31995L0046Hivatalos Lap L 281 , 23/11/1995 o. 0031 - 0050


Az Európai Parlament és a Tanács 95/46/EK irányelve

(1995. október 24.)

a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Közösséget létrehozó szerződésre és különösen annak 100a. cikkére,

tekintettel a Bizottság javaslatára [1],

tekintettel a Gazdasági és Szociális Bizottság véleményére [2],

a Szerződés 189b. cikkében megállapított eljárásnak megfelelően [3],

(1) mivel a Közösségnek a Szerződésben megállapított, és az Európai Unióról szóló szerződés által módosított célkitűzései között szerepel az Európa népei közötti egyre szorosabb egység megteremtése, a Közösséghez tartozó államok közötti szorosabb kapcsolatok szorgalmazása, az Európát megosztó határok felszámolására tett közös intézkedések megtételével a gazdasági és társadalmi fejlődés biztosítása, az európai népek életkörülményei javításának folyamatos ösztönzése, a béke és a szabadság megőrzése, valamint megszilárdítása, továbbá a demokrácia biztosítása azon alapvető jogok alapján, amelyeket a tagállamok alkotmánya, jogszabályai, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény elismer;

(2) mivel az adatfeldolgozási rendszerek célja az emberek szolgálata; mivel a természetes személyek nemzetiségétől és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat, és hozzá kell járulniuk a gazdasági és társadalmi fejlődéshez, a kereskedelem fejlődéséhez, valamint az egyének jólétéhez;

(3) mivel egy olyan belső piac kialakítása és működése, amelyben a Szerződés 7a. cikkének megfelelően biztosított az áruk, a személyek, a szolgáltatások és a tőke szabad mozgása, nem csak azt kívánja meg, hogy a személyes adatok szabadon áramolhassanak egyik tagállamból a másikba, hanem azt is, hogy az egyének alapvető jogai biztosítva legyenek;

(4) mivel a Közösségben a gazdasági és társadalmi tevékenység számos területén egyre többször folyamodnak a személyes adatok feldolgozásához; mivel az informatika terén elért haladás az ilyen adatok feldolgozását és cseréjét lényegesen megkönnyíti;

(5) mivel a Szerződés 7a. cikke értelmében a belső piac kialakításából és működéséből eredő gazdasági és társadalmi integráció szükségszerűen a személyes adatok határokon keresztüli áramlásának lényeges növekedéséhez fog vezetni mindazok között, akik a tagállamokban magán- vagy állami szinten gazdasági vagy társadalmi tevékenységben vesznek részt; mivel a személyes adatok cseréje a különböző tagállamokban letelepedett vállalkozások között emelkedő tendenciát mutat; mivel a különböző tagállamok nemzeti hatóságai a közösségi jog értelmében kötelesek olyan mértékben együttműködni és személyes adatokat cserélni, ami lehetővé teszi számukra feladataik ellátását, vagy a fellépést egy másik tagállam hatósága nevében a belső piac által képezett belső határok nélküli térség keretében;

(6) mivel ezenfelül a növekvő tudományos és műszaki együttműködés és az új telekommunikációs hálózatok összehangolt bevezetése a Közösségben szükségessé teszi, és megkönnyíti a személyes adatok határokon keresztül történő áramlását;

(7) mivel az egyes tagállamokban végzett személyesadat-feldolgozás terén az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmének szintjei közötti eltérések akadályozhatják az ilyen adatok egyik tagállamból a másikba történő továbbítását; mivel ebből eredően ezek az eltérések akadályt jelentenek számos közösségi szintű gazdasági tevékenység elvégzésében, torzítják a versenyt, és hátráltatják a hatóságokat a közösségi jog szerinti feladataik teljesítésében; mivel a védelmi szintek közötti ezen eltérések a nemzeti törvényi, rendeleti és közigazgatási rendelkezések sokféleségének tulajdoníthatók;

(8) mivel a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása terén azonos kell legyen minden tagállamban; mivel ez a célkitűzés alapvető fontosságú a belső piac szempontjából, de a tagállamok egyedül nem tudják azt megvalósítani, főként a tagállamok vonatkozó jogszabályai között jelenleg fennálló eltérések miatt, és ezért össze kell hangolni a tagállamok jogszabályait ahhoz, hogy biztosított legyen a személyes adatok határokon keresztül történő áramlásának a Szerződés 7a. cikkében meghatározott belső piac céljának megfelelő következetes szabályozása; mivel ezért szükség van az említett jogszabályok közelítését célzó közösségi fellépésre;

(9) mivel a nemzeti jogszabályok közelítéséből következő azonos szintű védelemre tekintettel a tagállamok már nem akadályozhatják meg a személyes adatok szabad áramlását egymás között az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmére hivatkozva; mivel a tagállamoknak marad annyi mozgástere, amelyet ezen irányelv végrehajtása során az üzleti és szociális partnerek kihasználhatnak; mivel a tagállamok ezáltal nemzeti jogszabályaikban meg tudják majd határozni az adatfeldolgozás törvényességére vonatkozó általános feltételeket; mivel eközben a tagállamoknak törekedniük kell a jogalkotásuk által jelenleg biztosított védelem szintjének javítására; mivel az említett mozgástér keretein belül, és a közösségi joggal összhangban különbségek merülhetnek fel ezen irányelv végrehajtása során, ami hatással lehet az adatáramlásra akár egy tagállamon belül, akár a Közösségen belül;

(10) mivel a személyes adatok feldolgozására vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; mivel ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül;

(11) mivel az egyének jogai és szabadságai védelmének elvei, különösen a magánélet tiszteletben tartásához való jog védelmének elve, amelyeket ez az irányelv tartalmaz, tartalmat adnak és kiegészítik azokat, amelyeket az Európa Tanács 1981. január 28-i, az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezménye tartalmaz;

(12) mivel a védelem elveit minden olyan személy által végzett személyesadat-feldolgozásra alkalmazni kell, akinek tevékenységére a közösségi jogszabályok vonatkoznak; mivel ki kell zárni a természetes személyek által végzett adatfeldolgozást, amennyiben azt kizárólag személyes vagy házi használatra, például levelezés, vagy címjegyzékek vezetése során végzik;

(13) mivel az Európai Unióról szóló szerződés V. és VI. címében említett, a közbiztonsággal, védelemmel, nemzetbiztonsággal kapcsolatos tevékenységek, vagy az adott állam büntetőjog területén végzett tevékenységei kívül esnek a közösségi jogszabályok hatályán, a tagállamokra az Európai Közösséget létrehozó szerződés 56. cikke (2) bekezdésének, 57. cikkének vagy 100a. cikkének értelmében háruló kötelezettségek sérelme nélkül; mivel az államok gazdasági jólétének megőrzéséhez szükséges személyesadat-feldolgozás nem tartozik ezen irányelv hatálya alá, amennyiben az ilyen adatfeldolgozás nemzetbiztonsági ügyekhez kapcsolódik;

(14) mivel a természetes személyek hang- és képadatainak felvételére, továbbítására, feldolgozására, rögzítésére, tárolására és közlésére használatos módszereknek az információs társadalom keretén belül történő fejlesztésének fontosságát figyelembe véve ennek az irányelvnek alkalmazhatónak kell lennie az ilyen adatokhoz kapcsolódó feldolgozásra;

(15) mivel az ilyen adatok feldolgozására ez az irányelv csak akkor terjed ki, ha az automatizált módon történik, vagy ha a feldolgozott adatokat egy egyénekhez kapcsolódó speciális szempontok szerint strukturált nyilvántartási rendszerben tárolják, vagy kívánják tárolni a szóban forgó személyes adatokhoz való könnyű hozzáférés lehetővé tétele érdekében;

(16) mivel a hang- és képadatok feldolgozása, például a videokamerás megfigyelőrendszerek esetében, nem tartozik ennek az irányelvnek a hatáskörébe, amennyiben az adatfeldolgozást közbiztonsági, honvédelmi, nemzetbiztonsági célból, vagy az adott állam büntetőjog területén végzett, illetve más, a közösségi jog hatálya alá nem tartozó tevékenységei során végzik;

(17) mivel az újságírás, az irodalmi, vagy művészi kifejezés céljából végzett hang-, vagy képadatok feldolgozását tekintve, különösen audiovizuális téren az irányelv alapelveit korlátozott módon kell alkalmazni, a 9. cikkben megállapított rendelkezésekkel összhangban;

(18) mivel annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre az irányelv értelmében jogosultak, a Közösség területén végzett minden személyesadat-feldolgozási tevékenységet a tagállamok valamelyikének jogszabályai szerint kell végrehajtani; mivel ezzel összefüggésben, a valamely tagállamban letelepedett adatkezelő felelőssége mellett végzett adatfeldolgozásra ennek a tagállamnak a jogszabályai vonatkoznak;

