknak és eljárásoknak megfelelően fegyelmi eljárás indul, vagy más intézkedést foganatosítanak vele szemben.

IX. FEJEZET

VÉGREHAJTÁSI JOGI AKTUSOK

70. cikk

A bizottsági eljárás

(1)A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2)Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

X. FEJEZET

ZÁRÓ RENDELKEZÉSEK

71. cikk

A 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezése

A 45/2001/EK rendelet 22 és az 1247/2002/EK határozat 23 2018. május 25-ével hatályát veszti. A hatályát vesztett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.

72. cikk

Átmeneti intézkedések

(1)Ez a rendelet nem érinti a 2014/886/EU európai parlamenti és tanácsi határozatot 24 , valamint az európai adatvédelmi biztos és a helyettes biztos jelenlegi megbízatását.

(2)A helyettes biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott más díjazások meghatározása tekintetében az Európai Unió Bíróságának hivatalvezetőjével egyenrangúnak tekintendő.

(3)A jelenlegi helyettes biztosra e rendelet 54. cikkének (4), (5) és (7) bekezdését, valamint 56. és 57. cikkét kell hivatali ideje végéig, vagyis 2019. december 5-ig alkalmazni.

(4)A helyettes biztos a hivatali idejének 2019. december 5-i lejártáig segíti az európai adatvédelmi biztost a feladatai ellátásában, és helyettesíti az európai adatvédelmi biztost a távolléte vagy akadályoztatása esetén.

73. cikk

Hatálybalépés és alkalmazás

(1)Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2)Ezt a rendeletet 2018. május 25-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, -án/-én.

az Európai Parlament részéről a Tanács részéről

elnök elnök

PÉNZÜGYI KIMUTATÁS

1.A JAVASLAT/KEZDEMÉNYEZÉS FŐBB ADATAI

1.1.A javaslat/kezdeményezés címe

1.2.A tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretébe tartozó érintett szakpolitikai terület(ek)

1.3.A javaslat/kezdeményezés típusa

1.4.Célkitűzés(ek)

1.5.A javaslat/kezdeményezés indoklása

1.6.Az intézkedés és a pénzügyi hatás időtartama

1.7.Tervezett irányítási módszer(ek)

2.IRÁNYÍTÁSI INTÉZKEDÉSEK

2.1.A nyomon követésre és a jelentéstételre vonatkozó rendelkezések

2.2.Irányítási és kontrollrendszer

2.3.A csalások és a szabálytalanságok megelőzésére vonatkozó intézkedések

3.A JAVASLAT/KEZDEMÉNYEZÉS BECSÜLT PÉNZÜGYI HATÁSA

3.1.A többéves pénzügyi keret mely fejezetét/fejezeteit és a költségvetés mely kiadási tételét/tételeit érintik a kiadások?

3.2.A kiadásokra gyakorolt becsült hatás

3.2.1.A kiadásokra gyakorolt becsült hatás összegzése

3.2.2.Az operatív előirányzatokra gyakorolt becsült hatás

3.2.3.Az igazgatási előirányzatokra gyakorolt becsült hatás

3.2.4.A jelenlegi többéves pénzügyi kerettel való összeegyeztethetőség

3.2.5.Harmadik felek részvétele a finanszírozásban

3.3.A bevételre gyakorolt becsült hatás

PÉNZÜGYI KIMUTATÁS

1.A JAVASLAT/KEZDEMÉNYEZÉS FŐBB ADATAI

1.1.A javaslat/kezdeményezés címe

Javaslat: Az Európai Parlament és a Tanács rendelete az egyéneknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és a 1247/2002/EK határozat hatályon kívül helyezéséről.

1.2.A tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretébe tartozó érintett szakpolitikai terület(ek) 25

A jog érvényesülése – személyes adatok védelme

1.3.A javaslat/kezdeményezés típusa

◻ A javaslat/kezdeményezés új intézkedésre irányul

◻A javaslat/kezdeményezés kísérleti projektet / előkészítő intézkedést követő új intézkedésre 26 irányul

–A javaslat/kezdeményezés jelenlegi intézkedés meghosszabbítására irányul

◻A javaslat/kezdeményezés új intézkedésnek megfelelően módosított intézkedésre irányul

1.4.Célkitűzés(ek)

1.4.1.A javaslat/kezdeményezés által érintett többéves bizottsági stratégiai célkitűzés(ek)

A Lisszaboni Szerződés hatálybalépése – különösen az új jogalap (EUMSZ 16. cikk) bevezetése – lehetőséget biztosít a valamennyi területet érintő átfogó adatvédelmi keret létrehozására.

