(1)

A belső piac az Unió egyik legkézzelfoghatóbb vívmánya. Azáltal, hogy lehetővé teszi a személyek, az áruk, a szolgáltatások és a tőke szabad mozgását, új lehetőségeket kínál a polgárok és a vállalkozások számára. Ez a rendelet „Az egységes piac továbbfejlesztése: a polgárok és vállalkozások lehetőségeinek bővítése” című, 2015. október 28-i bizottsági közleménnyel létrehozott egységes piaci stratégia kulcsfontosságú eleme. E stratégia célja a belső piacban rejlő teljes potenciál felszabadítása azáltal, hogy megkönnyíti a polgárok és a vállalkozások számára az Unión belüli mozgást, valamint a határokon átnyúló kereskedelmi tevékenység folytatását, letelepedést és üzleti terjeszkedést.

(2)

Az „Európai digitális egységes piaci stratégia” című, 2015. május 6-i bizottsági közlemény elismerte az internet és a digitális technológiák szerepét életvitelünk átalakításában, annak megváltoztatásában, ahogyan a polgárok és a vállalkozások információkhoz férnek hozzá, ismereteket szereznek, árukat és szolgáltatásokat vásárolnak, piaci szereplőként lépnek fel, illetve dolgoznak, ezáltal lehetőségeket teremtve az innováció, a növekedés és a munkahelyteremtés számára. Az említett közlemény és az Európai Parlament által elfogadott számos állásfoglalás megállapította, hogy a meglévő európai szintű portálok, webhelyek, hálózatok, szolgáltatások és rendszerek kiterjesztésével és integrálásával, valamint különböző nemzeti megoldásokkal való összekapcsolásuk és ezáltal egy európai egyablakos ügyintézési pontként szolgáló „egységes digitális kapu” (a továbbiakban: a kapu) létrehozása révén a polgárok és a vállalkozások igényei saját országukban és a határokon átnyúlóan is jobban kielégíthetők. Az „Uniós e-kormányzati cselekvési terv 2016–2020 – A közigazgatás digitális átalakításának felgyorsítása” című, 2016. április 19-i bizottsági közlemény a 2017-re tervezett fellépései között sorolta fel a kapu létrehozását. „A polgárok jogainak megerősítése a demokratikus átalakulás uniójában – Az uniós polgárságról szóló 2017. évi jelentés” című, 2017. január 24-i bizottsági jelentés a kaput prioritásnak tekintette az uniós polgárok jogaival összefüggésben.

(3)

Az Európai Parlament és a Tanács több alkalommal is egy átfogóbb és felhasználóbarátabb információs és segítségnyújtó csomag kidolgozására hívott fel, amely megkönnyíti a polgárok és a vállalkozások belső piacon való eligazodását, valamint megerősíti és korszerűsíti a belső piaci eszközöket a határokon átnyúló tevékenységet folytató polgárok és vállalkozások igényeinek jobb kielégítése érdekében.

(4)

Ez a rendelet a polgárok és a vállalkozások számára a belső piaci jogaik gyakorlásához szükséges információkhoz, eljárásokhoz, segítségnyújtó és problémamegoldó szolgáltatásokhoz való könnyű hozzáférés biztosításával válaszol ezekre a felhívásokra. A kapu hozzájárulhat a szabályok és rendelkezések fokozottabb átláthatóságához az olyan különféle, üzleti és magánéleti eseményekhez kapcsolódó területeken, mint az utazás, a nyugdíjazás, az oktatás, a foglalkoztatás, az egészségügy, a fogyasztói jogok és a családi jogok. Emellett segíthet javítani a fogyasztói bizalmat, orvosolni a fogyasztóvédelmi és belső piaci szabályok ismeretének hiányát és csökkenteni a vállalkozások megfelelési költségeit. Ez a rendelet egy felhasználóbarát, interaktív kaput hoz létre, amely a felhasználók igényei alapján elvezeti őket a legmegfelelőbb szolgáltatásokhoz. Ennek keretében a Bizottság és a tagállamok fontos szerepet kell, hogy játsszanak e célkitűzések megvalósításában.

(5)

A kapunak elő kell segítenie egyrészről a polgárok és a vállalkozások, másrészről pedig az illetékes hatóságok közötti kommunikációt azáltal, hogy hozzáférést biztosít az online megoldásokhoz, megkönnyítve ezzel a polgárok és a vállalkozások mindennapi tevékenységeit, és minimalizálva a belső piacon számukra felmerülő akadályokat. Egy olyan egységes digitális kapu, amely online hozzáférést biztosít pontos és naprakész információkhoz, eljárásokhoz, valamint segítségnyújtó és problémamegoldó szolgáltatásokhoz, segíthet felhívni a felhasználók figyelmét a különböző létező online szolgáltatásokra, valamint időt és költséget takaríthat meg számukra.

(6)

Ez a rendelet három céllal rendelkezik: nevezetesen az azokra a polgárokra és vállalkozásokra nehezedő további adminisztratív terhek csökkentése, akik, illetve amelyek belső piaci jogaikat, közöttük a polgárok szabad mozgásának jogát a nemzeti szabályokkal és eljárásokkal teljes mértékben összhangban gyakorolják vagy gyakorolni kívánják, a hátrányos megkülönböztetés megszüntetése, valamint a belső piacon a tájékoztatás, az eljárások, a segítségnyújtó és problémamegoldó szolgáltatások működésének biztosítása. Mivel hatálya kiterjed a polgárok szabad mozgására, méghozzá nem csupán járulékos jelleggel, e rendeletnek az Európai Unió működéséről szóló szerződés (EUMSZ) 21. cikkének (2) bekezdésén és 114. cikkének (1) bekezdésén kell alapulnia.

(7)

Annak érdekében, hogy az uniós polgárok és vállalkozások élhessenek a belső piacon való szabad mozgáshoz való jogukkal, az Uniónak olyan konkrét, megkülönböztetésmentes intézkedéseket kell elfogadnia, amelyek lehetővé teszik számukra, hogy könnyen hozzáférjenek az uniós jogszabályokon alapuló jogaikra vonatkozó, kellően átfogó és megbízható információhoz, valamint tájékoztatást kapjanak azokról a nemzeti szabályokról és eljárásokról, amelyeknek meg kell felelniük azokban az esetekben, amikor a saját tagállamuktól eltérő tagállamba költöznek, ott élnek vagy tanulmányokat folytatnak, továbbá vállalkozást hoznak létre vagy üzleti tevékenységet folytatnak. Az információ akkor minősül kellően átfogónak, ha magában foglal minden olyan információt, amely a felhasználók számára szükséges annak megértéséhez, hogy milyen jogokkal és kötelezettségekkel rendelkeznek, illetve ha megjelöli, hogy milyen szabályok alkalmazandóak rájuk a határon átnyúló tevékenységet folytató felhasználóként folytatni tervezett tevékenységeik kapcsán. Az információkat egyértelmű, tömör és érthető módon kell közölni, és azoknak használhatónak kell lenniük, valamint igazodniuk kell a felhasználói célcsoporthoz. Az eljárásokkal kapcsolatos információknak ki kell terjedniük minden olyan előre látható eljárási lépésre, amely releváns a felhasználó számára. Összetett szabályozási környezetben, így például az e-kereskedelem és a közösségi gazdaság területén tevékenységet folytató polgárok és vállalkozások esetében fontos az, hogy könnyen meg tudják találni az alkalmazandó szabályokat, és meg tudják állapítani, hogy azok hogyan alkalmazandók a tevékenységeikre. Az információkhoz való hozzáférés akkor minősül könnyűnek és felhasználóbarátnak, ha a felhasználók könnyen meg tudják találni az információkat, könnyen be tudják azonosítani, hogy az ő egyedi helyzetükre nézve az információk mely részei relevánsak, és könnyen meg tudják érteni a releváns információkat. A nemzeti szinten nyújtandó tájékoztatásnak nemcsak az uniós jogot végrehajtó nemzeti szabályokra kell kiterjednie, hanem az egyéb olyan nemzeti szabályokra is, amelyek a határon átnyúló tevékenységet folytató és az ilyen tevékenységet nem folytató felhasználókra egyaránt alkalmazandóak.

(8)

Az e rendeletben foglalt, információnyújtásra vonatkozó szabályokat nem kell a nemzeti igazságszolgáltatási rendszerekre alkalmazni, mivel e terület vonatkozásában a határon átnyúló tevékenységet folytató felhasználók számára releváns információkat az e-igazságügyi portál már tartalmazza. Bizonyos, e rendelet hatálya alá tartozó helyzetekben előfordulhat, hogy bíróságok minősülnek illetékes hatóságnak, például ha a bíróságok kezelik a cégnyilvántartásokat. Ezen felül a megkülönböztetésmentesség elvét a bírósági eljárásokhoz való hozzáférést biztosító online eljárások esetében is érvényesíteni kell.