(19) mivel a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel; mivel e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező; mivel ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek;

(20) mivel az a tény, hogy az adatfeldolgozást valamely harmadik országban letelepedett személy végzi, nem gátolhatja az egyéneknek ebben az irányelvben előírt védelmét; mivel ilyen esetekben az adatfeldolgozásra annak a tagállamnak a jogszabályai irányadóak, amelyben az alkalmazott eszközök találhatók, továbbá garanciákat kell találni arra, hogy ezen irányelvben meghatározott jogok és kötelezettségek a gyakorlatban is érvényesüljenek;

(21) mivel ez az irányelv nem érinti a büntetőügyekben alkalmazandó territorialitási szabályokat;

(22) mivel a tagállamoknak jogszabályaik kibocsátásánál, illetve az irányelv értelmében meghozott intézkedések hatálybaléptetésekor pontosabban meg kell határozniuk azokat az általános feltételeket, amelyek mellett az adatfeldolgozás jogszerű; mivel különösen az 5. cikk, a 7. és a 8. cikkel összefüggésben, az általános szabályoktól függetlenül, megengedi a tagállamoknak, hogy különleges adatfeldolgozási feltételeket rendeljenek el meghatározott ágazatok, és a 8. cikk hatálya alá tartozó különféle adatkategóriák esetében;

(23) mivel a tagállamok az egyének védelmének megvalósításáról gondoskodhatnak mind a személyes adatok feldolgozása vonatkozásában az egyének védelméről szóló általános jogszabály révén, mind ágazati jogszabályokon, mint például a statisztikai intézetekre vonatkozókon keresztül;

(24) mivel az adatfeldolgozással kapcsolatban a jogi személyek védelmére vonatkozó szabályokat ez az irányelv nem érinti;

(25) mivel a védelem elveinek tükröződniük kell egyrészt a személyekre, hatóságokra, vállalkozásokra, hivatalokra, vagy más, adatfeldolgozással foglalkozó szervekre megállapított kötelezettségekben, különösen az adatminőség, a technikai biztonság, a felügyelő hatóság értesítése, és az adatfeldolgozáshoz szükséges feltételek tekintetében, másrészt az azon egyénekre szálló jogokban, akiknek az adatai feldolgozásra kerülnek, amelyek szerint tájékoztatják őket az adatfeldolgozásról, betekinthetnek az adatokba, helyesbítést kérhetnek, és bizonyos körülmények között tiltakozhatnak a feldolgozás ellen;

(26) mivel a védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell; mivel annak meghatározására, hogy egy személy azonosítható-e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására; mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; mivel a 27. cikk szerinti eljárási szabályzat hasznos eszköz lehet útmutatásként ahhoz, hogy hogyan kell az adatokat anonimmá tenni, és olyan formában megőrizni, amelyben a szóban forgó adatok azonosítása a továbbiakban már nem lehetséges;

(27) mivel az egyének védelme az automatizált adatfeldolgozásra éppúgy vonatkozik, mint a manuális adatfeldolgozásra; mivel e védelem hatálya ténylegesen nem függhet az alkalmazott módszerektől, ellenkező esetben ez megkerüléshez vezethetne; mivel azonban az irányelv a manuális adatfeldolgozás tekintetében csak a nyilvántartó rendszerre terjed ki, a strukturálatlan adatállományra nem; mivel elsősorban a nyilvántartási rendszer tartalmát kell rendszerezni az egyénekhez kapcsolódó meghatározott szempontok szerint úgy, hogy az könnyű hozzáférést tegyen lehetővé a személyes adatokhoz; mivel a 2. cikk c) pontjában szereplő meghatározással összhangban, a személyes adatok rendszerezett csoportja összetevőinek meghatározására alkalmazott különböző szempontokat, továbbá az ezekhez való hozzáférésre vonatkozó különböző szempontokat az egyes tagállamok állapíthatják meg; mivel a meghatározott szempontok szerint nem rendszerezett iratok, illetve iratok csoportjai, és azok borítóoldalai semmilyen körülmények között nem tartoznak ezen irányelv hatálya alá;

(28) mivel a személyes adatok feldolgozásának törvényesnek és tisztességesnek kell lennie az érintett egyénekre nézve; mivel az adatoknak elsősorban helyesnek és lényegesnek kell lenniük, és nem haladhatják meg a feldolgozás célját; mivel e céloknak pontosan megfogalmazottnak és jogszerűnek, valamint az adatgyűjtés időpontjában meghatározottnak kell lenniük; mivel az adatfeldolgozás céljai az adatgyűjtést követően sem lehetnek összeegyeztethetetlenek az eredetileg meghatározott célokkal;

(29) mivel a személyes adatok további feldolgozása történelmi, statisztikai, vagy tudományos célból általában nem tekinthető összeegyeztethetetlennek a korábbi adatgyűjtés céljaival, feltéve, hogy a tagállamok megfelelő biztosítékokról gondoskodnak; mivel e biztosítékoknak ki kell zárniuk az adatoknak adott egyénekhez kapcsolódó intézkedések vagy határozatok meghozatalának támogatására való felhasználását;

(30) mivel annak érdekében, hogy a személyes adatok feldolgozása jogszerű legyen, illetve ha az az érintettre nézve kötelező szerződés megkötéséhez vagy teljesítéséhez szükséges, azt jogszabály írja elő, vagy az valamely közérdekű vagy hatósági feladat teljesítéséhez szükséges, illetve valamely természetes vagy jogi személy jogos érdekében történik – feltéve, hogy az érintett érdekei, jogai és szabadságai nem előbbrevalók – azt az érintett beleegyezésével kell végezni; mivel különösen a hatékony verseny biztosítása mellett az érdekek egyensúlyának fenntartása érdekében a tagállamok határozhatják meg azokat a körülményeket, amelyek esetén a személyes adatok felhasználhatók vagy harmadik felek tudomására hozhatók a társaságok és egyéb szervezetek rendes, jogszerű üzleti tevékenysége során; mivel szintén a tagállamok határozhatják meg azokat a feltételeket, amelyek mellett a személyes adatok harmadik felek tudomására hozhatók marketing célokra, akár kereskedelmi jelleggel, akár jótékonysági szervezet, egyéb társulás vagy alapítvány – például politikai jellegű – által végzett módon történik, azon rendelkezések betartásával, amelyek az érintett számára lehetővé teszik, hogy tiltakozzon a rá vonatkozó adatok feldolgozása ellen, költségek és indokolás nélkül;

(31) mivel a személyes adatok feldolgozását hasonlóan jogszerűnek kell tekinteni akkor, ha azt az érintett élete szempontjából alapvető érdekek védelme érdekében végzik;

(32) mivel a nemzeti jogalkotás feladata annak meghatározása, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelő közigazgatási szerv legyen, vagy a közjog, illetve a magánjog hatálya alá tartozó egyéb természetes vagy jogi személy, például szakmai szövetség;

(33) mivel az olyan adatok feldolgozása, amelyek jellegüknél fogva sérthetik az alapvető szabadságokat vagy a magánéletet, csak az érintett kifejezett hozzájárulásával végezhető; mivel azonban meghatározott esetekben kifejezetten rendelkezni kell az e tilalomtól való eltérésről, különösen amikor az adatfeldolgozást egészségügyi célból végzik olyan személyek, akikre a szakmai titoktartás jogi kötelezettsége vonatkozik, vagy olyan egyesületek, illetve alapítványok, amelyek célja – jogszerű tevékenységük keretében – az alapvető szabadságok gyakorlásának lehetővé tétele;

(34) mivel ha az fontos közérdek alapján indokolt, a tagállamok eltérhetnek a különleges adatok feldolgozásának tilalmától, amennyiben ezt fontos közérdekű okok indokolják olyan területeken, mint a közegészségügy, vagy a szociális védelem – elsősorban annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére alkalmazott eljárások magas szintűek és költséghatékonyak legyenek –, a tudományos kutatások és állami statisztikai tevékenységek körében; mivel mindazonáltal a tagállamokra hárul a meghatározott megfelelő biztosítékok garantálása az egyének alapvető jogainak és magánéletének védelme érdekében;

(35) mivel ezenfelül a személyes adatok hatóságok által történő feldolgozása a hivatalosan elismert vallási szervezetek alkotmányjogban, vagy nemzetközi közjogban megállapított céljai eléréséhez csak fontos közérdekből lehetséges;

(36) mivel a választással kapcsolatos tevékenységek során egyes tagállamokban a demokratikus rendszer működése megkívánja, hogy a politikai pártok adatokat gyűjtsenek az emberek politikai véleményéről, és az ilyen adatok feldolgozása csak fontos közérdekből lehetséges, feltéve, hogy megfelelő biztosítékokat hoznak létre;