Az Unió 2016. április 27-én elfogadta a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletet (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) (HL L 119., 2016.5.4., 1. o.).

Az Unió ugyanezen a napon elfogadta a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvet (HL L 119., 2016.5.4., 89. o.).

E javaslat célja, hogy teljes egészében megvalósítsa az átfogó uniós adatvédelmi keret létrehozását azáltal, hogy összehangolja az uniós intézményekre és szervekre vonatkozó adatvédelmi szabályokat az (EU) 2016/679 rendelet adatvédelmi szabályaival. A következetesség és a koherencia érdekében az uniós intézményeknek és szerveknek a tagállamok közszférájára vonatkozó adatvédelmi szabályozáshoz hasonló szabályokat kell alkalmazniuk.

1.4.2.Konkrét célkitűzés(ek) és a tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretébe tartozó érintett tevékenység(ek)

1. sz. konkrét célkitűzés

Az adatvédelmi szabályok következetes alkalmazásának biztosítása az egész Unióban.

2. sz. konkrét célkitűzés

Az uniós intézmények és szervek által jelenleg alkalmazott adatvédelmi irányítási modell racionalizálása.

3. sz. konkrét célkitűzés

Az adatvédelmi szabályok uniós intézmények és szervek általi fokozottabb betartásának és érvényesítésének biztosítása.

1.4.3.Várható eredmény(ek) és hatás(ok)

Tüntesse fel, milyen hatásokat gyakorolhat a javaslat/kezdeményezés a kedvezményezettekre/célcsoportokra.

Az adatkezelőként eljáró uniós intézmények és szervek tekintetében előnyt jelent az adatkezelésre vonatkozó jelenlegi, (előzetes megközelítés szerinti) adminisztratív eljárásoktól az érdemi adatvédelmi szabályoknak való tényleges megfelelés és ezek erőteljesebb érvényesítése, valamint az (EU) 2016/679 rendeletben bevezetett, az egész Unióban alkalmazandó új adatvédelmi elvek és fogalmak (utólagos megközelítés) felé való elmozdulás.

Az uniós intézmények és szervek által végzett adatkezelésben érintett egyének jobban ellenőrzésük alatt tarthatják adataikat és jobban bízhatnak a digitális környezetben. Az uniós intézmények és szervek megerősített elszámoltathatóságára is számíthatnak.

Az európai adatvédelmi biztos jobban összpontosíthat felügyeleti szerepére. Az (EU) 2016/679 rendelet által létrehozott Európai Adatvédelmi Testület és az európai adatvédelmi biztos között a Bizottságnak való tanácsadás tekintetében fennálló feladatmegosztás egyértelművé válik és megszűnnek az átfedések.

1.4.4.Eredmény- és hatásmutatók

Tüntesse fel a javaslat/kezdeményezés megvalósításának nyomon követését lehetővé tevő mutatókat.

A mutatók magukban foglalják a következő elemeket:

az Európai Adatvédelmi Testület és az európai adatvédelmi biztos által kiadott vélemények száma,

az adatvédelmi felelősök tevékenységeinek lebontása,

az adatvédelmi hatásvizsgálatok alkalmazása,

az érintettek által benyújtott panaszok száma,

az adatvédelem megsértéséért felelős adatkezelőkre kivetett bírságok.

1.5.A javaslat/kezdeményezés indoklása

1.5.1.Rövid vagy hosszú távon kielégítendő szükséglet(ek)

Az (EU) 2016/679 rendeletben (a 2. cikk (3) bekezdésében, a 98. cikkben és a (17) preambulumbekezdésben) az uniós társjogalkotók felszólítottak arra, hogy a 45/2001/EK rendeletet hozzá kell igazítani az (EU) 2016/679 rendeletben foglalt elvekhez és szabályokhoz annak érdekében, hogy az Unióban szigorú és koherens adatvédelmi keret jöjjön létre és annak érdekében, hogy e két jogszabály alkalmazása egy időben, azaz 2018. május 25-én kezdődhessen meg.

1.5.2.Az uniós részvételből adódó többletérték

Az uniós intézményekre és szervekre vonatkozó adatvédelmi szabályokat csak uniós jogi aktussal lehet bevezetni.

1.5.3.Hasonló korábbi tapasztalatok tanulsága

E javaslat a 45/2001/EK rendelettel kapcsolatos tapasztalatokra és az annak alkalmazására vonatkozó értékelésre épül. Ez utóbbi egy külső vállalkozó által 2014 szeptembere és 2015 júniusa között végzett értékelő tanulmány keretében valósult meg 27 .