(9)

Egyértelmű, hogy a más tagállamokból származó polgárok és vállalkozások hátrányos helyzetbe kerülhetnek a nemzeti szabályok és közigazgatási rendszerek ismeretének hiánya, a nyelvi különbségek, valamint a sajátjuktól eltérő tagállamban található illetékes hatóságoktól való földrajzi távolságuk miatt. A belső piaci akadályok csökkentésének leghatékonyabb módja, ha lehetővé válik a határon átnyúló tevékenységet folytató, illetve ilyen tevékenységet nem folytató felhasználók számára, hogy az online információkhoz olyan nyelven férjenek hozzá, amelyet megértenek, a nemzeti szabályoknak való megfelelés érdekében teljes mértékben online folytassanak le eljárásokat, és segítséget kapjanak abban az esetben, ha a szabályok és az eljárások nem egyértelműek, vagy ha akadályokba ütköznek jogaik gyakorlása során.

(10)

Számos uniós jogi aktus jött létre azzal a céllal, hogy ágazati egyablakos ügyintézési pontok révén nyújtson megoldásokat, ideértve a 2006/123/EK európai parlamenti és tanácsi irányelv (3) által létrehozott egyablakos ügyintézési pontokat is, amelyek a szolgáltatásnyújtás szempontjából releváns online információkhoz, segítségnyújtó szolgáltatásokhoz és eljárásokhoz biztosítanak hozzáférést, a 764/2008/EK európai parlamenti és tanácsi rendelet (4) által létrehozott termékinformációs kapcsolattartó pontokat és a 305/2011/EU európai parlamenti és tanácsi rendelet (5) által létrehozott építésitermék-információs kapcsolattartó pontokat, amelyek termékspecifikus technikai szabályokhoz való hozzáférést biztosítanak, valamint a 2005/36/EK európai parlamenti és tanácsi irányelv (6) által létrehozott, szakmai képesítésekkel foglalkozó nemzeti segítségnyújtó központokat, amelyek a határokon átnyúlóan munkát vállaló szakembereket hivatottak segíteni. Emellett olyan hálózatok is létrejöttek, mint az Európai Fogyasztói Központok Hálózata, amelyek előmozdítják az uniós fogyasztói jogokkal kapcsolatos tájékoztatást, és segítik a hálózatban részt vevő más tagállamokban – utazás vagy online vásárlás alkalmával – végzett vásárlásokkal kapcsolatos panaszok rendezését. Mindezeken kívül a 2013/461/EU bizottsági ajánlásban (7) említett SOLVIT gyors, hatékony és informális megoldásokat kíván nyújtani a magánszemélyek és vállalkozások számára abban az esetben, ha a hatóságok nem teszik lehetővé számukra belső piaci jogaik gyakorlását. Végül számos információs portál is létrejött, például a belső piaccal kapcsolatos „Európa Önökért” portál és az igazságszolgáltatás területével kapcsolatos e-igazságügyi portál, amelyek a felhasználókat az uniós és nemzeti szabályokról tájékoztatják.

(11)

Az említett uniós jogi aktusok ágazati jellege miatt az online információk és segítségnyújtó és problémamegoldó szolgáltatások, valamint a polgárok és a vállalkozások rendelkezésére álló online eljárások továbbra is rendkívül széttagoltak. Eltérések vannak az online információk és eljárások elérhetőségében, a szolgáltatások minőségével kapcsolatban hiányosságok tapasztalhatók, valamint alacsony az említett információk és segítségnyújtó és problémamegoldó szolgáltatások ismertsége. A határon átnyúló tevékenységet folytató felhasználók szintén nehézségeket tapasztalnak e szolgáltatások megtalálása és az azokhoz való hozzáférés során.

(12)

E rendeletnek egy egységes ügyintézési pontként működő egységes digitális kaput kell létrehoznia, amelyen keresztül a polgárok és a vállalkozások hozzáférhetnek az azokra a szabályokra és követelményekre vonatkozó információkhoz, amelyeket az uniós vagy nemzeti jog értelmében be kell tartaniuk. A kapunak egyszerűbbé és hatékonyabbá kell tennie a polgárok és a vállalkozások kapcsolatát az uniós vagy nemzeti szinten létrehozott segítségnyújtó és problémamegoldó szolgáltatásokkal. A kapunak az online eljárásokhoz való hozzáférést és azok lefolytatását is meg kell könnyítenie. Ez a rendelet semmilyen módon nem érintheti az adott szakpolitikai területre vonatkozó meglévő uniós vagy nemzeti jog szerinti jogokat és kötelezettségeket. E rendeletnek az e rendelet II. mellékletében felsorolt eljárásokkal és a 2005/36/EK, a 2006/123/EK, a 2014/24/EU (8) és a 2014/25/EU (9) európai parlamenti és tanácsi irányelvben előírt eljárásokkal összefüggésben támogatnia kell az „egyszeri adatszolgáltatás” elvének alkalmazását, és teljes mértékben tiszteletben kell tartania a személyes adatok védelméhez való alapvető jogot az igazolások különböző tagállamok illetékes hatóságai közötti cseréje céljából.

(13)

A kapunak és tartalmának felhasználóközpontúnak és felhasználóbarátnak kell lennie. A kapunak kerülnie kell az átfedéseket, és linkek révén kapcsolatot kell biztosítania a meglévő szolgáltatásokkal. Lehetővé kell tennie a polgárok és a vállalkozások számára, hogy kapcsolatba lépjenek a nemzeti és uniós szintű közigazgatási szervekkel, lehetőséget biztosítva számukra, hogy visszajelzést adjanak mind a kapun keresztül hozzáférhető szolgáltatásokat, mind pedig a belső piac működésével kapcsolatos tapasztalataikat illetően. A visszajelzési eszköznek a szolgáltatások minőségének folyamatos javítása érdekében lehetővé kell tennie a felhasználó számára, hogy névtelenségének megőrzése mellett jelezze az észlelt problémákat, hiányosságokat és szükségleteket.

(14)

A kapu sikere a Bizottság és a tagállamok közös erőfeszítésétől függ. A kapunak magában kell foglalnia egy, a Bizottság által működtetendő közös felhasználói felületet, amely beépül a meglévő „Európa Önökért” portálba. A közös felhasználói felületen linkeket kell elhelyezni a tagállamok illetékes hatóságai és a Bizottság által kezelt portálokon rendelkezésre álló információkhoz, eljárásokhoz, illetve segítségnyújtó vagy problémamegoldó szolgáltatásokhoz. A kapu használatának megkönnyítése érdekében a közös felhasználói felületnek az Unió intézményeinek valamennyi hivatalos nyelvén (a továbbiakban: az Unió hivatalos nyelvei) rendelkezésre kell állnia. A meglévő „Európa Önökért” portálon és annak fő belépési weboldalán, amely a kapu követelményeihez igazodik, biztosítani kell ezt a többnyelvű megközelítést a nyújtott információk tekintetében. A kapu működését a Bizottság által a tagállamokkal szoros együttműködésben kidolgozott technikai eszközökkel kell támogatni.

(15)

A 2006/123/EK irányelv szerinti elektronikus egyablakos ügyintézési pontok chartájában, amelyet a Tanács 2013-ban fogadott el, a tagállamok önkéntesen vállalták, hogy az egyablakos ügyintézési pontokon keresztül történő tájékoztatás tekintetében felhasználóközpontú megközelítést alakítanak ki a vállalkozások számára különösen fontos területeken, ideértve a héát és a jövedelemadót, valamint a társadalombiztosítási és munkajogi követelményeket. A charta és az „Európa Önökért” portál kapcsán szerzett tapasztalatok alapján e tájékoztatásnak tartalmaznia kell a segítségnyújtó és problémamegoldó szolgáltatások leírását is. A polgárok és a vállalkozások számára lehetővé kell tenni, hogy ezekhez a szolgáltatásokhoz forduljanak, ha problémájuk van az információk megértésével, az információknak a saját helyzetükre való alkalmazásával vagy egy eljárás lefolytatásával kapcsolatban.

(16)

Ennek a rendeletnek fel kell sorolnia azokat az információterületeket, amelyek relevánsak a belső piacon jogaikat gyakorló és kötelezettségeiket teljesítő polgárok és vállalkozások számára. E területek vonatkozásában nemzeti, és ezen belül regionális és helyi szinten, valamint uniós szinten kellően átfogó tájékoztatást kell nyújtani, és annak részeként el kell magyarázni az alkalmazandó szabályokat és kötelezettségeket, valamint azokat az eljárásokat, amelyeket a polgároknak és a vállalkozásoknak le kell folytatniuk az alkalmazandó szabályoknak és kötelezettségeknek való megfelelés érdekében. A nyújtott szolgáltatások minőségének biztosítása érdekében a kapun keresztül nyújtott információknak egyértelműnek, pontosnak és naprakésznek kell lenniük, a bonyolult terminológia használatát a minimálisra kell korlátozni, a mozaikszavak közül pedig csak azokat szabad használni, amelyek egyszerűsített és könnyen érthető fogalmak, és nem követelik meg a kérdés vagy a jogterület előzetes ismeretét. Ezt a tájékoztatást úgy kell rendelkezésre bocsátani, hogy a felhasználók könnyen megérthessék a saját helyzetükre e területek esetében vonatkozó alapvető szabályokat és követelményeket. A felhasználókat ezenkívül tájékoztatni kell arról is, ha az I. mellékletben felsorolt információterületeken egyes tagállamokban nem léteznek nemzeti szabályok, különösen akkor, ha e területeket más tagállamokban nemzeti szinten szabályozzák. A nemzeti szabályok hiányára vonatkozó ezen tájékoztatást az „Európa Önökért” portálon is közzé lehet tenni.