(37) mivel az újságírás, irodalmi, vagy művészi kifejezés céljából, különösen audiovizuális téren történő személyesadat-feldolgozásnak mentesülnie kell ezen irányelv egyes előírásai alól, amennyiben ez az egyének alapvető jogainak a tájékozódáshoz való joggal, nevezetesen az információszerzéshez és -közléshez való jognak az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 10. cikkében biztosított jogával való összeegyeztetéséhez szükséges; mivel ezért az adatfeldolgozás jogszerűségére vonatkozó általános intézkedések tekintetében az alapvető jogok, a harmadik országokba történő adattovábbítás és a felügyelő hatóság hatásköre közötti egyensúly céljából a tagállamok állapíthatják meg a szükséges mentességeket és eltéréseket; mivel ez mindazonáltal nem vezethet arra, hogy a tagállamok az adatfeldolgozás biztonságát szavatoló intézkedések alóli mentességeket állapítsanak meg; mivel legalább az ezért az ágazatért felelős felügyelő hatóságot szintén fel kell ruházni bizonyos hivatali hatalommal például rendszeres jelentés kiadására, vagy az ügyek igazságszolgáltatási hatóságok elé terjesztésére;

(38) mivel annak érdekében, hogy az adatfeldolgozás tisztességes legyen, az érintettnek tudnia kell az adatfeldolgozási műveletről, és amennyiben adatokat gyűjtenek róla, arról pontos és teljes tájékoztatást kell kapjon, figyelembe véve az adatgyűjtés körülményeit;

(39) mivel egyes adatfeldolgozási műveletek az olyan adatokra is kiterjednek, amelyeket az adatkezelő nem közvetlenül az érintettől szerzett meg; mivel ezenfelül az adatok jogszerűen harmadik személy tudomására hozhatók akkor is, ha a közlés az adatgyűjtés időpontjában nem volt előre látható; mivel ilyen esetekben az érintettet az adatok rögzítésekor, vagy legkésőbb azoknak a harmadik személlyel első alkalommal történő közlése előtt tájékoztatni kell;

(40) mivel mindazonáltal nem szükséges e kötelezettség előírása, amennyiben az érintettet már tájékoztatták erről; mivel ezenfelül nem áll fenn ilyen kötelezettség, ha a rögzítést, illetve közlést jogszabály kifejezetten előírja, ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, például történelmi, statisztikai, vagy tudományos célból történő feldolgozás esetén; mivel e tekintetben figyelembe vehető az érintettek száma, az adatok kora, és az elfogadott kárpótló intézkedések;

(41) mivel minden személynek lehetővé kell tenni a rá vonatkozó, adatfeldolgozás alatt álló adatokhoz való hozzáférés jogának gyakorlását, különösen az adatok helyességének és az adatfeldolgozás jogszerűségének ellenőrzése céljából; mivel ugyanezen okból minden érintettnek joga van tudni a rá vonatkozó adatok automatizált feldolgozásának logikáját, legalább a 15. cikk (1) bekezdésében említett automatizált döntések esetében; mivel ez a jog nem befolyásolhatja károsan az üzleti titkot, vagy a szellemi tulajdont és különösen a szoftvert védő szerzői jogot; mivel mindazonáltal e szempontok nem vezethetnek oda, hogy az érintett nem kap semmilyen tájékoztatást;

(42) mivel a tagállamok az érintettek vagy mások jogai és szabadságai védelmének érdekében korlátozhatják a hozzáférési és a tájékoztatáshoz való jogot; mivel például meghatározhatják, hogy az egészségügyi adatok csak hivatásos egészségügyi dolgozón keresztül legyenek hozzáférhetők;

(43) mivel a tagállamok hasonlóképpen korlátozhatják a hozzáféréshez és a tájékoztatáshoz való jogokat, valamint az adatkezelő egyes kötelezettségeit, amennyiben ezek valamely tagállam, vagy az Unió nemzetbiztonsági, védelmi, közbiztonsági, fontos gazdasági vagy pénzügyi érdekeinek védelmében, illetve a bűnügyi nyomozásokhoz és a büntetőeljárás megindításához, valamint a jogszabályban szabályozott szakmákban az etikai vétségekkel kapcsolatos intézkedésekhez szükségesek; mivel a kivételek és korlátozások listája ki kell, hogy terjedjen a három utóbb említett, közbiztonsági, fontos gazdasági, vagy pénzügyi érdekekkel és a bűnmegelőzéssel kapcsolatos területen szükséges megfigyelési, felügyeleti vagy szabályozási feladatokra; mivel a feladatok felsorolása e három területen nem érinti a nemzetbiztonsági vagy honvédelmi okokból megadott kivételek vagy megszorítások jogszerűségét;

(44) mivel a tagállamok a közösségi jog rendelkezései értelmében eltérhetnek ezen irányelvnek a hozzáférési joggal, az egyének tájékoztatására vonatkozó kötelezettséggel, vagy az adatminőséggel kapcsolatos rendelkezéseitől a fent említett célok biztosítása érdekében;

(45) mivel azonban a közérdekű vagy hatósági indokok, természetes vagy jogi személy jogos érdekei alapján történő törvényes adatfeldolgozás esetében is minden érintettnek jogot kell biztosítani – különleges helyzetével kapcsolatos jogos és lényeges indokok alapján – a rá vonatkozó adatok feldolgozása elleni tiltakozásra; mindazonáltal a tagállamok ezzel ellentétes nemzeti rendelkezéseket is megállapíthatnak;

(46) mivel az érintettek jogainak és szabadságainak védelme a személyes adatok feldolgozása tekintetében megkívánja, hogy megfelelő műszaki és szervezeti intézkedéseket hozzanak mind az adatfeldolgozó rendszer megtervezésekor, mind az adatfeldolgozás időpontjában, különösen a biztonság fenntartása, és ezáltal az engedély nélküli adatfeldolgozás megelőzése érdekében; mivel a tagállamokra hárul annak biztosítása, hogy az adatkezelők megfeleljenek ezeknek az intézkedéseknek; mivel ezeknek az intézkedéseknek biztosítaniuk kell a megfelelő szintű biztonságot, figyelembe véve a legújabb vívmányokat és ezek megvalósításának költségét összevetve az adatfeldolgozással járó kockázattal, és a védelmet igénylő adatok természetével;

(47) mivel a személyes adatot tartalmazó üzenet távközlési úton vagy elektronikus üzenetszolgáltatás útján való továbbításakor, amelyek egyedüli célja az ilyen üzenetek továbbítása, az üzenetben szereplő személyes adatok tekintetében általában az adatkezelőt kell azon személynek tekinteni, akitől az üzenet származik, és nem a továbbítási szolgáltatást nyújtó személyt; mivel mindazonáltal az ilyen szolgáltatást nyújtók általában adatkezelőnek tekintendők a szolgáltatás működtetéséhez szükséges további személyes adatok feldolgozása tekintetében;

(48) mivel a felügyelő hatóság értesítésére szolgáló eljárások arra szolgálnak, hogy biztosítsák az adatfeldolgozási műveletek céljának és főbb jellemzőinek nyilvánosságra hozatalát, annak céljából, hogy ellenőrizni lehessen, hogy a műveletek megfelelnek-e az ezen irányelv alapján hozott nemzeti intézkedéseknek;

(49) mivel a szükségtelen adminisztratív formaságok elkerülése érdekében a tagállamok, olyan esetekben, amikor az adatfeldolgozás várhatóan nem érinti hátrányosan az érintettek jogait és szabadságait, rendelkezhetnek az értesítési kötelezettség alóli felmentésről vagy az előírt értesítés egyszerűsítéséről, feltéve, hogy ez összhangban áll az annak korlátait meghatározó tagállam által hozott intézkedéssel; mivel az olyan tagállamok, ahol az adatkezelő által kijelölt személy biztosítja, hogy a végzett adatfeldolgozás várhatóan nem érinti hátrányosan az érintettek jogait és szabadságait, hasonlóképpen rendelkezhetnek felmentésről vagy egyszerűsítésről; mivel az ilyen adatvédelmi tisztviselőt, függetlenül attól, hogy az adatkezelő alkalmazottja-e vagy sem, olyan hatáskörrel kell felruházni, hogy feladatát teljesen függetlenül gyakorolhassa;

(50) mivel felmentésről vagy egyszerűsítésről olyan adatfeldolgozási műveletek esetében is rendelkezni lehet, amelyek egyedüli célja olyan nyilvántartás fenntartása, amely a nemzeti jogszabályokkal összhangban a nyilvánosság tájékoztatására szolgál, és amely bármely, jogos érdekét igazoló személy, illetve a nyilvánosság számára hozzáférhető;