1.5.4.Egyéb releváns eszközökkel való összeegyeztethetőség és lehetséges szinergia

A javaslat az (EU) 2016/679 rendeletre épül, és lezárja az Unió szilárd, következetes és korszerű – technológiasemleges és időtálló – adatvédelmi keretének kialakítását.

1.6.Az intézkedés és a pénzügyi hatás időtartama

◻ A javaslat/kezdeményezés határozott időtartamra vonatkozik

–◻ A javaslat/kezdeményezés időtartama: ÉÉÉÉ [HH/NN]-tól/-től ÉÉÉÉ [HH/NN]-ig

–◻ Pénzügyi hatás: ÉÉÉÉ-tól/-től ÉÉÉÉ-ig

A javaslat/kezdeményezés határozatlan időtartamra vonatkozik

Beindítási időszak: [2017]-től 2018. május 25-ig, azt követően: rendes ütem.

1.7.Tervezett irányítási módszer(ek) 28

Bizottság általi közvetlen irányítás

–◻ a Bizottság szervezeti egységein keresztül, ideértve az uniós küldöttségek személyzetét

–◻ végrehajtó ügynökségen keresztül

◻ Megosztott irányítás a tagállamokkal

◻ Közvetett irányítás a költségvetés végrehajtásával kapcsolatos feladatoknak a következőkre történő átruházásával:

–◻ harmadik országok vagy az általuk kijelölt szervek;

–◻ nemzetközi szervezetek és ügynökségeik (nevezze meg);

–◻ az EBB és az Európai Beruházási Alap;

–◻ a költségvetési rendelet 208. és 209. cikkében említett szervek;

–◻ közjogi szervek;

–◻ magánjog alapján működő, közfeladatot ellátó szervek, olyan mértékben, amennyiben megfelelő pénzügyi garanciákat nyújtanak;

–◻ a valamely tagállam magánjoga alapján működő, köz- és magánszféra közötti partnerség végrehajtásával megbízott és megfelelő pénzügyi garanciákat nyújtó szervek;

–◻ az EUSZ V. címének értelmében a KKBP terén konkrét fellépések végrehajtásával megbízott, és a vonatkozó alap-jogiaktusban meghatározott személyek.

–Egynél több irányítási módszer feltüntetése esetén kérjük, adjon részletes felvilágosítást a „Megjegyzések” rovatban.

Megjegyzések

E javaslat kizárólag az uniós intézményekre és szervekre vonatkozik és azok mindegyikét érinti.

2.IRÁNYÍTÁSI INTÉZKEDÉSEK

2.1.A nyomon követésre és a jelentéstételre vonatkozó rendelkezések

Gyakoriság és feltételek.

E javaslat az adatvédelmi szabályok uniós intézmények és szervek általi alkalmazására korlátozódik. E szabályok felügyelete és érvényesítése az európai adatvédelmi biztos feladata. A nyomon követésről és a jelentéstételről tehát az európai adatvédelmi biztos gondoskodik. Közelebbről, a javaslat 60. cikke értelmében az európai adatvédelmi biztos a hatáskörébe tartozó tevékenységekről éves jelentést nyújt be az Európai Parlamenthez, a Tanácshoz és a Bizottsághoz, és azt egyidejűleg nyilvánosságra is hozza.

2.2.Irányítási és kontrollrendszer

2.2.1.Felismert kockázat(ok)

A 45/2001/EK rendelet alkalmazásáról 2014 szeptembere és 2015 júniusa között egy külső vállalkozó értékelő tanulmányt végzett. A tanulmány azt is megvizsgálja, milyen hatással jár az (EU) 2016/679 rendelet fő fogalmainak és elveinek az uniós intézményekre és szervekre vonatkozó bevezetése.

Az új adatvédelmi modell az adatvédelmi szabályoknak való tényleges megfelelésre, valamint e szabályok hatékony felügyeletére és érvényesítésére összpontosít. Ez azt jelenti, hogy az uniós intézmények és szervek adatvédelmi kultúrájában az adminisztratív előzetes megközelítésről a hatékony utólagos megközelítésre kell átállni.

2.2.2.A működő belső kontrollrendszerrel kapcsolatos információk.

Az uniós intézmények és szervek által alkalmazott meglévő ellenőrzési módszerek.

2.2.3.Az ellenőrzések költsége és haszna, a várt hibaarány értékelése.

Az uniós intézmények és szervek által alkalmazott meglévő ellenőrzési módszerek.