(17)

Amennyiben lehetséges, a polgárok és a vállalkozások számára uniós és nemzeti szinten, e rendelet alapján nyújtandó tájékoztatás részeként fel kell használni azokat az adatokat, amelyeket a Bizottság a hatályos uniós jogszabályok vagy önkéntes rendszerek – például az (EU) 2016/589 európai parlamenti és tanácsi rendelet (10) által létrehozott EURES-portál, a 2001/470/EK tanácsi határozat (11) által létrehozott e-igazságügyi portál vagy a 2005/36/EK irányelv által létrehozott szabályozott szakmák adatbázisa – alapján már összegyűjtött a tagállamoktól. A tagállamoktól nem követelhető meg, hogy nemzeti webhelyeiken olyan információkat nyújtsanak, amelyek a Bizottság által kezelt vonatkozó adatbázisokban már elérhetőek. Abban az esetben, ha a tagállamok egyéb uniós jogi aktusoknak, így például a 2014/67/EU európai parlamenti és tanácsi irányelvnek (12) megfelelően már egyébként is kötelesek online információkat közölni, elegendő, ha a tagállamok a meglévő online információkra mutató linkeket bocsátanak rendelkezésre. Ha egy adott szakpolitikai területet az uniós jog már teljes mértékben harmonizált, ahogy például a fogyasztói jogok esetében, az uniós szinten rendelkezésre bocsátott információ általában elegendő kell, hogy legyen ahhoz, hogy a felhasználók megértsék a rájuk vonatkozó jogokat és kötelezettségeket. Ilyen esetekben a tagállamoknak csak a nemzeti közigazgatási eljárásaikra és segítségnyújtó szolgáltatásaikra, vagy egyéb nemzeti közigazgatási szabályokra vonatkozó kiegészítő információkat kell közölniük, feltéve, hogy ezen információk a felhasználók számára relevánsak. A fogyasztói jogokra vonatkozó információk például nem érinthetik a szerződési jogot, ehelyett a fogyasztókat inkább az uniós és a nemzeti jog alapján a kereskedelmi ügyletekkel összefüggésében fennálló jogaikról kell, hogy tájékoztassák.

(18)

E rendeletnek erősítenie kell az online eljárások belső piaci dimenzióját, és ezáltal hozzá kell járulnia a belső piac digitalizálásához azáltal, hogy érvényesíti a megkülönböztetésmentesség általános elvét többek között a polgároknak és a vállalkozásoknak az azon online eljárásokhoz való hozzáférése tekintetében, amelyek az uniós vagy nemzeti jog alapján már léteznek nemzeti szinten, illetve azon eljárásokhoz, amelyeket e rendelet alapján teljes mértékben online elérhetővé kell tenni. Ha egy felhasználó valamely kizárólag egyetlen tagállamra korlátozódó helyzetben online elérhet és lefolytathat valamely eljárást az adott tagállamban az e rendelet hatálya alá eső valamely területen, akkor egy határon átnyúló tevékenységet folytató felhasználó számára is lehetővé kell tenni az online hozzáférést és lefolytatást ugyanazon eljárás tekintetében, mégpedig vagy ugyanazon technikai megoldás segítségével, vagy pedig egy más, technikailag különálló megoldással, amely azonban ugyanahhoz az eredményhez vezet, bármilyen diszkriminatív akadály nélkül. Ilyen akadályok nemzeti szinten kialakított megoldásokból is állhatnak, mint például az, amikor az űrlapokon egyes mezőiben megkövetelik az adott országban használt telefonszámok, nemzeti előhívószámok vagy nemzeti irányítószámok megadását, csak határokon átnyúló fizetéseket nem biztosító rendszereken keresztül teljesíthetők a díjfizetések, nem állnak rendelkezésre részletes magyarázatok a határon átnyúló tevékenységet folytató felhasználók által érthető nyelven, más tagállamban található hatóságoktól származó elektronikus igazolás benyújtására nincs lehetőség, valamint a más tagállamokban kibocsátott elektronikus azonosítási eszközöket nem fogadják el. A tagállamoknak megoldással kell szolgálniuk ezen akadályok tekintetében.

(19)

Ha a felhasználók határokon átnyúló online eljárásokat folytatnak, akkor lehetővé kell tenni, hogy az összes releváns magyarázathoz az Unió valamely olyan hivatalos nyelvén hozzáférjenek, amelyet a lehető legtöbb, határon átnyúló tevékenységet folytató felhasználó széles körben ért. Ezt nem azt jelenti, hogy a tagállamoknak le kell fordítaniuk az eljáráshoz kapcsolódó közigazgatási formanyomtatványaikat, vagy az eljárás eredményét erre a nyelvre. A tagállamokat azonban olyan technikai megoldások használatára kell ösztönözni, amelyek lehetővé teszik a felhasználók számára, hogy a lehető legtöbb esetben ezen az adott nyelven folytassák le az eljárásokat, tiszteletben tartva ugyanakkor az egyes tagállamok nyelvhasználatra vonatkozó nemzeti szabályait.

(20)

Az, hogy mely online nemzeti eljárások relevánsak abból a célból, hogy a határon átnyúló tevékenységet folytató felhasználók gyakorolhassák belső piaci jogaikat, attól függ, hogy az érintett tagállamban rendelkeznek-e lakóhellyel vagy székhellyel, vagy úgy kívánnak az érintett tagállam eljárásaihoz hozzáférni, hogy egy másik tagállamban rendelkeznek lakóhellyel, illetve székhellyel. E rendelet nem akadályozza meg a tagállamokat abban, hogy a területükön lakóhellyel vagy székhellyel rendelkező, határon átnyúló tevékenységet folytató felhasználók esetében az online nemzeti eljárásokhoz való hozzáféréshez nemzeti azonosító szám beszerzését írják elő, feltéve, hogy ez nem von maga után indokolatlan további terhet vagy költséget e felhasználók számára. Az olyan, határon átnyúló tevékenységet folytató felhasználók számára, akik az érintett tagállamban nem rendelkeznek lakóhellyel vagy székhellyel, azokat az online nemzeti eljárásokat, amelyek belső piaci jogaik gyakorlása szempontjából nem relevánsak – így például olyan helyi szolgáltatások kérelmezését, mint a hulladékgyűjtés vagy a parkolási engedélyek kiadása – nem kell teljes mértékben online elérhetővé tenni.

(21)

E rendeletnek a 910/2014/EU európai parlamenti és tanácsi rendeletre (13) kell épülnie, amely megállapítja azokat a feltételeket, amelyek mellett a tagállamok elismernek a más tagállamok bejelentett elektronikus azonosítási rendszerének keretébe tartozó természetes és jogi személyek esetében bizonyos elektronikus azonosító eszközöket. A 910/2014/EU rendelet meghatározza azokat a feltételeket, amelyek fennállása esetén a felhasználók az online közszolgáltatások határokon átnyúló igénybevételéhez használhatják elektronikus azonosító és hitelesítő eszközeiket. Az uniós intézményeket, szerveket és hivatalokat és ügynökségeket ösztönözni kell arra, hogy a felelősségi körükbe tartozó eljárások során fogadják el az elektronikus azonosító és hitelesítő eszközök használatát.

(22)

Számos ágazati uniós jogi aktus – például a 2005/36/EK, a 2006/123/EK, a 2014/24/EU és a 2014/25/EU irányelv – előírja, hogy az eljárásokat teljes mértékben online elérhetővé kell tenni. E rendeletnek a teljes mértékű online elérés követelményét ki kell terjesztenie számos egyéb eljárásra, amely kulcsfontosságú a polgárok és a vállalkozások túlnyomó többsége számára a jogaik és kötelezettségeik határokon átnyúló gyakorlása, illetve teljesítése szempontjából.

(23)

Annak érdekében, hogy a polgárok és a vállalkozások a rájuk háruló további szükségtelen adminisztratív terhek nélkül közvetlenül élvezhessék a belső piac előnyeit, e rendeletnek elő kell írnia az e rendelet II. mellékletében felsorolt, a határon átnyúló tevékenységet folytató felhasználók esetében meghatározott egyes kulcsfontosságú eljárások felhasználói felületének teljeskörű digitalizálását. E rendeletnek ezen felül meg kell határoznia azokat a kritériumokat, amelyek alapján megállapítható, hogy egy eljárás hogyan minősül teljes mértékben online eljárásnak. Az ilyen eljáráshoz való teljes mértékű online hozzáférés biztosítására vonatkozó kötelezettség csak abban az esetben alkalmazandó, ha az érintett tagállamban már létezik az eljárás. E rendelet hatálya nem terjedhet ki az üzleti tevékenység kezdeti nyilvántartásba vételére, sem pedig a jogi személyiséggel rendelkező társaságok alapításához vezető eljárásokra vagy az ilyen társaságok bármilyen későbbi bejegyzési kérelmére, mivel az ilyen eljárások olyan átfogó megközelítést igényelnek, amelynek célja a digitális megoldások elősegítése a vállalat teljes életciklusa során. Amikor a vállalkozások egy másik tagállamban telepednek le, nyilvántartásba kell vetetniük magukat egy társadalombiztosítási és egy biztosítási rendszerben alkalmazottaik bejelentése és a két rendszerbe történő befizetések céljából. Ekkor szükséges lehet, hogy bejelentsék üzleti tevékenységüket, engedélyeket szerezzenek be vagy bejegyezzék az üzleti tevékenységükben bekövetkező változásokat. Ezek az eljárások a gazdaság számos ágazatában valamennyi vállalkozás számára azonosak, ezért helyénvaló előírni, hogy online elérhetők legyenek.