(51) mivel mindazonáltal az egyszerűsítés vagy az értesítési kötelezettség alóli felmentés nem mentesíti az adatkezelőt az ezen irányelvből származó egyéb kötelezettségei alól;

(52) mivel ebben az összefüggésben az illetékes hatóságok által végzett utólagos ellenőrzés általában elégséges intézkedésnek tekintendő;

(53) mivel azonban egyes adatfeldolgozási műveletek természetüknél, hatókörüknél, vagy céljuknál fogva – például az egyének jogokból, előnyökből vagy szerződésekből való kizárása, illetve új technológiák meghatározott alkalmazása révén –, veszélyeztethetik az érintettek jogait és szabadságait; mivel a tagállamok saját belátásuk szerint határozhatják meg e kockázatokat jogszabályaikban;

(54) mivel a társadalomban végzett adatfeldolgozás tekintetében az említett kockázattal járók számát jelentősen le kell szűkíteni; mivel a tagállamoknak rendelkezniük kell arról, hogy a felügyelő hatóság, vagy az adatvédelmi tisztviselő a hatósággal együttműködve ellenőrizze az ilyen adatfeldolgozást annak elvégzése előtt; mivel ezen előzetes ellenőrzést követően a felügyelő hatóság nemzeti jogszabályaival összhangban az adatfeldolgozás kapcsán véleményt nyilváníthat, vagy engedélyt adhat; mivel ez az ellenőrzés egyaránt végezhető a nemzeti parlament intézkedésének előkészítése, vagy valamely, az adatfeldolgozás jellegét meghatározó és a megfelelő biztosítékokat megállapító törvényhozási rendelkezésen alapuló intézkedés előkészítése során;

(55) mivel abban az esetben, ha az adatkezelő nem tartja tiszteletben az érintettek jogait, a nemzeti jogalkotásnak kell gondoskodnia a jogorvoslatról; mivel a törvénytelen adatfeldolgozás miatt kárt szenvedett személy kártérítését az adatkezelőnek kell állnia, aki akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nem ő felelős, különösen, ha megállapítja, hogy az érintett a hibás, vagy vis maior esete áll fenn; mivel szankciókat kell kiróni minden olyan személyre – függetlenül attól, hogy a magán- vagy a közjog hatálya alá tartozik –, aki nem tesz eleget az ezen irányelv alapján meghozott nemzeti intézkedéseknek;

(56) mivel a személyes adatok határokon átnyúló áramlására szükség van a nemzetközi kereskedelem bővüléséhez; mivel a Közösségben az egyének ezen irányelv által garantált védelme nem áll útjában a személyes adatok továbbításának olyan harmadik országokba, amelyek megfelelő szintű védelmet biztosítanak; mivel a harmadik ország által nyújtott védelem szintjének megfelelő mivoltát a továbbítási művelet vagy műveletsorozattal kapcsolatos körülmények figyelembevételével kell értékelni;

(57) mivel másrészt a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani;

(58) mivel bizonyos körülmények között, amikor az érintett ehhez hozzájárult, vagy a továbbítás valamely szerződés vagy jogi követelés kapcsán szükséges, vagy valamely fontos közérdek védelme ezt megkívánja, például adó- vagy vámigazgatási szervek, vagy a társadalombiztosítási ügyekben illetékes hivatalok közötti nemzetközi adattovábbítások esetében, vagy amikor a továbbítás jogszabály által létrehozott olyan nyilvántartásból történik, amelyhez a nyilvánosság, vagy a jogos érdekkel rendelkező személyek hozzáférhetnek, rendelkezni kell a fenti tilalom alóli mentességről; mivel ebben az esetben a továbbítás nem terjed ki a nyilvántartásban szereplő összes adatra, illetve összes adatkategóriára, és amennyiben a nyilvántartást az olyan személyek által való hozzáférésre szánták, akiknek ehhez jogos érdeke fűződik, a továbbítást csak e személyek kérelmére lehet elvégezni, vagy akkor, ha a címzettek a szóban forgó személyek;

(59) mivel különleges intézkedéseket lehet hozni a valamely harmadik országban tapasztalható védelem hiányának orvoslására olyan esetekben, ahol az adatkezelő megfelelő biztosítékokat nyújt; mivel ezenfelül rendelkezni kell a Közösség és ilyen harmadik országok közötti tárgyalásokra vonatkozó eljárásokról;

(60) mivel a harmadik országokba irányuló továbbítás csak a tagállamok által ezen irányelv és különösen annak 8. cikke értelmében elfogadott rendelkezések teljes betartásával lehetséges;

(61) mivel a tagállamoknak és a Bizottságnak, saját hatáskörükön belül, ösztönözniük kell a szakmai szövetségeket és más érintett érdekképviseleti szervezeteket arra, hogy eljárási szabályzatokat hozzanak létre az irányelv alkalmazásának megkönnyítésére, figyelembe véve az egyes ágazatokban végzett adatfeldolgozás speciális jellemzőit, és tiszteletben tartva az annak végrehajtása érdekében elfogadott nemzeti rendelkezéseket;

(62) mivel a tagállamokban a feladataikat teljes függetlenséggel gyakorló felügyelő hatóságok létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása tekintetében;

(63) mivel az ilyen hatóságoknak rendelkezniük kell a feladataik teljesítéséhez szükséges eszközökkel, beleértve a vizsgálati és beavatkozási jogosultságokat, különösen az egyének panaszai esetén, továbbá a bírósági eljárásokban való részvétel lehetőségét; mivel e hatóságoknak segíteniük kell az adatfeldolgozás áttekinthetőségének biztosítását azokban a tagállamokban, amelyek joghatósága alá tartoznak;

(64) mivel a különböző tagállamok hatóságainak együtt kell működniük feladataik ellátása során annak érdekében, hogy a védelemre vonatkozó szabályokat az Európai Unió egészében megfelelően tiszteletben tartsák;

(65) mivel közösségi szinten létre kell hozni egy, a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoportot, amely feladatai ellátása során teljes függetlenséget élvez; mivel tekintettel speciális jellegére, a munkacsoportnak tájékoztatnia kell a Bizottságot és különösen hozzá kell járulnia az ezen irányelv értelmében elfogadott nemzeti szabályok egységes alkalmazásához;

(66) mivel az adatok harmadik országokba irányuló továbbítására tekintettel az irányelv alkalmazása megkívánja a hatáskör Bizottságra történő átruházását, valamint a Tanács 87/373/EGK [4] határozatában megállapított eljárás kidolgozását;

(67) mivel 1994. december 20-án megegyezés született az Európai Parlament, a Tanács és a Bizottság között egyfajta modus vivendi-ről az EK-Szerződés 189b. cikkében megállapított eljárásnak megfelelően elfogadott jogi aktusok végrehajtási rendelkezései tekintetében;

(68) mivel az ezen irányelvben szereplő elvek az egyének jogairól és szabadságairól –nevezetesen a személyes adatok feldolgozása tekintetében a magánélet tiszteletben tartásához való jogukról –, az ezeken alapuló különleges szabályokkal kiegészíthetők vagy azokhoz magyarázat fűzhető, különösen egyes ágazatok vonatkozásában;

(69) mivel a tagállamoknak az ezen irányelvet átültető nemzeti intézkedések hatálybalépésétől számított legfeljebb hároméves időszakot lehet engedélyezni az új nemzeti szabályoknak a már folyamatban lévő adatfeldolgozási műveletekre történő fokozatos alkalmazására; mivel azok költségkímélő végrehajtásának megkönnyítése érdekében további, az irányelv elfogadásától számított 12 évet kell engedélyezni a tagállamoknak a jelenlegi manuális adatnyilvántartási rendszereknek az irányelv egyes rendelkezéseivel való összhangba hozatalának biztosítására; mivel amennyiben az ezen adatnyilvántartási rendszerekben foglalt adatokat manuálisan dolgozzák fel e meghosszabbított átmeneti időszak alatt, a rendszereket összhangba kell hozni e rendelkezésekkel a szóban forgó feldolgozás idejére;

(70) mivel nem szükséges, hogy az érintett ismételten hozzájárulását adja ahhoz, hogy az adatkezelő az ezen irányelv értelmében hozott nemzeti rendelkezések hatálybalépését követően folytathassa az adatfeldolgozást azon szenzitív adatok vonatkozásában, amelyek valamely, szabad akaratból tett hozzájárulás alapján, az e rendelkezések hatálybalépése előtt megkötött szerződés teljesítéséhez szükségesek;

(71) mivel ezen irányelv nem akadályozza a tagállamokat a területükön tartózkodó fogyasztókat célzó marketing tevékenységek szabályozásában, amennyiben az ilyen szabályozás nem érinti az egyének védelmét a személyes adatok feldolgozása tekintetében;

(72) mivel ez az irányelv lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét az irányelvben szereplő elvek végrehajtásakor,

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Az irányelv célja

(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.