2.3.A csalások és a szabálytalanságok megelőzésére vonatkozó intézkedések

Tüntesse fel a meglévő vagy tervezett megelőző és védintézkedéseket.

A csalások megelőzése érdekében az uniós intézmények és szervek által alkalmazott meglévő módszerek.

3.A JAVASLAT/KEZDEMÉNYEZÉS BECSÜLT PÉNZÜGYI HATÁSA

3.1.A többéves pénzügyi keret mely fejezetét/fejezeteit és a költségvetés mely kiadási tételét/tételeit érintik a kiadások?

Jelenlegi költségvetési tételek

A többéves pénzügyi keret fejezetei, azon belül pedig a költségvetési tételek sorrendjében.

A többéves pénzügyi keret fejezete

Költségvetési tétel

Kiadás típusa

Hozzájárulás

Szám[Megnevezés…]

diff./nem diff. 29

EFTA-országoktól 30

tagjelölt országoktól 31

harmadik országoktól

a költségvetési rendelet 21. cikke (2) bekezdésének b) pontja értelmében

[XX.YY.YY.YY]

diff./nem diff.

IGEN/NEM

Létrehozandó új költségvetési tételek

A többéves pénzügyi keret fejezetei, azon belül pedig a költségvetési tételek sorrendjében.

A többéves pénzügyi keret fejezete

Költségvetési tétel

Kiadás típusa

Hozzájárulás

Szám[Megnevezés…]

diff./nem diff.

EFTA-országoktól

tagjelölt országoktól

harmadik országoktól

a költségvetési rendelet 21. cikke (2) bekezdésének b) pontja értelmében

[XX.YY.YY.YY]

IGEN/NEM

3.2.A kiadásokra gyakorolt becsült hatás

A javaslat kiadásokra gyakorolt hatása az uniós intézmények és szervek kiadásaira korlátozódik. A javaslathoz kapcsolódó kiadások elemzése azonban azt mutatja, hogy a javaslat nem vezet jelentős többletkiadásokhoz az uniós intézmények és szervek tekintetében.

Az uniós intézmények és szervek adatkezelőire vonatkozóan a 45/2001/EK rendelet értékelése azt mutatja, hogy adatvédelmi tevékenységük 70 teljes munkaidős egyenértéknek, azaz évi mintegy 9,3 millió EUR-nak felel meg. Adatvédelmi tevékenységeiknek jelenleg mintegy 20 %-át az adatkezelésről való értesítés teszi ki. E tevékenységet a jelen rendelet megszünteti, ami az uniós intézmények és szervek adatkezelői tekintetében 1,922 millió EUR értékű éves megtakarítást jelent. E megtakarítást várhatóan ellensúlyozza az, hogy az adatkezelők jelentősebb mértékben vesznek majd részt a jelen rendelet által bevezetett új elvek és fogalmak érvényesítésében.

Pontosítva, az értékelés keretében végzett tanulmány a következőket mutatta ki az alábbi elemek bevezetésével kapcsolatban:

a) az adatminimalizálás elve minimális vagy semmilyen hatással nem járna az uniós intézményekre és szervekre nézve;

b) az átláthatóság elve nem járna jelentős hatással az uniós intézményekre és szervekre nézve;

c) a tájékoztatási kötelezettségek fokozódása növelné az adatkezelők és az adatvédelmi felelősök munkaterhét;

d) a személyes adatok tárolásának megszüntetéséhez való jog nem járna jelentős hatással az uniós intézményekre és szervekre nézve;

e) az adathordozhatóság joga minimális vagy semmilyen hatással nem járna az uniós intézményekre és szervekre nézve;

f) az adatvédelmi hatásvizsgálat mérsékelt jelentőségű hatást gyakorolna az adatkezelők és adatvédelmi felelősök munkaterhére, mivel az uniós intézmények és szervek egy része már most is végez adatvédelmi hatásvizsgálatokat, valamint ilyen adatvédelmi hatásvizsgálatokat csak meghatározott esetekben lenne kötelező elvégezni;

g) az adatvédelmi incidensek bejelentései fokozná az adatkezelők munkaterhét, ám az ilyen incidensek nem gyakoriak;

h) a beépített adatvédelmet és az alapértelmezett adatvédelmet számos uniós intézmény és szerv már most is alkalmazza.