(24)

E rendeletnek egyértelművé kell tennie, hogy mit foglal magában az, ha egy eljárás teljes mértékben online elérhető. Egy eljárás akkor tekinthető teljes mértékben online jellegűnek, ha a felhasználó az eljárás elérésétől annak befejezéséig minden lépést az illetékes hatósággal (azaz az ügyintézési felülettel) folytatott interakció révén elektronikusan végezhet el, távolról és online szolgáltatáson keresztül. Ennek az online szolgáltatásnak végig kell vezetnie a felhasználót a teljesítendő követelmények és a benyújtandó igazolások listáján, lehetővé kell tennie a felhasználó számára, hogy benyújtsa az információkat és a valamennyi ilyen követelmény teljesítéséhez szükséges igazoló adatot, valamint a benyújtás megtörténtéről automatikus megerősítést kell küldenie a felhasználónak, kivéve, ha az eljárás eredménye azonnal kézbesítésre kerül. Ez nem akadályozhatja meg az illetékes hatóságokat abban, hogy a felhasználókkal közvetlenül felvegyék a kapcsolatot, ha ez az eljárás érdekében, további pontosítás beszerzése céljából szükséges. Amennyiben az alkalmazandó uniós és nemzeti jog azt lehetővé teszi, az illetékes hatóságoknak az eljárás e rendeletben meghatározott eredményét is elektronikus úton kell megküldeniük a felhasználóknak.

(25)

Ez a rendelet nem érintheti a II. mellékletben felsorolt, nemzeti, regionális vagy helyi szinten megállapított eljárások tartalmát, és nem határoz meg anyagi vagy eljárási szabályokat a II. melléklet hatálya alá tartozó területeken, az adóügyi kérdéseket is beleértve. E rendelet célja, hogy meghatározza az ilyen eljárások teljes mértékben online elérhetővé tételéhez szükséges technikai követelményeket, amennyiben az adott eljárásokat az érintett tagállamban létrehozták.

(26)

E rendelet nem érintheti a nemzeti hatóságoknak az eljárásokkal kapcsolatban fennálló hatásköreit, beleértve a benyújtott információk vagy igazolások helytállóságának és érvényességének ellenőrzését, valamint a hitelesség ellenőrzését, amennyiben a igazolásokat az „egyszeri adatszolgáltatás” elvén alapuló technikai rendszertől eltérő módon nyújtják be. E rendelet hasonlóképpen nem érintheti az illetékes hatóságokon belüli és azok közötti eljárási munkafolyamatokat (azaz a háttérfolyamatokat), függetlenül attól, hogy azok digitalizáltak vagy sem. Amennyiben szükséges, az üzleti tevékenység változásának nyilvántartásba vételére irányuló egyes eljárásoknál a tagállamok továbbra is előírhatják közjegyzők vagy ügyvédek bevonását, akik adott esetben videokonferenciát vagy egyéb, valós idejű audiovizuális kapcsolatot biztosító online eszközt vehetnek igénybe az ellenőrzéshez. Bevonásuk azonban nem akadályozhatja azt, hogy a változások nyilvántartásba vételére irányuló eljárást teljes egészében online lehessen lefolytatni.

(27)

Bizonyos esetekben a felhasználóktól megkövetelhetik, hogy igazolásokat nyújtsanak be olyan tények bizonyítására, amelyeket online eszközökkel nem lehet megállapítani. Ilyenek lehetnek az orvosi igazolások, az életbenléti igazolások, illetve a gépjárművek műszaki alkalmasságának vagy alvázszámának igazolása. Ha ezeket az igazoló dokumentumokat be lehet nyújtani elektronikus formában, akkor ez nem jelenthet kivételt az alól az elv alól, hogy az eljárásoknak teljes mértékben online elérhetőnek kell lenniük. Más esetekben továbbra is szükség lehet arra, hogy az eljárás felhasználói az online eljárás részeként személyesen megjelenjenek az illetékes hatóság előtt. Az ilyen – nem az uniós jogból eredő – kivételeket azokra a helyzetekre kell korlátozni, amikor azokat a közbiztonság, a közegészségügy vagy a csalás elleni küzdelem területén fennálló, közérdeken alapuló kényszerítő indok támasztja alá. Az átláthatóság biztosítása érdekében a tagállamoknak meg kell osztaniuk a Bizottsággal és a többi tagállammal az ilyen kivételekkel, illetve az alkalmazásukat lehetővé tévő indokokkal és körülményekkel kapcsolatos információkat. A tagállamoktól nem követelhető meg, hogy minden egyes olyan egyedi esetről jelentést tegyenek, amikor kivételesen fizikai jelenlétre volt szükség, ehelyett az ilyen eseteket előíró nemzeti rendelkezéseket kell közölniük. A nemzeti szintű bevált gyakorlatokat és az e tekintetben további digitalizációt lehetővé tevő technikai fejleményeket rendszeresen meg kell vitatni a kapuval foglalkozó koordinációs csoportban.

(28)

A lakcímváltozás bejelentésére vonatkozó eljárás határokon átnyúló helyzetekben két külön eljárásból állhat: a származás szerinti tagállamban kérni kell a régi lakcím törlését, a cél szerinti tagállamban pedig kérni kell az új lakcím nyilvántartásba vételét. E rendelet hatályának mindkét eljárásra ki kell terjednie.

(29)

mivel a szakmai képesítések elismeréséhez kapcsolódó követelmények, eljárások és alaki követelmények digitalizálásáról a 2005/36/EK irányelv már rendelkezik, ez a rendelet az oklevelek, a bizonyítványok vagy a tanulmányok lezárását alátámasztó egyéb igazolások kizárólag tanulmányi célú elismerésének kérelmezésére irányuló eljárás digitalizációjára vonatkozik olyan személyek esetében, akik tanulmányokat szeretnének kezdeni vagy a megkezdett tanulmányaikat szeretnék folytatni, vagy egy tudományos címet szeretnének használni a szakmai képesítések elismerésére vonatkozó alaki követelmények keretein kívül.

(30)

Ez a rendelet nem érintheti a 883/2004/EK (14) és a 987/2009/EK (15) európai parlamenti és tanácsi rendeletekben foglalt szociális biztonsági koordinációs szabályokat, amelyek meghatározzák a biztosítottak és a szociális biztonsági intézmények jogait és kötelezettségeit, valamint a szociális biztonsági rendszerek koordinálása terén alkalmazandó eljárásokat.

(31)

Több hálózat és szolgáltatás is létrejött uniós és nemzeti szinten annak érdekében, hogy segítsék a polgárokat és a vállalkozásokat a határokon átnyúló tevékenységeikben. Fontos, hogy ezek a szolgáltatások – közöttük az uniós szinten létrehozott összes segítségnyújtó vagy problémamegoldó szolgáltatás, például az Európai Fogyasztói Központok, az Európa Önökért Tanácsadó Szolgálat, a SOLVIT, a Szellemi Tulajdonjogok HelpDesk, a Europe Direct és az Európai Vállalkozási Hálózat – a kapu részét képezzék annak biztosítása érdekében, hogy valamennyi potenciális felhasználó megtalálja őket. A III. mellékletben felsorolt szolgáltatásokat kötelező erejű uniós jogi aktusok hozták létre, míg más szolgáltatások önkéntes alapon működnek. A kötelező erejű uniós jogi aktusok által létrehozott szolgáltatások számára elő kell írni az e rendeletben meghatározott minőségi követelményeknek való kötelező megfelelést. Az önkéntes alapon működő szolgáltatások csak akkor kell, hogy megfeleljenek e minőségi követelményeknek, ha az a szándék, hogy azok a kapun keresztül hozzáférhetővé váljanak. E rendelet nem módosíthatja ezeknek a szolgáltatásoknak az alkalmazási körét és természetét, azok irányítási kereteit, a már kijelölt határidőket, valamint azt, hogy működtetésükre önkéntes, szerződéses vagy egyéb alapon kerül sor. Például abban az esetben, ha az általuk nyújtott segítség informális jellegű, akkor ennek a rendeletnek a hatására az ilyen segítségnyújtás nem változhat kötelező erejű jogi tanácsadássá.