(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.

2. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

a) "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;

b) "személyes adatok feldolgozása" ("feldolgozás") a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

c) "személyesadat-nyilvántartó rendszer" ("nyilvántartó rendszer") a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;

d) "adatkezelő" az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;

e) "feldolgozó" az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében;

f) "harmadik személy" az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására;

g) "címzett" az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére az adatot továbbítják, függetlenül attól, hogy harmadik személy-e vagy sem; mindazonáltal azok a hatóságok, amelyek egyedi megkeresés alapján kapnak adatokat, nem tekinthetők címzettnek;

h) "az érintett hozzájárulása" az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához.

3. cikk

Hatály

(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2) Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

- a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,

- a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás.

4. cikk

Az alkalmazandó nemzeti jog

(1) A személyes adatok feldolgozására minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:

a) az adatfeldolgozást a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek;

b) az adatkezelő nem valamely tagállam területén telepedett le, hanem olyan helyen, amelynek nemzeti joga – a nemzetközi közjog értelmében – alkalmazandó;

c) az adatkezelő nem telepedett le a Közösség területén, és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára használják.

(2) Az (1) bekezdés c) pontjában említett körülmények esetén az adatkezelőnek – az ellene indítható jogi keresetek sérelme nélkül – ki kell jelölnie egy, az adott tagállam területén letelepedett képviselőt.

II. FEJEZET

A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK JOGSZERŰSÉGÉRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK

5. cikk

A tagállamok, e fejezet rendelkezéseinek korlátai között, részletesen meghatározzák, hogy a személyes adatok feldolgozása milyen feltételek mellett jogszerű.

I. SZAKASZ

AZ ADATOK MINŐSÉGÉRE VONATKOZÓ ELVEK

6. cikk

(1) A tagállamok rendelkeznek arról, hogy a személyes adatok:

a) feldolgozását tisztességesen és törvényesen kell végezni;

b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;

c) gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;

d) pontosak, és ha szükséges, időszerűek kell legyenek; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a hibás vagy hiányos adatok, tekintettel gyűjtésük vagy további feldolgozásuk céljaira, törlésre vagy helyesbítésre kerüljenek;

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit.

(2) Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek.

II. SZAKASZ

AZ ADATFELDOLGOZÁS JOGSZERŰVÉ TÉTELÉRE VONATKOZÓ KRITÉRIUMOK

7. cikk

A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha:

a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy

b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy

c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy

d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy

e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy

f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.

III. SZAKASZ

AZ ADATFELDOLGOZÁS KÜLÖNLEGES KATEGÓRIÁI

8. cikk

Különleges adatok feldolgozása

(1) A tagállamok megtilthatják az olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak.

(2) Az (1) bekezdést nem alkalmazható abban az esetben, ha:

a) az érintett kifejezett hozzájárulását adta az említett adatok feldolgozásához, kivéve, ha a tagállam joga úgy rendelkezik, hogy az (1) bekezdésben említett tilalom alól nem engedhető kivétel az érintett hozzájárulásával sem, vagy

b) az adatfeldolgozás az adatkezelő kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben a megfelelő biztosítékokról rendelkező nemzeti jogszabályok ezt lehetővé teszik, vagy

c) az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges abban az esetben, ha az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni, vagy

d) az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szerv céljainak megfelelően, és az adatok nem adhatók ki harmadik fél részére az érintettek hozzájárulása nélkül, vagy

e) az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott, vagy amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek.

(3) Az (1) bekezdés nem alkalmazható, ha az adatok feldolgozása megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy feldolgozás alkalmazása vagy egészségügyi szolgáltatások igazgatása céljából szükséges, és ha az adatokat a nemzeti jog vagy az illetékes nemzeti testületek által meghatározott szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy azzal egyenértékű titoktartási kötelezettség alá eső más személy dolgozza fel.

(4) Megfelelő garanciák nyújtása mellett a tagállamok, alapvető közérdekből, nemzeti jogszabályaikban vagy a felügyelő hatóság határozatában további mentességeket állapíthatnak meg a (2) bekezdésben foglaltakon kívül.

(5) A bűncselekményekre, büntetőítéletekre vagy biztonsági intézkedésekre vonatkozó adatok feldolgozása kizárólag a hatóság ellenőrzése mellett történhet, vagy ha a nemzeti jog megfelelő külön biztosítékot nyújt, az olyan eltérésekre is figyelemmel, amelyet a tagállamok a megfelelő külön biztosítékot nyújtó nemzeti rendelkezések alapján engedélyezhetnek. Mindazonáltal a büntetőítéletekről teljes körű nyilvántartást csak a hatóság ellenőrzésével lehet vezetni.

A tagállamok rendelkezhetnek arról, hogy a közigazgatási szankciókkal vagy polgári ügyekben hozott határozatokkal kapcsolatos adatokat szintén csak a hatóság ellenőrzésével lehessen feldolgozni.

(6) Az (1) bekezdéstől való, a (4) és (5) bekezdésben említett eltérésekről a Bizottságot értesíteni kell.

(7) A tagállamok határozzák meg a nemzeti azonosító számok és egyéb általános jellegű azonosító jelek feldolgozásának feltételeit.

9. cikk

A személyes adatok feldolgozása és a szólásszabadság

A tagállamok e fejezet, a IV. és a VI. fejezet rendelkezései alóli felmentésről, illetve eltérésről kizárólag a személyes adatoknak újságírás, vagy irodalmi, illetve művészi kifejezés céljából történő feldolgozása esetén rendelkezhetnek, amennyiben azok a magánélet tiszteletben tartásához való jognak a szólásszabadságra vonatkozó szabályokkal való összeegyeztetéséhez szükségesek.

IV. SZAKASZ

AZ ÉRINTETT TÁJÉKOZTATÁSA

10. cikk

Tájékoztatás az érintettől való adatgyűjtés esetében

A tagállamoknak rendelkezniük kell arról, hogy az adatkezelőnek vagy képviselőjének legalább az alábbiakról tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjtik, kivéve ha az érintett már rendelkezik ezen információkkal:

a) az adatkezelő, vagy ha van ilyen, képviselőjének személye;

b) az adatfeldolgozás célja, amelyre az adatokat szánják;

c) minden olyan további adat, mint például:

- az adatok címzettjei, illetve a címzettek kategóriái,

- hogy a kérdések megválaszolása kötelező vagy önkéntes, továbbá a válaszadás elmulasztásának lehetséges következményei,

- betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,

amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosításához szükségesek.

11. cikk

Tájékoztatás, ha az adatokat nem az érintettől szerezték be

(1) Abban az esetben, ha az adatokat nem az érintettől szerezték be, a tagállamoknak rendelkezniük kell arról, hogy az adatkezelő vagy képviselője a személyes adatok felvételének elvállalásakor, illetve, ha az adatokat harmadik személyhez szándékoznak továbbítani, legkésőbb az adatok első közlésekor köteles az érintettel legalább az alábbi információkat közölni, kivéve, ha az érintett már rendelkezik ezekkel az információkkal:

- az adatkezelő, vagy ha van ilyen, képviselőjének személye;

- az adatfeldolgozás célja;

- bármely egyéb információ, mint például:

- az érintett adatok kategóriái,

- az adatok címzettjei vagy a címzettek kategóriái,

- betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,

amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosításához szükségesek.

(2) Az (1) bekezdés nem alkalmazható, különösen a statisztikai célú vagy a történelmi, vagy tudományos célú adatfeldolgozás esetében, ha a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel, illetve ha a rögzítést vagy a közlést jogszabály kifejezetten előírja. Ezekben az esetekben a tagállamoknak garantálniuk kell a megfelelő biztosítékokat.