Továbbá az adatvédelmi reformcsomagra irányuló javaslat elfogadását megelőzően végzett hatásvizsgálat arra a következtetésre jutott, hogy „a beépített adatvédelem elvének bevezetése sem a közigazgatási szervek, sem az adatkezelők esetében nem járna adminisztratív teherrel.” 32

Az adatvédelmi tisztviselő esetében az értékelő tanulmány becslése szerint az adatvédelmi tisztviselők és adatvédelmi koordinátorok uniós intézményeknél és szerveknél működő jelenlegi hálózatának költsége 82,9 teljes munkaidős egyenértéknek, illetve évi 10,9 millió EUR-nak felel meg. E tisztviselők az adatvédelemmel kapcsolatos munkaidő 26 %-át olyan tevékenységekre fordítják, amelyeket a jelen rendelet megszüntet, mint amilyen például a bejelentések megszövegezése (az adatkezelők helyett), a kapott bejelentések értékelése, a műveleteikre vonatkozó nyilvántartás vezetése és az előzetes ellenőrzések végzése. Ez évente további 2,834 millió EUR értékű megtakarítást jelent az uniós intézmények és szervek számára. Emellett a jelen rendelet további potenciális megtakarításokat tesz lehetővé azáltal, hogy engedélyezi az uniós intézmények és szervek számára – saját alkalmazottaik megbízása helyett – az adatvédelmi tisztviselők tevékenységeinek kiszervezését.

Az adatvédelmi tisztviselők tevékenységeivel kapcsolatos megtakarításokat ellensúlyozza a fokozott mértékű tájékoztatási kötelezettségekkel, (a korlátozott esetekben kötelező) adatvédelmi hatásvizsgálatokkal, valamint az európai adatvédelmi biztossal való (a jelenlegi előzetes ellenőrzési kötelezettségnél jóval korlátozottabb körben alkalmazandó) előzetes konzultációval kapcsolatos szerepük.

Az európai adatvédelmi biztos esetében az éves költségvetés 2011-től viszonylag stabil, összege 8 millió EUR körül van. A hivatal „Felügyelet és érvényesítés” és „Szakpolitika és konzultáció” egysége alkalmazottainak létszáma jelenleg hasonló és 2008 óta stabil. A rendelet fokozott hangsúlyt fektet az európai adatvédelmi biztos felügyeleti szerepére, amit a tanácsadói szerep célzottabb jellege, valamint az Európai Adatvédelmi Testület feladataival való párhuzamosságok megszüntetése ellensúlyoz. Az európai adatvédelmi biztos személyzetének átcsoportosítása tehát a hivatalon belül megoldható.

E javaslat szerint az európai adatvédelmi biztos közigazgatási bírságokat szabhat ki az uniós intézményekre és szervekre. Az egyes uniós intézményekre vagy szervekre kiszabható bírság maximális összege évi 250 000 EUR (jogsértésenként 25 000 EUR), a rendelet legsúlyosabb megsértései esetén pedig évi 500 000 EUR (jogsértésenként 50 000 EUR). E bírságok alkalmazására várhatóan csak a legsúlyosabb esetekben kerül sor, azt követően, ha az uniós intézmény vagy szerv nem felel meg az európai adatvédelmi biztos egyéb korrekciós hatáskörében tett intézkedéseinek. E bírságok pénzügyi hatása tehát várhatóan alacsony.

3.2.1.A kiadásokra gyakorolt becsült hatás összegzése

millió EUR (három tizedesjegyig)

A többéves pénzügyi keret fejezete

Szám

[Megnevezés………………………………………...……….]

FŐIGAZGATÓSÁG: <…….>			N. év 33	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető	ÖSSZESEN
•Operatív előirányzatok
Költségvetési tétel száma	Kötelezettségvállalási előirányzatok	(1)
	Kifizetési előirányzatok	(2)
Költségvetési tétel száma	Kötelezettségvállalási előirányzatok	(1a)
	Kifizetési előirányzatok	(2 a)
Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok 34
Költségvetési tétel száma		(3)
A[z]<...> Főigazgatósághoz tartozó előirányzatok ÖSSZESEN	Kötelezettségvállalási előirányzatok	=1+1a +3
	Kifizetési előirányzatok	=2+2a +3

•Operatív előirányzatok ÖSSZESEN	Kötelezettségvállalási előirányzatok	(4)
	Kifizetési előirányzatok	(5)
•Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok ÖSSZESEN		(6)
A többéves pénzügyi keret <….> FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN	Kötelezettségvállalási előirányzatok	=4+ 6
	Kifizetési előirányzatok	=5+ 6

Amennyiben a javaslat/kezdeményezés több fejezetet is érint:

•Operatív előirányzatok ÖSSZESEN	Kötelezettségvállalási előirányzatok	(4)
	Kifizetési előirányzatok	(5)
•Bizonyos egyedi programok keretéből finanszírozott igazgatási előirányzatok ÖSSZESEN		(6)
A többéves pénzügyi keret 1–4. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN (Referenciaösszeg)	Kötelezettségvállalási előirányzatok	=4+ 6
	Kifizetési előirányzatok	=5+ 6

A többéves pénzügyi keret fejezete

„Igazgatási kiadások”

millió EUR (három tizedesjegyig)

		N. év	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető	ÖSSZESEN
FŐIGAZGATÓSÁG: <…….>
•Humánerőforrás
•Egyéb igazgatási kiadások
<...> Főigazgatóság ÖSSZESEN	Előirányzatok

A többéves pénzügyi keret 5. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN

(Összes kötelezettségvállalási előirányzat = Összes kifizetési előirányzat)

millió EUR (három tizedesjegyig)

		N. 35 év	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető	ÖSSZESEN
A többéves pénzügyi keret 1–5. FEJEZETÉHEZ tartozó előirányzatok ÖSSZESEN	Kötelezettségvállalási előirányzatok
	Kifizetési előirányzatok

3.2.2.Az operatív előirányzatokra gyakorolt becsült hatás

A javaslat/kezdeményezés nem vonja maga után operatív előirányzatok felhasználását

◻ A javaslat/kezdeményezés az alábbi operatív előirányzatok felhasználását vonja maga után:

Kötelezettségvállalási előirányzatok, millió EUR (három tizedesjegyig)

Tüntesse fel a célkitűzéseket és a teljesítéseket

⇩

N. év

N+1. év

N+2. év

N+3. év

A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető

ÖSSZESEN

TELJESÍTÉSEK

Típus 36

Átlagos költség

Szám

Költség

Szám

Költség

Szám

Költség

Szám

Költség

Szám

Költség

Szám

Költség

Szám

Költség

Összesített szám

Összköltség

1. KONKRÉT CÉLKITŰZÉS 37 …

– Teljesítés

1. konkrét célkitűzés részösszege

2. KONKRÉT CÉLKITŰZÉS

– Teljesítés

2. konkrét célkitűzés részösszege

ÖSSZKÖLTSÉG

3.2.3.Az igazgatási előirányzatokra gyakorolt becsült hatás

3.2.3.1.Összegzés

A javaslat/kezdeményezés nem vonja maga után igazgatási előirányzatok felhasználását.

◻ A javaslat/kezdeményezés az alábbi igazgatási előirányzatok felhasználását vonja maga után:

millió EUR (három tizedesjegyig)

N. 38 év

N+1. év

N+2. év

N+3. év

A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető

ÖSSZESEN

A többéves pénzügyi keret 5. FEJEZETE
Humánerőforrás
Egyéb igazgatási kiadások
A többéves pénzügyi keret 5. FEJEZETÉNEK részösszege

A többéves pénzügyi keret 5. FEJEZETÉBE 39 bele nem tartozó előirányzatok
Humánerőforrás
Egyéb igazgatási kiadások
A többéves pénzügyi keret 5. FEJEZETÉBE bele nem tartozó előirányzatok részösszege

ÖSSZESEN

A humánerőforrással és más igazgatási kiadásokkal kapcsolatos előirányzat-igényeket az adott főigazgatóság rendelkezésére álló, az intézkedés irányításához rendelt előirányzatokkal és/vagy az adott főigazgatóságon belüli átcsoportosítással kell teljesíteni. A források adott esetben a költségvetési korlátok betartása mellett kiegészíthetők az éves elosztási eljárás keretében az irányító főigazgatósághoz rendelt további juttatásokkal.

3.2.3.2.Becsült humánerőforrás-szükségletek

A javaslat/kezdeményezés nem igényel humánerőforrást.

◻ A javaslat/kezdeményezés az alábbi humánerőforrás-igénnyel jár:

A becsléseket teljes munkaidős egyenértékben kell kifejezni

		N. év	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető
•A létszámtervben szereplő álláshelyek (tisztviselők és ideiglenes alkalmazottak)
XX 01 01 01 (a központban és a bizottsági képviseleteken)
XX 01 01 02 (a küldöttségeknél)
XX 01 05 01 (közvetett kutatás)
10 01 05 01 (közvetlen kutatás)
•Külső munkatársak teljes munkaidős egyenértékben (FTE) kifejezve 40
XX 01 02 01 (AC, END, INT a teljes keretből)
XX 01 02 02 (AC, AL, END, INT és JED a küldöttségeknél)
XX 01 04 yy (a küldöttségeknél) 41	– a központban
	– a küldöttségeknél
XX 01 05 02 (AC, END, INT közvetett kutatásban)
10 01 05 02 (AC, INT, END közvetlen kutatásban)
Egyéb költségvetési tétel (kérjük megnevezni)
ÖSSZESEN

XX az érintett szakpolitikai terület vagy költségvetési cím.