(32)

Ezen túlmenően a tagállamok és a Bizottság számára lehetővé kell tenni, hogy a kaput az e rendeletben meghatározott feltételeknek megfelelően illetékes hatóságok, részben vagy egészben magánjog hatálya alá tartozó szervezetek, vagy közigazgatási szervek, például kereskedelmi kamarák vagy állampolgárokat célzó nem kormányzati segítségnyújtó szolgálatok által nyújtott egyéb nemzeti segítségnyújtó vagy problémamegoldó szolgáltatásokkal bővítsék. Elvileg az illetékes hatóságok feladata, hogy a polgároknak és a vállalkozásoknak segítséget nyújtsanak az alkalmazandó szabályokra és eljárásokra vonatkozó minden olyan kérdésben, amely nem oldható meg teljes mértékben online szolgáltatások révén. Azonban az igen speciális szaktudást igénylő területeken, és amennyiben egy részben vagy egészben magánjog hatálya alá tartozó szervezetek által nyújtott szolgáltatás megfelel a felhasználók igényeinek, lehetővé kell tenni a tagállamok számára, hogy javasolják a Bizottságnak egy ilyen szolgáltatásnak a kapuba való felvételét, feltéve, hogy az megfelel az e rendeletben meghatározott valamennyi feltételnek, és nem a kapun keresztül már elérhető segítségnyújtó vagy problémamegoldó szolgáltatások megismétlését jelenti.

(33)

Annak érdekében, hogy a felhasználók segítséget kapjanak a megfelelő szolgáltatás kiválasztásához, e rendeletnek biztosítania kell egy segítségnyújtó szolgáltatások keresésére szolgáló eszközt, amely automatikusan a megfelelő szolgáltatáshoz irányítja a felhasználókat.

(34)

A minőségi követelmények egy minimális körének való megfelelés elengedhetetlen a kapu sikeréhez, mivel ezáltal biztosítható az információ- és a szolgáltatásnyújtás megbízhatósága, ennek hiánya pedig súlyosan veszélyeztetné a kapu egészének hitelességét. A követelményeknek való megfelelés átfogó célja annak biztosítása, hogy az információt vagy a szolgáltatást világos és felhasználóbarát módon jelenítsék meg. A tagállamok felelőssége annak meghatározása, hogy a felhasználói lépéssor folyamán hogyan kell megjeleníteni az információkat ahhoz, hogy ez a cél teljesüljön. Így például, bár a felhasználók számára hasznos, ha egy eljárás megindítása előtt tájékoztatást kapnak a negatív eredményhez vezető eljárás esetén általában igénybe vehető jogorvoslati lehetőségekről, sokkal inkább felhasználóbarát az, ha az eljárás végén biztosítanak egyedi tájékoztatást számukra az ilyen esetben megtehető lépésekről.

(35)

A határon átnyúló tevékenységet folytató felhasználók sokkal könnyebben hozzá tudnak férni az információkhoz akkor, ha az információ elérhető egy, a lehető legtöbb, határon átnyúló tevékenységet folytató felhasználó által széles körben érthető hivatalos uniós nyelven. Ez a nyelv a legtöbb esetben az a nyelv kell hogy legyen, amelyet a legszélesebb körben tanulnak idegen nyelvként a felhasználók az egész Unióban, de egyedi esetekben, például amikor valamely tagállami határ közelében fekvő kis településeken helyi szinten kell információkat nyújtani, akkor előfordulhat, hogy annak a nyelvnek a használata a legcélszerűbb, amelyet a szomszédos tagállamban használnak első nyelvként a határon átnyúló tevékenységet folytató felhasználók. Az érintett tagállam hivatalos nyelvéről vagy nyelveiről az Unió ezen másik hivatalos nyelvére történő fordításnak pontosan tükröznie kell az eredeti nyelven vagy nyelveken nyújtott információk tartalmát. A fordítás korlátozódhat azokra az információkra, amelyekre a felhasználóknak a helyzetükre alkalmazandó alapvető szabályok és követelmények megértéséhez szükségük van. Bár a tagállamokat ösztönözni kell arra, hogy a lehető legtöbb információt fordítsák le egy, a lehető legtöbb, határon átnyúló tevékenységet folytató felhasználó által széles körben érthető hivatalos uniós nyelvre, az e rendelet alapján lefordítandó információ terjedelme attól függ, hogy – különösen az uniós költségvetésből – mennyi pénzügyi forrás áll rendelkezésre erre a célra. A Bizottságnak meg kell tennie a szükséges lépéseket annak érdekében, hogy képes legyen hatékonyan teljesíteni a tagállamok fordítási megrendeléseit. A kapuval foglalkozó koordinációs csoportnak meg kell vitatnia, illetve útmutatást kell nyújtania azzal kapcsolatban, hogy mely hivatalos uniós nyelvre vagy nyelvekre kell lefordítani az említett információkat.

(36)

Az (EU) 2016/2102 európai parlamenti és tanácsi irányelvvel (16) összhangban a tagállamok kötelesek biztosítani, hogy közigazgatási szerveik webhelyei az érzékelhetőség, a kezelhetőség, az érthetőség és a stabilitás elveivel összhangban akadálymentesek legyenek, és hogy megfeleljenek az irányelv követelményeinek. A Bizottságnak és a tagállamoknak biztosítaniuk kell a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezménynek és különösen annak 9. és 21. cikkének való megfelelést, valamint annak érdekében, hogy a szellemi fogyatékossággal élő személyek könnyebben hozzáférjenek az információkhoz, a lehető legnagyobb mértékben alternatívákat kell biztosítaniuk könnyen érthető nyelven, az arányosság elvével összhangban. Az említett egyezmény megerősítésével, illetve megkötésével (17) a tagállamok, illetve az Unió kötelezettséget vállaltak arra, hogy megfelelő intézkedések révén másokkal azonos alapon biztosítják a fogyatékossággal élő személyek számára az új információs és kommunikációs technológiákhoz és rendszerekhez – ezen belül az internethez – való hozzáférést, megkönnyítve a szellemi fogyatékossággal élő személyek információkhoz való hozzáférését és a lehető legnagyobb mértékben és arányosan alternatívákat biztosítva számukra könnyen érthető nyelven.

(37)

Az (EU) 2016/2102 irányelv nem vonatkozik az uniós intézmények, szervek, hivatalok és ügynökségek weboldalaira és mobilalkalmazásaira, de a Bizottságnak gondoskodnia kell arról, hogy az általa kezelt közös felhasználói felület és weboldalak, amelyek a tervek szerint részét képezik a kapunak, hozzáférhetők legyenek a fogyatékossággal élő személyek számára abban az értelemben, hogy érzékelhetőek, kezelhetőek, érthetőek és stabilak. Az érzékelhetőség azt jelenti, hogy az információkat és a közös felhasználói felület elemeit úgy kell megjeleníteni, hogy azokat a felhasználók észrevegyék; a kezelhetőség azt jelenti, hogy a közös felhasználói felület elemeinek és a navigálási funkcióknak jól kezelhetőnek kell lenniük; az érthetőség azt jelenti, hogy az információknak és a közös felhasználói felület működésének érthetőnek kell lenniük; a stabilitás pedig azt jelenti, hogy a tartalmaknak kellően stabilnak kell lenniük ahhoz, hogy számos különböző közvetítő eszközzel – többek között támogató technológiákkal – megbízhatóan értelmezhetők legyenek. Az érzékelhetőség, kezelhetőség, érthetőség és stabilitás fogalma tekintetében a Bizottság ösztönözést kap arra, feleljen meg a vonatkozó harmonizált szabványoknak.

(38)

Az online eljárások részeként vagy a segítségnyújtó vagy problémamegoldó szolgáltatások ellenében megkövetelt díjak megfizetésének megkönnyítése érdekében a határon átnyúló tevékenységet folytató felhasználók számára lehetővé kell tenni, hogy e díjakat a 260/2012/EU európai parlamenti és tanácsi rendelet (18) szerinti átutalással vagy beszedéssel, illetve más általánosan használt határokon átnyúló fizetési mód felhasználásával, így például betéti kártyával vagy hitelkártyával fizessék meg.

(39)

Hasznos, ha a felhasználók tájékoztatást kapnak az eljárások várható időtartamáról. Ennek megfelelően tájékoztatni kell őket az alkalmazandó határidőkről vagy a hallgatólagos jóváhagyásra vagy a közigazgatás hallgatására vonatkozó rendelkezésekről, vagy amennyiben ilyenek nincsenek érvényben, legalább arról, hogy rendszerint mi az eljárás átlagos, becsült vagy valószínűsíthető időtartama. A becsült vagy valószínűsíthető időtartam megadásának szerepe csak az, hogy segítse a felhasználókat a tevékenységeiknek vagy a soron következő adminisztratív lépéseiknek a megtervezésében, joghatással azonban nem bír.