V. SZAKASZ

AZ ÉRINTETT ADATHOZZÁFÉRÉSHEZ VALÓ JOGA

12. cikk

Adathozzáféréshez való jog

A tagállamoknak biztosítaniuk kell minden érintett számára a jogot, hogy az adatkezelőtől:

a) korlátozás nélkül, ésszerű időközönként, túlzott késedelem vagy költség nélkül:

- megerősítést kapjon arról, hogy rá vonatkozóan adatok feldolgozása folyamatban van-e, továbbá, hogy információt kapjon legalább az adatfeldolgozás céljáról, az érintett adatkategóriákról, a címzettekről vagy a címzettek kategóriáiról, akik felé az adatokat továbbítják,

- érthető formában értesítést kapjon az adatfeldolgozás alatt álló adatokról és azok forrásával kapcsolatos minden rendelkezésre álló információról,

- tájékoztatást kapjon a rá vonatkozó adatok automatizált feldolgozása során alkalmazott logikáról legalább a 15. cikk (1) bekezdésében említett automatizált döntések esetében;

b) az esettől függően kérje az olyan adatok helyesbítését, törlését vagy zárolását, amelyek feldolgozása nem felel meg ezen irányelv rendelkezéseinek, különösen az ilyen adatok hiányos vagy hibás volta miatt;

c) kérje az adatokról tudomást szerző harmadik felek értesítését a b) ponttal összhangban végzett minden helyesbítésről, törlésről vagy zárolásról, hacsak ez lehetetlennek nem bizonyul, vagy aránytalanul nagy erőfeszítést nem igényel.

VI. SZAKASZ

MENTESSÉGEK ÉS KORLÁTOZÁSOK

13. cikk

Mentességek és korlátozások

(1) A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben. a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:

a) nemzetbiztonság;

b) honvédelem;

c) közbiztonság;

d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket;

f) a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;

g) az érintett, vagy mások jogainak és szabadságainak védelme.

(2) Megfelelő jogi garanciák mellett, különösen ha az adatokat nem használják fel meghatározott egyénre vonatkozó intézkedések vagy döntések hozatalához olyan esetben, amikor nyilvánvalóan nem áll fenn annak a veszélye, hogy az érintett magánélethez való jogát sérelem éri, a tagállamok törvényes eszközökkel korlátozhatják a 12. cikkben foglalt jogokat, amennyiben az adatokat kizárólag tudományos kutatás céljára használják fel, vagy személyes jellegüket megőrző formában csak a statisztika elkészítéséhez szükséges ideig tárolják.

VII. SZAKASZ

AZ ÉRINTETT TILTAKOZÁSI JOGA

14. cikk

Az érintett tiltakozási joga

A tagállamoknak biztosítaniuk kell az érintettnek, hogy:

a) legalább a 7. cikk e) és f) pontjában foglalt esetekben, sajátos helyzetével kapcsolatos lényeges jogos érdekből bármikor tiltakozhasson a rá vonatkozó adatok feldolgozása ellen, kivéve, ha erről a nemzeti jog másként rendelkezik. Jogos tiltakozás esetén az adatkezelő által kezdeményezett adatfeldolgozás a továbbiakban nem terjedhet ki a szóban forgó adatokra;

b) kérelemre és térítésmentesen tiltakozhasson az olyan, rá vonatkozó személyes adatok feldolgozása ellen, amelyekkel kapcsolatban az adatkezelő előre jelzi, hogy feldolgozásuk célja közvetlen üzletszerzés, illetve hogy tájékoztassák személyes adatainak harmadik személyeknek első alkalommal történő közlése, vagy a nevükben közvetlen üzletszerzés céljára történő felhasználás előtt, valamint számára az ilyen közlés vagy felhasználás elleni kifogás jogát kifejezetten biztosítani.

A tagállamok megteszik a szükséges intézkedéseket annak biztosítása érdekében, hogy az érintettek tisztában legyenek a b) pont első albekezdésében említett jogukkal.

15. cikk

Automatizált egyedi döntések

(1) A tagállamok minden személynek biztosítják a jogot arra, hogy ne terjedhessen ki rájuk olyan döntés hatálya, amely rájuk nézve jogi hatással járna, vagy őket jelentős mértékben érintené, és amely kizárólag automatizált feldolgozáson alapul, és amelynek célja a rá vonatkozó egyes olyan személyes szempontok kiértékelése, mint például a munkahelyi teljesítmény, a hitelképesség, a megbízhatóság, az életvitel, stb.

(2) Ezen irányelv többi cikkére is figyelemmel, a tagállamok úgy is rendelkezhetnek, hogy az első bekezdésben említett döntés hatálya kiterjedhet a személyre, amennyiben a döntést:

a) valamely szerződés megkötése vagy teljesítése során hozták, feltéve, hogy az érintettnek a szerződés megkötése vagy teljesítése iránti kérelmét teljesítették, vagy jogos érdekének biztosítására megfelelő biztosítékok állnak rendelkezésre, mint például a véleményének kinyilvánítását lehetővé tevő intézkedések; vagy

b) olyan jogszabály teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja.

VIII. SZAKASZ

AZ ADATFELDOLGOZÁS TITKOSSÁGA ÉS BIZTONSÁGA

16. cikk

Az adatfeldolgozás titkossága

Bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt jogszabály kötelezi.

17. cikk

Az adatfeldolgozás biztonsága

(1) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő végrehajtsa a megfelelő technikai és szervezési intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése elleni védelme érdekében, különösen, ha a feldolgozás közben az adatokat hálózaton keresztül továbbítják, továbbá a feldolgozás minden más jogellenes formája ellen.

Tekintettel a technika vívmányaira és alkalmazásuk költségeire, ezen intézkedéseknek olyan szintű biztonságot kell nyújtaniuk, amely megfelel az adatfeldolgozás által jelentett kockázatoknak és a védendő adatok jellegének.

(2) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő – amennyiben az adatfeldolgozás az ő nevében történik – köteles olyan adatfeldolgozót választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések tekintetében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említett intézkedések teljesítését.

(3) Adatfeldolgozón keresztül történő adatfeldolgozásra olyan szerződésnek vagy jogi aktusnak kell vonatkoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely különösen a következőket tartalmazza:

- az adatfeldolgozó kizárólag az adatkezelő utasítása alapján járhat el,

- az (1) bekezdésben megállapított kötelezettségek annak a tagállamnak a jogszabályai szerint kerülnek meghatározásra, amelyben a feldolgozó letelepedett, és azok a feldolgozóra is vonatkoznak.

(4) A bizonyítékok megőrzése céljából az adatvédelemre és az (1) bekezdésben említett intézkedésekkel kapcsolatos előírásokra vonatkozó szerződés vagy jogi aktus részeit írásba vagy egyéb, azzal egyenértékű formába kell foglalni.

IX. SZAKASZ

ÉRTESÍTÉS

18. cikk

A felügyelő hatóság értesítésére vonatkozó kötelezettség

(1) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő vagy annak képviselője, ha van ilyen, értesítse a 28. cikkben említett felügyelő hatóságot akár egyetlen, akár több, összefüggő célt szolgáló, részben vagy egészen automatizált módon történő adatfeldolgozási művelet vagy műveletsorozat elvégzését megelőzően.

(2) A tagállamok kizárólag a következő esetekben és feltételek mellett rendelkezhetnek az értesítés módjának egyszerűsítéséről vagy az értesítési kötelezettség alóli felmentésről:

- amennyiben az olyan adatfeldolgozási műveletek kategóriái esetében, amelyek – figyelembe véve a feldolgozandó adatokat – valószínűleg nem befolyásolják hátrányosan az érintettek jogait és szabadságait, meghatározzák az adatfeldolgozás célját, a feldolgozásra kerülő adatokat vagy adatkategóriákat, az érintettek körét vagy köreit, azokat a címzetteket vagy címzettek kategóriáit, akik számára az adatokat továbbították, továbbá az adatok tárolásának időtartamát, és/vagy

- amennyiben az adatkezelő a rá vonatkozó nemzeti jogszabályokkal összhangban kijelöl egy személyesadat-védelmi tisztviselőt, aki elsősorban az alábbiakért felelős:

- az ezen irányelv alapján elfogadott nemzeti rendelkezések belső alkalmazásának független módon való biztosítása,

- az adatkezelő által végzett adatfeldolgozási műveletek nyilvántartásának vezetése, amely tartalmazza a 21. cikk (2) bekezdésében említett adatokat,

ezáltal biztosítva, hogy az adatfeldolgozási műveletek várhatóan ne befolyásolják hátrányosan az érintettek jogait és szabadságait.

(3) A tagállamok rendelkezhetnek arról, hogy az (1) bekezdés ne vonatkozzon arra az adatfeldolgozásra, amelynek kizárólagos célja egy olyan nyilvántartás vezetése, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll.

(4) A tagállamok a 8. cikk (2) bekezdésének d) pontjában említett adatfeldolgozási műveletek esetében rendelkezhetnek az értesítési kötelezettség alóli felmentésről vagy az értesítés módjának egyszerűsítéséről.

(5) A tagállamok kiköthetik, hogy egyes vagy az összes, személyes adatot érintő, nem automatizált adatfeldolgozási művelet értesítési kötelezettség alá tartozzon, vagy rendelkezhetnek arról, hogy ezen adatfeldolgozási műveletek egyszerűsített értesítés tárgyát képezzék.