A humánerőforrás-igényeknek az adott főigazgatóság rendelkezésére álló, az intézkedés irányításához rendelt és/vagy az adott főigazgatóságon belül átcsoportosított személyzettel kell eleget tenni. A források adott esetben a meglévő költségvetési korlátok betartása mellett kiegészíthetők az éves elosztási eljárás keretében az irányító főigazgatósághoz rendelt további juttatásokkal.

Az elvégzendő feladatok leírása:

Tisztviselők és ideiglenes alkalmazottak
Külső munkatársak

3.2.4.A jelenlegi többéves pénzügyi kerettel való összeegyeztethetőség

A javaslat/kezdeményezés összeegyeztethető a jelenlegi többéves pénzügyi kerettel.

◻ A javaslat/kezdeményezés miatt szükséges a többéves pénzügyi keret vonatkozó fejezetének átprogramozása.

Fejtse ki, miként kell átprogramozni a pénzügyi keretet: tüntesse fel az érintett költségvetési tételeket és a megfelelő összegeket.

◻ A javaslat/kezdeményezés miatt szükség van a rugalmassági eszköz alkalmazására vagy a többéves pénzügyi keret felülvizsgálatára.

Fejtse ki a szükségleteket: tüntesse fel az érintett fejezeteket és költségvetési tételeket és a megfelelő összegeket.

3.2.5.Harmadik felek részvétele a finanszírozásban

A javaslat/kezdeményezés nem irányoz elő harmadik felek általi társfinanszírozást.

A javaslat/kezdeményezés az alábbi becsült társfinanszírozást irányozza elő:

előirányzatok, millió EUR (három tizedesjegyig)

	N. év	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető	Összesen
Tüntesse fel a társfinanszírozó szervet
Társfinanszírozott előirányzatok ÖSSZESEN

3.3.A bevételre gyakorolt becsült hatás

A javaslatnak/kezdeményezésnek nincs pénzügyi hatása a bevételre.

◻ A javaslatnak/kezdeményezésnek van pénzügyi hatása – a bevételre gyakorolt hatása a következő:

–◻ a javaslat a saját forrásokra gyakorol hatást

–◻ a javaslat az egyéb bevételekre gyakorol hatást

millió EUR (három tizedesjegyig)

Bevételi költségvetési tétel:	Az aktuális költségvetési évben rendelkezésre álló előirányzatok	A javaslat/kezdeményezés hatása 42
		N. év	N+1. év	N+2. év	N+3. év	A táblázat a hatás időtartamának megfelelően (vö. 1.6. pont) további évekkel bővíthető
… jogcímcsoport

Az egyéb címzett bevételek esetében tüntesse fel az érintett kiadáshoz tartozó költségvetési tétel(eke)t.

Ismertesse a bevételre gyakorolt hatás számításának módszerét.

(1) Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról, HL L 8., 2001.1.12.

(2) Az Európai Parlament, a Tanács és a Bizottság 1247/2002/EK határozata (2002. július 1.) az európai adatvédelmi biztos feladatainak ellátására vonatkozó szabályokról és általános feltételekről, HL L 183., 2002.7.12., 1. o.

(3) Lásd az (EU) 2016/679 rendelet 98. cikkét és (17) preambulumbekezdését.

(4) Lásd a EUB C-518/07. sz. Európai Bizottság kontra Németországi Szövetségi Köztársaság ügyben 2010. március 9-én hozott ítéletének 26. és 28. pontját ( ECLI:EU:C:2010:125).

(5) Lásd: http://ec.europa.eu/justice/data-protection/reform/index_en.htm .

(6) Lásd az európai adatvédelmi biztos általános jelentését a 45/2001/EK rendelet rendelkezéseinek való megfelelés felméréséről az uniós intézményeknél (a továbbiakban: a 2013. évi felmérés), valamint 3/2015. számú véleményét, amelyet a következő címmel adott ki: „Európa nagy lehetősége: az európai adatvédelmi biztos ajánlásai az adatvédelmi reform uniós alternatíváiról.”

(7) JUST/2013/FRAC/FW/0157/A4 a JUST/2011/EVAL/01 (RS 2013/05) többéves keretmegállapodás keretében – Értékelés a 45/2001/EK rendeletről, Ernst and Young, elérhető: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Az EUB C-92/09 és C-93/09. sz., Volker und Markus Schecke és Eifert egyesített ügyekben 2010. november 9-én hozott ítéletének 48. pontja (ECLI: EU: C: 2009:284).