(40)

E rendeletnek továbbá lehetővé kell tennie a felhasználók által elektronikus formában benyújtott igazolások ellenőrzését abban az esetben, ha ezeket az igazolásokat a kibocsátó illetékes hatóság elektronikus bélyegzője vagy tanúsítványa nélkül nyújtják be, vagy ha az e rendelettel létrehozott technikai eszköz vagy a különböző tagállamok illetékes hatóságai között az igazolások közvetlen cseréjét vagy ellenőrzését lehetővé tevő bármely más rendszer nem áll rendelkezésre. Ilyen esetekre e rendeletnek rendelkeznie kell a tagállamok illetékes hatóságai közötti hatékony igazgatási együttműködési mechanizmusról, amely az 1024/2012/EU európai parlamenti és tanácsi rendelettel (19) létrehozott belső piaci információs rendszeren (IMI) alapul. Ilyen esetekben az illetékes hatóság önkéntes alapon dönthet úgy, hogy igénybe veszi az IMI-t, ugyanakkor onnantól kezdve, hogy e hatóság az IMI-n keresztül elküldte a tájékoztatás vagy együttműködés iránti kérelmet, a megkeresett illetékes hatóság köteles együttműködni és választ adni. A megkeresést az IMI-n keresztül vagy az igazolást kibocsátó illetékes hatóságnak, vagy a tagállamok által a saját közigazgatási szabályaiknak megfelelően kijelölendő központi hatóságnak lehet megküldeni. A felesleges párhuzamosságok elkerülése érdekében, valamint tekintettel arra, hogy az (EU) 2016/1191 európai parlamenti és tanácsi rendelet (20) kiterjed az e rendelet hatálya alá tartozó eljárások szempontjából releváns igazolások egy részére, az IMI keretében folytatott együttműködésre vonatkozó, az (EU) 2016/1191 rendeletben meghatározott szabályokat az olyan egyéb igazolások vonatkozásában is alkalmazni lehet, amelyekre az e rendelet hatálya alá tartozó eljárásokban szükség lehet. Annak érdekében, hogy az uniós szervek, hivatalok és ügynökségek az IMI szereplőivé válhassanak, az 1024/2012/EU rendeletet módosítani kell.

(41)

Az illetékes hatóságok által nyújtott online szolgáltatások elengedhetetlenek a polgárok és a vállalkozások számára nyújtott szolgáltatások minőségének és biztonságának javításához. A tagállamok közigazgatásai egyre inkább az adatok újbóli felhasználására törekednek ahelyett, hogy megkövetelnék a polgároktól és a vállalkozásoktól, hogy ugyanazt az információt több ízben is benyújtsák. A további terhek csökkentése érdekében a határon átnyúló tevékenységet folytató felhasználók tekintetében meg kell könnyíteni az adatok újbóli felhasználását.

(42)

Annak érdekében, hogy az „egyszeri adatszolgáltatás” elvének uniós szintű alkalmazásával lehetővé tegyék az igazolások és információk jogszerű határokon átnyúló cseréjét, e rendelet és az „egyszeri adatszolgáltatás” elve alkalmazásának meg kell felelnie minden hatályos adatvédelmi előírásnak, beleértve az adatminimalizálás, a pontosság, az adattárolás korlátozása, az adatok sértetlensége és titkossága, a szükségesség, az arányosság és a célhoz kötöttség elvét is. Végrehajtásának emellett maradéktalanul meg kell felelnie a beépített biztonság és a beépített adatvédelem elveinek, és tiszteletben kell tartania az egyének alapvető jogait, beleértve a méltányossághoz és az átláthatósághoz kapcsolódó jogokat is.

(43)

A tagállamoknak biztosítaniuk kell, hogy az eljárások felhasználói egyértelmű tájékoztatást kapjanak arról, hogy az (EU) 2016/679 európai parlamenti és tanácsi rendelet (21) 13. és 14. cikkével, valamint az (EU) 2018/1725 rendelet (22) 15. és 16. cikkével összhangban hogyan kezelik a rájuk vonatkozó személyes adatokat.

(44)

Az online eljárások alkalmazásának további előmozdítása érdekében ennek a rendeletnek – az „egyszeri adatszolgáltatás” elvével összhangban – meg kell alapoznia egy olyan, teljes mértékben működőképes és biztonságos technikai rendszer létrehozását és alkalmazását, amely biztosítja az igazolások határokon átnyúló automatizált cseréjét az eljárásban érintett szereplők között, amennyiben ezt a polgárok és a vállalkozások kifejezett kérik. Abban az esetben, ha az igazolások cseréje személyes adatokat is magába foglal, a kérelmet akkor lehet kifejezett kérelemnek tekinteni, ha annak keretében az egyén nyilatkozattal vagy megerősítést kifejező cselekedettel önkéntesen, konkrétan megfelelő tájékoztatáson alapulóan és egyértelműen kinyilvánítja az adott személyesadat-cserére irányuló akaratát. Ha a felhasználó nem azonos az adatok által érintett személlyel, az online eljárás nem érintheti az (EU) 2016/679 rendelet szerinti jogait. Az „egyszeri adatszolgáltatás” elvének határokon átnyúló alkalmazása azt kell, hogy eredményezze, hogy a polgároknak és a vállalkozásoknak nem kell egynél több alkalommal megadniuk ugyanazokat az adatokat a hatóságoknak, valamint azt is, hogy ezeket az adatokat a felhasználó kérésére határon átnyúló tevékenységet folytató felhasználókat érintő, határokon átnyúló online eljárások lefolytatására is fel lehet használni. A kibocsátó illetékes hatóság csak akkor köteles az igazolások különböző tagállamok közötti automatizált cseréjére szolgáló technikai rendszert használni, ha a hatóságok saját tagállamukban jogszerűen bocsátanak ki az ilyen automatizált cserét lehetővé tévő elektronikus formátumban igazolásokat.

(45)

Az igazolások határokon átnyúló cseréjéhez olyan megfelelő jogalapra van szükség, mint például a 2005/36/EK, a 2006/123/EK, a 2014/24/EU vagy a 2014/25/EU irányelv, vagy pedig a II. mellékletben szereplő eljárások esetében más hatályos uniós vagy nemzeti jogszabályok.

(46)

E rendeletnek általános szabályként le kell fektetnie azt, hogy az igazolások határokon átnyúló automatizált cseréjére a felhasználó kifejezett kérésére kerül sor. Ezt a követelményt azonban nem kell alkalmazni azokban az esetekben, amikor a vonatkozó uniós vagy nemzeti jogszabály lehetővé teszi a kifejezett felhasználói kérés nélküli, határokon átnyúló automatizált adatcserét.

(47)

Az e rendelet által létrehozott technikai rendszer használata önkéntes kell hogy maradjon, és a felhasználók számára továbbra is lehetővé kell tenni, hogy az igazolásokat a technikai rendszeren kívül más módon is be tudják nyújtani. A felhasználónak lehetőséget kell adni az igazolás előzetes megtekintésére, és jogosultnak kell lennie arra, hogy úgy döntsön, nem folytatja az igazolás megosztását, amennyiben a megosztandó igazolás megtekintése után észleli, hogy az információ pontatlan, elavult vagy túlmutat az adott eljáráshoz szükséges mértéken. Az előzetes megtekintés során megjelenő adatok nem tárolhatók a technikai szempontból szükséges mértéknél hosszabb ideig.

(48)

Az e rendelet alapján létrehozandó, az igazolások cseréjére szolgáló biztonságos technikai rendszernek bizonyossággal kell szolgálnia az illetékes hatóságok számára afelől, hogy a kért igazolásokat a megfelelő kibocsátó hatóság adta meg. Mielőtt az illetékes hatóság valamely eljárás keretében elfogadna egy felhasználó által szolgáltatott információt, lehetőséget kell adni számára, hogy kétség esetén azt ellenőrizze és helytállóságát megállapítsa.

(49)

Néhány már meglévő, alapképességeket biztosító építőelemet fel lehet használni a technikai rendszer létrehozásához; ilyen például az (EU) 1316/2013 európai parlamenti és tanácsi rendelettel létrehozott Európai Hálózatfinanszírozási Eszköz (23) és az e-kézbesítési és elektronikus azonosítási építőelemek, amelyek ennek az eszköznek a részét képezik. Ezek az építőelemek műszaki előírásokból, mintaszoftverekből és támogató szolgáltatásokból állnak, és az a céljuk, hogy biztosítsák az interoperabilitást a különböző tagállamok meglévő az információs és kommunikációs technológiai rendszerek (a továbbiakban: ikt) között annak érdekében, hogy a polgárok, a vállalkozások és a közigazgatások – függetlenül attól, hogy az Unión belül hol találhatóak – zökkenőmentes digitális közszolgáltatásokat vehessenek igénybe.

(50)

Az e rendelet által létrehozott rendszernek a hatóságok közötti együttműködési mechanizmusokat biztosító más rendszerek, például az IMI-rendszer mellett kell rendelkezésre állnia, és nem érintheti a többi rendszert, így a 987/2009/EK rendeletben előírt rendszert, a 2014/24/EU irányelv szerinti egységes európai közbeszerzési dokumentumot, a szociális biztonságra vonatkozó információknak a 987/2009/EK rendelet szerinti elektronikus adatcseréjét, a 2005/36/EK irányelv szerinti európai szakmai kártyát, a nemzeti nyilvántartások, valamint a központi nyilvántartások, a kereskedelmi nyilvántartások és a cégjegyzékek (EU) 2017/1132 európai parlamenti és tanácsi irányelv (24) szerinti összekapcsolását, továbbá a fizetésképtelenségi nyilvántartásoknak az (EU) 2015/848 európai parlamenti és tanácsi rendelet (25) szerinti összekapcsolását sem.