19. cikk

Az értesítés tartalma

(1) Az értesítésben foglalt adatokat a tagállamok határozzák meg. Az értesítésnek legalább a következőket tartalmaznia kell:

a) az adatkezelő, vagy – ha van ilyen – annak képviselőjének neve és címe;

b) az adatfeldolgozás célja vagy céljai;

c) az érintettek körének vagy köreinek, továbbá a rájuk vonatkozó adatok vagy adatkategóriák leírása;

d) azoknak a címzetteknek vagy címzett kategóriáknak a leírása, akik számára az adatokat továbbították;

e) harmadik országokba irányuló tervezett adattovábbítások;

f) általános leírás, amely lehetővé teszi a 17. cikk értelmében az adatfeldolgozás biztonsága érdekében hozott intézkedések megfelelő mivoltának előzetes értékelését.

(2) A tagállamok határozzák meg azokat az eljárásokat, amelyek keretében a felügyelő hatóságot az (1) bekezdésben említett adatokat érintő bármilyen változásról értesíteni kell.

20. cikk

Előzetes ellenőrzés

(1) A tagállamok határozzák meg azokat az adatfeldolgozási műveleteket, amelyek külön kockázatot jelenthetnek az érintettek jogaira és szabadságaira nézve, továbbá ellenőrzik, hogy ezeket az adatfeldolgozási műveleteket megkezdésük előtt megvizsgálják-e.

(2) Ezeket az előzetes ellenőrzéseket a felügyelő hatóság végzi, miután az adatkezelőtől vagy az adatvédelmi tisztviselőtől értesítést kapott, akik – kétség esetén – kötelesek konzultálni a felügyelő hatósággal.

(3) Ilyen ellenőrzéseket a tagállamok is végezhetnek akár a nemzeti parlament intézkedésének, akár az adatfeldolgozás jellegét meghatározó, és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésen alapuló intézkedés előkészítése keretében is.

21. cikk

Az adatfeldolgozási műveletek nyilvánosságának biztosítása

(1) A tagállamoknak intézkedéseket kell tenniük az adatfeldolgozási műveletek nyilvánosságának biztosítására.

(2) A tagállamoknak rendelkezniük kell arról, hogy a 18. cikk szerinti adatfeldolgozási műveletekről a felügyelő hatóság nyilvántartást vezessen.

A nyilvántartásnak legalább a 19. cikk (1) bekezdésének a)–e) pontjában felsorolt adatokat tartalmaznia kell.

A nyilvántartást bárki megtekintheti.

(3) Az értesítéshez nem kötött adatfeldolgozási műveletek kapcsán a tagállamoknak rendelkezniük kell arról, hogy az adatkezelők vagy a tagállamok által kijelölt egyéb szerv kérelemre, bárki számára megfelelő formában bocsássa rendelkezésre legalább a 19. cikk (1) bekezdésének a)–e) pontjában felsorolt adatokat.

A tagállamok rendelkezhetnek arról, hogy ez a rendelkezés ne vonatkozzon arra az adatfeldolgozásra, amelynek kizárólagos célja egy olyan nyilvántartás vezetése, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll.

III. FEJEZET

BÍRÓSÁGI JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

22. cikk

Jogorvoslat

A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára.

23. cikk

Felelősség

(1) A tagállamoknak rendelkezniük kell arról, hogy mindenki, aki jogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmében elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedés eredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosult az elszenvedett károkért.

(2) Az adatkezelő részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

24. cikk

Szankciók

A tagállamok elfogadják a megfelelő intézkedéseket ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében és különösen megállapítják az irányelv értelmében elfogadott rendelkezések megsértése esetén kiszabható szankciókat.

IV. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA IRÁNYULÓ TOVÁBBÍTÁSA

25. cikk

Elvek

(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani.

(2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.

(3) A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.

(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.

(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.

(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján.

A tagállamok megtesznek minden szükséges intézkedést a Bizottság határozatának teljesítésére.

26. cikk

Eltérések

(1) A 25. cikktől eltérően, és amennyiben az adott esetre vonatkozó belföldi jogszabályok másképp nem rendelkeznek, a tagállamok rendelkeznek arról, hogy a személyes adatok olyan harmadik országba irányuló továbbítása vagy továbbítás-sorozata, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, csak a következő feltételek mellett történhet:

a) az érintett egyértelműen hozzájárulását adta a tervezett továbbításhoz; vagy

b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; vagy

c) a továbbítás az adatkezelő és valamely harmadik fél közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; vagy

d) a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő; vagy

e) a továbbítás az érintett létfontosságú érdekeinek védelme miatt szükséges; vagy

f) a továbbítást olyan nyilvántartásból végzik, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben a jogszabályok által a betekintésre megállapított feltételek az adott esetben teljesülnek.

(2) Az (1) bekezdés sérelme nélkül a tagállamok engedélyezhetik a személyes adatok olyan harmadik országba irányuló továbbítását vagy továbbítás-sorozatát, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, amennyiben az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződési feltételek.

(3) A tagállamok értesítik a Bizottságot és a többi tagállamot az általuk a (2) bekezdés alapján megadott engedélyekről.

Ha valamely tagállam vagy a Bizottság tiltakozását fejezi ki az egyének magánéletének, alapvető jogainak és szabadságainak védelmét is magában foglaló, jogos okokból, a Bizottság a 31. cikk (2) bekezdésében foglalt eljárással összhangban megfelelő intézkedéseket hoz.

A tagállamok megteszik a szükséges intézkedéseket a Bizottság határozatának teljesítésére.

(4) Amennyiben a Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően úgy dönt, hogy egyes általános szerződési feltételek megfelelő biztosítékot nyújtanak a (2) bekezdés értelmében, a tagállamok megteszik a szükséges intézkedéseket a Bizottság határozatának teljesítésére.

V. FEJEZET

ELJÁRÁSI SZABÁLYZAT

27. cikk

(1) A tagállamok és a Bizottság ösztönzik az irányelvnek megfelelően a tagállamok által elfogadott nemzeti rendelkezések helyes végrehajtásának elősegítésére szánt eljárási szabályzatok kidolgozását, figyelembe véve a különböző ágazatok egyedi jellemzőit.

(2) A tagállamok rendelkeznek arról, hogy az országos szabályzattervezetet kidolgozó, vagy a meglévő országos szabályzatot módosítani, vagy bővíteni szándékozó szakmai szövetségek és az egyéb adatkezelőket képviselő más szervek ezeket véleményezésre előterjeszthessék a nemzeti hatóságnak.

A tagállamok rendelkeznek arról, hogy ez a hatóság állapítsa meg, többek között, hogy az elé terjesztett tervezetek összhangban vannak-e az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezésekkel. A hatóság, amennyiben ezt szükségesnek tartja, kikérheti az érintettek vagy azok képviselőinek véleményét.

(3) A közösségi szabályzattervezetek, továbbá a meglévő közösségi szabályzatok módosításai és bővítései a 29. cikkben említett munkacsoport elé terjeszthetők. A munkacsoport, többek között, meghatározza, hogy az elé terjesztett tervezetek összhangban vannak-e az irányelvnek megfelelően elfogadott nemzeti rendelkezésekkel. A hatóság, amennyiben ezt szükségesnek tartja, kikérheti az érintettek vagy azok képviselőinek véleményét. A munkacsoport által jóváhagyott szabályzatok számára a Bizottság megfelelő nyilvánosságot biztosíthat.

VI. FEJEZET

A FELÜGYELŐ HATÓSÁG ÉS A SZEMÉLYES ADATFELDOLGOZÁS VONATKOZÁSÁBAN AZ EGYÉNEK VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT

28. cikk

A felügyelő hatóság

(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.

E hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el.

(2) Minden tagállamnak rendelkeznie kell arról, hogy a személyes adatok feldolgozása vonatkozásában az egyének jogainak és szabadságainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletek kidolgozásakor a felügyelő hatóságokkal konzultáljanak.

(3) A hatóságok különösen a következő jogosultságokkal rendelkeznek:

- vizsgálati jogkör, mint például az adatfeldolgozási műveletek tárgyát képező adatokhoz való hozzáférés joga, továbbá a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga,

- tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,

- bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.

A felügyelő hatóság kifogásolható határozatai bíróság előtt megtámadhatók.

(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt értesíteni kell.

A felügyelő hatóságoknak foglalkozniuk kell különösen az adatfeldolgozás törvényességének ellenőrzésére irányuló, bármely személy által benyújtott kérelemmel, amennyiben az ezen irányelv 13. cikkének értelmében elfogadott nemzeti rendelkezések alkalmazhatóak. Az érintett személyt mindenképpen értesíteni kell, ha az ellenőrzés megtörtént.