(9) A Charta 52. cikke (1) bekezdésének megfelelően az adatvédelemhez való jog gyakorlása csak a törvény által, és e jogok és szabadságok lényeges tartalmának tiszteletben tartásával és az arányosság elvére figyelemmel korlátozható, amennyiben az elengedhetetlen és ténylegesen az Európai Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

(10) HL C… , , . .o.

(11) Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(12) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) (HL L 119., 2016.5.4., 1o.).

(13) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).

(14) A Tanács 93/13/EGK irányelve (1993. április 5.) a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről (HL L 95., 1993.4.21., 29. o.).

(15) Az Európai Parlament és a Tanács 1338/2008/EK rendelete ( 2008. december 16.) a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról ( HL L 354., 2008.12.31., 70. o. ).

(16) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(17) Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről ( HL L 87., 2009.3.31., 164. o. ).

(18) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) (HL L 119., 2016.5.4., 1. o.).

(19) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).

(20) A Bizottság 2008/63/EK irányelve (2008. június 20.) a távközlési végberendezések piacán folyó versenyről (HL L 162., 2008.6.21., 20. o.).

(21) A Tanács 2009/917/IB határozata (2009. november 30.) az információs technológia vámügyi alkalmazásáról (HL L 323., 2009.12.10., 20. o.)

(22) Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(23) Az Európai Parlament, a Tanács és a Bizottság 1247/2002/EK határozata (2002. július 1.) az európai adatvédelmi biztos feladatainak ellátására vonatkozó szabályokról és általános feltételekről, HL L 183., 2002.7.12., 1. o.

(24) Az Európai Parlament és a Tanács 2014/886/EU határozata (2014. december 4.) az európai adatvédelmi biztos és a helyettes biztos kinevezéséről (HL L 351., 2014.12.9., 9. o.)

(25) Tevékenységalapú irányítás: ABM (Activity Based Management), tevékenységalapú költségvetés-tervezés: ABB (Activity Based Budgeting).

(26) A költségvetési rendelet 54. cikke (2) bekezdésének a) vagy b) pontja szerint.

(27) JUST/2013/FRAC/FW/0157/A4 a JUST/2011/EVAL/01 (RS 2013/05) többéves keretmegállapodás keretében – Értékelés a 45/2001/EK rendeletről, Ernst and Young.

(28) Az egyes irányítási módszerek ismertetése, valamint a költségvetési rendeletre való megfelelő hivatkozások megtalálhatók a Költségvetési Főigazgatóság honlapján: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) Diff. = Differenciált előirányzatok / Nem diff. = Nem differenciált előirányzatok.

(30) EFTA: Európai Szabadkereskedelmi Társulás.

(31) Tagjelölt országok és adott esetben a nyugat-balkáni potenciális tagjelölt országok.

(32) Bizottsági szolgálati munkadokumentum, hatásvizsgálat, SEC (2012) 72 final, 110. o.

(33) Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

(34) Technikai és/vagy igazgatási segítségnyújtás, valamint uniós programok és/vagy intézkedések végrehajtásához biztosított támogatási kiadások (korábban: BA-tételek), közvetett kutatás, közvetlen kutatás.

(35) Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

(36) A teljesítés a nyújtandó termékekre és szolgáltatásokra vonatkozik (pl. finanszírozott diákcserék száma, épített utak hossza kilométerben stb.).

(37) Az 1.4.2. szakaszban („Konkrét célkitűzések...”) feltüntetett célkitűzés.

(38) Az N. év a javaslat/kezdeményezés végrehajtásának első éve.

(39) Technikai és/vagy igazgatási segítségnyújtás, valamint uniós programok és/vagy intézkedések végrehajtásához biztosított támogatási kiadások (korábban: BA-tételek), közvetett kutatás, közvetlen kutatás.

(40) AC=szerződéses alkalmazott; AL=helyi alkalmazott; END=kirendelt nemzeti szakértő; INT=kölcsönmunkaerő (átmeneti alkalmazott); JED=küldöttségi pályakezdő szakértő.

(41) Az operatív előirányzatokból finanszírozott külső munkatársakra vonatkozó részleges felső határérték (korábban: BA-tételek).

(42) A tradicionális saját források (vámok, cukorilletékek) tekintetében nettó összegeket, vagyis a 25 %-kal (beszedési költségek) csökkentett bruttó összegeket kell megadni.