(51)

Az igazolások automatizált cseréjét lehetővé tevő technikai rendszer végrehajtásához szükséges egységes feltételek biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni, hogy meghatározza különösen a technikai és üzemeltetési előírásokat az igazolások cseréje és az igazolások továbbítása iránti felhasználói kérelmek feldolgozására szolgáló rendszerre vonatkozóan, valamint megállapítsa az adatok sértetlenségének és bizalmas jellegének biztosításához szükséges szabályokat. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek megfelelően kell gyakorolni (26).

(52)

Annak érdekében, hogy garantált legyen a technikai rendszer magas szintű biztonsága az „egyszeri adatszolgáltatás” elvének határokon átnyúló alkalmazás során, az e technikai rendszerre alkalmazandó előírások meghatározásáról szóló végrehajtási jogi aktusok elfogadása során a Bizottságnak kellően figyelembe kell vennie az európai és nemzetközi szabványügyi szervezetek és szervek – különösen az Európai Szabványügyi Bizottság (CEN), az Európai Távközlési Szabványügyi Intézet (ETSI), a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Távközlési Egyesület (ITU) – által kidolgozott szabványokat és műszaki előírásokat, valamint az (EU) 2016/679 rendelet 32. cikkében és az (EU) 2018/1725 rendelet 22. cikkében említett biztonsági szabványokat.

(53)

A technikai rendszer felelősségi körébe tartozó részei fejlesztésének, rendelkezésre állásának, felügyeletének, ellenőrzésének és biztonsági irányításának biztosításához szükséges mértékben a Bizottságnak tanácsadás iránti kérelemmel kell fordulnia az európai adatvédelmi biztoshoz.

(54)

Az illetékes hatóságoknak és a Bizottságnak biztosítaniuk kell a felelősségi körükbe tartozó információk, eljárások és szolgáltatások tekintetében a minőségi kritériumoknak való megfelelést. Az e rendelet szerint kijelölt nemzeti koordinátoroknak a nemzeti szintű, a Bizottságnak pedig az uniós szintű minőségi és biztonsági kritériumoknak való megfelelést rendszeres időközönként ellenőrizniük, és a felmerülő problémákat kezelniük kell. A nemzeti koordinátoroknak továbbá segíteniük kell a Bizottságot az igazolások határokon átnyúló cseréjét lehetővé tevő technikai rendszer működésének ellenőrzésében. E rendeletben a kapun keresztül nyújtott szolgáltatások esetleges minőségromlásának kezelésére annak súlyosságától és tartósságától függően, eszközöket kell biztosítani a Bizottság számára, ami szükség esetén a kapuval foglalkozó koordinációs csoport bevonásával is járhat. Ez nem befolyásolhatja a Bizottságnak az e rendeletnek való megfelelés nyomon követésére vonatkozó általános felelősségét.

(55)

Ebben a rendeletben meg kell határozni a kapu működését támogató technikai eszközöknek – különösen a közös felhasználói felületnek, a linkeket tartalmazó adattárnak és a segítségnyújtó szolgáltatások közös keresőeszközének – a fő funkcióit. A közös felhasználói felületnek biztosítania kell azt, hogy a felhasználók a nemzeti és az uniós szintű webhelyeken könnyen megtalálhassák az információkat, az eljárásokat, valamint a segítségnyújtó és problémamegoldó szolgáltatásokat. A tagállamoknak és a Bizottságnak arra kell törekednie, hogy olyan linkeket adjon meg, amelyek a kapu által megkövetelt információ egyetlen forrására mutatnak, annak elkerülése érdekében, hogy a felhasználóknak ugyanazon információra vonatkozóan különböző vagy teljes mértékben vagy részben átfedésben lévő források között kelljen eligazodniuk. Ez azonban nem zárja ki annak lehetőségét, hogy ugyanazon információra vonatkozóan több linket is megadjanak, amennyiben különböző földrajzi területek tekintetében helyi vagy regionális szintű illetékes hatóságok nyújtanak információkat. Nem zárja ki továbbá az információk bizonyos mértékű átfedését sem, amennyiben az elkerülhetetlen vagy kívánatos, például abban az esetben, amikor az információ felhasználóbarát formában történő rendelkezésre bocsátása érdekében az uniós jogokat, kötelezettségeket és szabályokat a nemzeti szintű weboldalak is feltüntetik vagy összefoglalják. Annak érdekében, hogy a közös felhasználói felületen alkalmazandó linkek naprakésszé tételéhez a lehető legkevesebb emberi beavatkozásra legyen szükség, amennyiben technikailag megoldható, közvetlen kapcsolatot kell kialakítani a releváns tagállami technikai rendszerek és a linkeket tartalmazó adattár között. A közös ikt-támogatási eszközök alkalmazhatják az alapvető közszolgáltatásokra vonatkozó szójegyzéket a nemzeti szolgáltatási katalógusokkal és szemantikával való interoperabilitás elősegítése érdekében. A tagállamokat ösztönözni kell az alapvető közszolgáltatásokra vonatkozó szójegyzék alkalmazására, ugyanakkor azok dönthetnek nemzeti megoldások alkalmazása mellett is. A linkeket tartalmazó adattárban feltüntetett információt az újrafelhasználhatóságának biztosítása érdekében – például alkalmazásfejlesztési felületek (API-k) segítségével – hozzáférhetővé kell tenni nyílt, általánosan használt és géppel olvasható formátumban.

(56)

A közös felhasználói felület keresőeszközének a felhasználókat az igényeiknek megfelelő információhoz kell irányítania, függetlenül attól, hogy az uniós vagy nemzeti szintű weboldalakon található-e. Ezenkívül – a felhasználók hasznos információkhoz való irányításának másik lehetséges módjaként – továbbra is hasznos, ha linkeket hoznak létre a meglévő és kiegészítő webhelyek vagy weboldalak között, amelynek során a lehető legnagyobb mértékben észszerűsítik és csoportosítják azokat, és linkeket hoznak létre az online szolgáltatásokhoz és információkhoz hozzáférést biztosító uniós és nemzeti szintű weboldalak és webhelyek között.

(57)

Ebben a rendeletben meg kell határozni a közös felhasználói felületre vonatkozó minőségi követelményeket is. A Bizottságnak gondoskodnia kell arról, hogy a közös felhasználói felület megfeleljen e követelményeknek, és így különösen a felületnek különféle csatornákon online elérhetőnek és hozzáférhetőnek kell lennie, és annak használata könnyű kell, hogy legyen.

(58)

A kapu támogatását biztosító műszaki megoldások végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni arra, hogy szükség esetén meghatározza az alkalmazandó szabványokat és interoperabilitási követelményeket, elősegítendő ezzel azt, hogy a tagállamok és a Bizottság hatáskörébe tartozó szabályokra és a kötelezettségekre, eljárásokra, valamint segítségnyújtó és problémamegoldó szolgáltatásokra vonatkozó információkat könnyen meg lehessen találni. Ezeket a végrehajtási hatásköröket a 182/2011/EU rendeletnek megfelelően kell gyakorolni.

(59)

Ebben a rendeletben egyértelműen fel kell osztani a kaput támogató ikt-alkalmazások fejlesztésével, rendelkezésre állásával, karbantartásával és biztonságosságával kapcsolatos felelősségi köröket is a Bizottság és a tagállamok között. A karbantartási feladatok részeként a Bizottságnak és a tagállamoknak rendszeresen ellenőrizniük kell ezen ikt-alkalmazások megfelelő működését.

(60)

A kapu részét képzendő különböző információterületek, eljárások, valamint segítségnyújtó és problémamegoldó szolgáltatások lehetőségeinek maradéktalan kihasználása érdekében jelentős mértékben javítani kell a célközönség ismereteit ezek létezéséről és működéséről. A kapuba történő beillesztésük nagymértékben meg kell, hogy könnyítse a felhasználók számára a számukra szükséges információk, eljárások, segítségnyújtó és problémamegoldó szolgáltatások megtalálását, még akkor is, ha azok egyikét sem ismerik. Emellett összehangolt promóciós tevékenységekre lesz szükség annak biztosítása érdekében, hogy a polgárok és a vállalkozások az egész Unióban tudomást szerezzenek a kapu létezéséről és annak előnyeiről. A promóciós tevékenységek között szerepelnie kell a keresőprogram optimalizálásának és egyéb online tájékoztató tevékenységeknek, mivel ezek rendkívül költséghatékonyak és a lehető legszélesebb célközönség elérését teszik lehetővé. A maximális hatékonyság érdekében e promóciós tevékenységeket a kapuval foglalkozó koordinációs csoport keretén belül össze kell hangolni, a tagállamoknak pedig ki kell igazítaniuk promóciós erőfeszítéseiket oly módon, hogy minden releváns területen egy közös márkanévre hivatkozzanak, lehetőség szerint társítva a márkanevet a kapu és a nemzeti kezdeményezések között.