(5) A felügyelő hatóságok tevékenységükről rendszeresen jelentést készítenek. A jelentést nyilvánosságra kell hozni.

(6) A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam hatóságát hatáskörének gyakorlására.

A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.

(7) A tagállamoknak rendelkezniük kell arról, hogy a felügyelő hatóság tagjaira és személyzetére megbízatásuk lejárta után is vonatkozzon a szakmai titoktartási kötelezettség a számukra hozzáférhető bizalmas információk tekintetében.

29. cikk

A személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport

(1) Ezennel létrejön a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport, a továbbiakban: "munkacsoport".

A munkacsoport tanácsadói státuszban működik és függetlenül jár el.

(2) A munkacsoport az egyes tagállamok által kijelölt felügyelő hatóság vagy hatóságok képviselőjéből, a közösségi intézmények és szervek nevében létrehozott hatóság vagy hatóságok képviselőjéből, továbbá a Bizottság egy képviselőjéből áll.

A munkacsoport minden egyes tagját az az intézmény, hatóság, vagy hatóságok jelöli vagy jelölik ki, amelyet, illetve amelyeket képvisel. Ha a tagállam több felügyelő hatóságot jelöl ki, ezek közös képviselőt állítanak. Ugyanez vonatkozik a közösségi intézmények és szervek nevében létrehozott hatóságokra is.

(3) A munkacsoport határozatait a felügyelő hatóságok képviselőinek egyszerű többségével hozza.

(4) A munkacsoport megválasztja saját elnökét. Az elnök megbízatása két évre szól. A kinevezés megújítható.

(5) A munkacsoport titkárságáról a Bizottság gondoskodik.

(6) A munkacsoport elfogadja saját eljárási szabályzatát.

(7) A munkacsoport megtárgyalja a saját kezdeményezésére, a felügyelő hatóságok képviselőjének vagy a Bizottság kérelmére az elnök által napirendre tűzött pontokat.

30. cikk

(1) A munkacsoport:

a) megvizsgál minden, az irányelv értelmében elfogadott nemzeti intézkedések alkalmazása körébe tartozó kérdést azok egységes alkalmazása érdekében;

b) véleményt nyilvánít a Bizottság felé a Közösség és a harmadik országok védelmének szintjéről;

c) tanácsot ad a Bizottságnak az ezen irányelv javasolt módosításaival, a személyes adatok feldolgozása tekintetében a természetes személyek jogainak és szabadságainak biztosítását célzó további vagy különleges intézkedésekkel, és az e jogokat és szabadságokat érintő, egyéb javasolt közösségi intézkedésekkel kapcsolatban;

d) véleményt nyilvánít a közösségi szinten kidolgozott eljárási szabályzatokról.

(2) Amennyiben a munkacsoport megállapítja, hogy a Közösségben a személyes adatok feldolgozása tekintetében a személyek azonos szintű védelmét előreláthatóan befolyásoló eltérések tapasztalhatók a tagállamok jogszabályai és eljárási gyakorlata között, erről megfelelően értesíti a Bizottságot.

(3) A munkacsoport saját kezdeményezésére ajánlásokat tehet bármely kérdésben, amely a személyes adatok közösségen belüli feldolgozása tekintetében a személyek védelmével kapcsolatos.

(4) A munkacsoport véleményeit és ajánlásait továbbítani kell a Bizottsághoz, valamint a 31. cikkben említett bizottsághoz.

(5) A Bizottság tájékoztatja a munkacsoportot az annak véleményei és ajánlásai hatására tett intézkedéseiről. A Bizottság e tájékoztatást jelentésbe foglalja, amelyet továbbít az Európai Parlamenthez és a Tanácshoz. A jelentést nyilvánosságra kell hozni.

(6) A munkacsoport éves jelentést készít személyes adatok közösségen és harmadik országokon belüli feldolgozása tekintetében a természetes személyek védelmére vonatkozó helyzetről, amelyet továbbít a Bizottsághoz, az Európai Parlamenthez és a Tanácshoz. A jelentést nyilvánosságra kell hozni.

VII. FEJEZET

KÖZÖSSÉGI VÉGREHAJTÁSI INTÉZKEDÉSEK

31. cikk

A Bizottság

(1) A Bizottságot a tagállamok képviselőiből álló bizottság segíti, amelynek elnöke a Bizottság képviselője.

(2) A Bizottság képviselője a bizottság elé terjeszti a meghozandó intézkedések tervezetét. A bizottság, az elnök által az ügy sürgősségének megfelelően megállapított határidőn belül véleményt nyilvánít a tervezetről.

A véleménnyel a Szerződés 148. cikkének (2) bekezdésében megállapított többségnek egyet kell értenie. A bizottságon belül a tagállamok képviselőinek szavazatait az előbbi cikkben foglalt módon kell súlyozni. Az elnök nem szavaz.

A Bizottság haladéktalanul alkalmazandó intézkedéseket fogad el. Azonban, ha ezen intézkedések nincsenek összhangban a bizottság véleményével, arról a Bizottság haladéktalanul értesíti a Tanácsot. Ebben az esetben:

- a Bizottság az értesítés napjától számított három hónapig elhalasztja az általa hozott intézkedés alkalmazását,

- a Tanács, minősített többséggel eljárva, az első francia bekezdésben említett határidőn belül eltérő határozatot hozhat.

ZÁRÓ RENDELKEZÉSEK

32. cikk

(1) A tagállamok legkésőbb az irányelv elfogadásától számított hároméves időszak végére hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek az ezen irányelvnek való megfeleléshez szükségesek.

Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell csatolni. A hivatkozás módját a tagállamok határozzák meg.

(2) A tagállamok biztosítják, hogy az ezen irányelv alapján elfogadott nemzeti rendelkezések hatálybalépésének időpontjában már folyamatban lévő adatfeldolgozást az említett időponttól számított három éven belül összhangba hozzák ezekkel a rendelkezésekkel.

Az előző albekezdéstől eltérően, a tagállamok úgy is rendelkezhetnek, hogy az ezen irányelv végrehajtására elfogadott nemzeti rendelkezések hatálybalépésének időpontjában manuális nyilvántartási rendszerben tárolt adatok feldolgozását az irányelv elfogadásának időpontjától számított 12 éven belül kell összhangba hozni annak 6., 7. és 8. cikkével. A tagállamok jogot biztosíthatnak az érintettnek arra, hogy kérelmére, különösen hozzáférési jogának gyakorlása során, a hiányos, hibás, vagy az adatkezelő által kitűzött céllal összeegyeztethetetlen módon tárolt adatokat helyesbítsék, töröljék, vagy zárolják.

(3) A (2) bekezdéstől eltérően, a tagállamok, a megfelelő garanciák mellett, rendelkezhetnek arról, hogy a kizárólag történelmi kutatás céljából tárolt adatokat ne kelljen összhangba hozni ezen irányelv 6., 7. és 8. cikkeivel.

(4) A tagállamok közlik a Bizottsággal nemzeti joguk azon rendelkezéseinek szövegét, amelyeket az irányelv hatálya alá tartozó területen fogadtak el.

33. cikk

A Bizottság rendszeresen, és első alkalommal legkésőbb a 32. cikk (1) bekezdésében említett időponttól számított három évvel jelentést tesz a Tanácsnak és az Európai Parlamentnek az irányelv végrehajtásáról, jelentéséhez szükség esetén csatolva a módosításokra irányuló megfelelő javaslatokat. A jelentést nyilvánosságra kell hozni.

A Bizottság megvizsgálja ezen irányelvnek különösen a természetes személyekkel kapcsolatos hang- és képadatok adatfeldolgozására történő alkalmazását, és benyújtja az informatika terén elért fejlesztéseket figyelembe véve az információs társadalom elért fejlődési szintjére tekintettel szükségesnek bizonyuló megfelelő javaslatokat.

34. cikk

Ennek az irányelvnek a tagállamok a címzettjei.

Kelt Luxembourgban, 1995. október 24-én.

az Európai Parlament részéről

az elnök

K. Hänsch

a Tanács részéről

az elnök

L. Atienza Serna

[1] HL C 277., 1990.11.5., 3. o., és HL C 311., 1992.11.27., 30. o.

[2] HL C 159., 1991.6.17., 38. o.

[3] Az Európai Parlament 1992. március 11-i véleménye (HL C 94., 1992.4.13., 198. o.), 1993. december 2-i jóváhagyással (HL C 342., 1993.12.20., 30. o.); a Tanács 1995. február 20-i közös álláspontja (HL C 93., 1995.4.13., 1. o.) és az Európai Parlament 1995. június 15-i határozata (HL C 166., 1995.7.3.).

[4] HL L 197., 1987.7.18., 33. o.

--------------------------------------------------