(61)

Minden uniós intézményt, szervet, hivatalt és ügynökséget ösztönözni kell arra, hogy népszerűsítsék a kaput, többek között azáltal, hogy annak logóját és az arra mutató linkeket beillesztik a felelősségi körükbe tartozó valamennyi érintett weboldalra.

(62)

A kapu neve, amelyen azt a nyilvánosság körében meg kell ismertetni és népszerűsíteni kell, a következő: „Your Europe”. A közös felhasználói felületnek kiemelt helyen, könnyen fellelhetőnek kell lennie, különösen az érintett uniós és nemzeti weboldalakon. A kapu logójának láthatónak kell lennie az érintett uniós és nemzeti webhelyeken.

(63)

Annak érdekében, hogy a kapu teljesítményének méréséhez és javításához szükséges megfelelő információkhoz hozzá tudjanak jutni, ebben a rendeletben elő kell írni az illetékes hatóságok és a Bizottság számára azt, hogy adatokat gyűjtsenek a kapun keresztül elérhetővé tett különböző információterületek, eljárások és szolgáltatások használatáról, és azokat elemezzék. Az olyan felhasználói statisztikai adatok gyűjtése, mint például az egyes weboldalak látogatóinak számára, az egyes tagállamok felhasználóinak más tagállamok felhasználóihoz viszonyított számára, a használt keresőkifejezésekre, a leginkább látogatott weboldalakra, a kapura hivatkozó weboldalakra, vagy a segítségkérések számára, eredetére és tárgyára vonatkozó adatok, várhatóan javítani fogja a kapu működését azzal, hogy lehetővé teszi a közönség azonosítását, segíti a promóciós tevékenységek kidolgozását, és hozzájárul a nyújtott szolgáltatások minőségének javításához. Ezen adatok gyűjtése során az átfedések elkerülése végett figyelembe kell venni a Bizottság e-kormányzatra vonatkozó éves teljesítményértékelő jelentését.

(64)

E rendelet végrehajtása egyéges feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a felhasználói statisztikai adatok gyűjtésének és cseréjének módszerére vonatkozó egységes szabályok megállapítására vonatkozóan. Ezeket a végrehajtási hatásköröket a 182/2011/EU rendeletnek megfelelően kell gyakorolni.

(65)

A kapu minősége az azon keresztül nyújtott uniós és nemzeti szolgáltatások minőségétől függ. Következésképpen a kapun keresztül rendelkezésre álló információk, eljárások, segítségnyújtó és problémamegoldó szolgáltatások minőségét többek között egy felhasználói visszajelzésekre szolgáló eszköz segítségével szintén rendszeresen ellenőrizni kell, amelyben a felhasználókat felkérik az általuk igénybe vett információk, eljárás vagy segítségnyújtó és problémamegoldó szolgáltatás teljességének és minőségének értékelésére és az ezzel kapcsolatos visszajelzés küldésére. A visszajelzéseket olyan közös eszköz segítségével kell gyűjteni, amelyhez a Bizottságnak, az illetékes hatóságoknak és a nemzeti koordinátoroknak kell hozzáféréssel rendelkeznie. Annak biztosítása érdekében, hogy e rendelet végrehajtására – a felhasználói visszajelzési eszközök közös funkciói, valamint a felhasználói visszajelzések összegyűjtésére és megosztására vonatkozó részletes szabályok tekintetében – egységes feltételek mellett kerüljön sor, a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU rendeletnek megfelelően kell gyakorolni. A Bizottságnak anonimizált formában online áttekintéseket kell közzétennie az e rendelet alapján gyűjtött információk, főbb felhasználói statisztikák és főbb felhasználói visszajelzések alapján feltárt problémákról.

(66)

Ezen felül a kapunak egy visszajelzési eszközt is magában kell foglalnia, amely lehetővé teszi a felhasználók számára, hogy önként és névtelenül jelezhessék a belső piaci jogaik gyakorlása során tapasztalt problémákat és nehézségeket. Ez az eszköz csupán a panaszkezelési mechanizmusok kiegészítésére szolgáló eszköznek tekintendő, mivel nem képes személyre szabott választ adni a felhasználóknak. A belső piac felhasználók általi megítélésének megértéséhez, valamint azoknak a problémás területeknek a meghatározásához, amelyekre a belső piac működésének javítását célzó lehetséges jövőbeli intézkedések irányulhatnak, a beérkezett információkat össze kell vonni a segítségnyújtó és problémamegoldó szolgáltatásoktól származó, az általuk kezelt ügyekre vonatkozó összesített információkkal. Ezt az áttekintést össze kell kapcsolni az olyan, már meglévő jelentéstételi eszközökkel, mint például a belső piaci eredménytábla.

(67)

Ez a rendelet nem érinti a tagállamok arra vonatkozó jogát, hogy eldöntsék, ki töltse be a nemzeti koordinátor szerepét. Lehetőséget kell biztosítani a tagállamoknak arra, hogy nemzeti koordinátoraiknak a kapuval kapcsolatos funkcióit és felelősségi köreit hozzáigazítsák belső közigazgatási szerkezetükhöz. Lehetőséget kell biztosítani a tagállamoknak arra, hogy valamely közigazgatási ág vagy földrajzi régió tekintetében vagy egyéb kritérium alapján további nemzeti koordinátorokat nevezzenek ki az e rendelet szerinti feladatok önálló vagy másokkal közös elvégzésére. A tagállamoknak tájékoztatniuk kell a Bizottságot arról azon egyedüli nemzeti koordinátor személyéről, akit a Bizottsággal való kapcsolattartás céljára neveztek ki.

(68)

Létre kell hozni egy, a nemzeti koordinátorokból álló és a Bizottság elnökletével működő, a kapuval foglalkozó koordinációs csoportot, amely e rendelet alkalmazását különösen a legjobb gyakorlatok cseréje és az információk megjelenítése egységességének javítására irányuló közös munka révén hivatott megkönnyíteni az e rendeletben foglaltaknak megfelelően. A kapuval foglalkozó koordinációs csoport munkája során figyelembe kell venni az éves munkaprogramban meghatározott célkitűzéseket, amelyet a Bizottság megfontolás céljából a csoport elé terjeszt. Az éves munkaprogramot a tagállamokra nézve nem kötelező erejű iránymutatások vagy ajánlások formájában kell kidolgozni. A Bizottság az Európai Parlament kérésére határozhat úgy, hogy felkéri a Parlamentet, hogy küldjön szakértőket a kapuval foglalkozó koordinációs csoport üléseire.

(69)

Ebben a rendeletben célszerű világosan meghatározni azt, hogy a kapu mely részeit kell az uniós költségvetésből finanszírozni, és mely részei azok, amelyek a tagállamok felelősségi körébe tartoznak. A Bizottságnak segítséget kell nyújtania a tagállamoknak annak azonosításában, hogy mely ikt-építőelemeket lehet újból felhasználni, valamint annak az azonosításában is, hogy a különféle uniós szintű alapok és programok keretében milyen finanszírozási lehetőségek érhetők el az ikt-rendszereknek az e rendeletnek való megfelelés érdekében nemzeti szinten végrehajtandó adaptálásával és fejlesztésével kapcsolatos költségek fedezésére. Az e rendelet végrehajtásához szükséges költségvetésnek összeegyeztethetőnek kell lennie az alkalmazandó többéves pénzügyi kerettel.

(70)

A tagállamoknak a kiberbiztonsággal összefüggő stratégiai, operatív, kutatási és fejlesztési kapacitásaik növelése érdekében javasolt még inkább összehangolniuk tevékenységeiket, továbbá fokozniuk az információcserét és az együttműködést, különösen az (EU) 2016/1148 európai parlamenti és tanácsi irányelvben (27) említett hálózat- és információbiztonság végrehajtása révén, a közigazgatásuk és a közszolgáltatásaik biztonságának és ellenállóképességének megerősítése érdekében. Javasolt továbbá, hogy a tagállamok az a 910/2014/EU rendelet által létrehozott eIDAS-keret – és különösen a megfelelő biztonsági szintek – alkalmazásával fokozzák a tranzakciók biztonságát és gondoskodjanak az elektronikus eszközökbe vetett kellő szintű bizalomról. A tagállamok az uniós joggal összhangban hozhatnak olyan intézkedéseket, amelyek célja a kiberbiztonság garantálása és a személyazonossággal való, illetve egyéb visszaélések megelőzése.

(71)

Amennyiben e rendelet alkalmazása a személyes adatok kezelését vonja maga után, azt a személyes adatok védeleméről szóló uniós jogszabályokkal, különösen az (EU) 2016/679 rendelettel és az (EU) 2018/1725 rendelettel összhangban kell végezni. Az Európai Parlament és a Tanács (EU) 2016/680 irányelvét (28) is alkalmazni kell e rendelettel összefüggésben. Az (EU) 2016/679 rendeletnek megfelelően a tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be az egészségügyi adatok kezelésére vonatkozóan, valamint pontosabban meghatározott szabályokat állapíthatnak meg a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.

(72)

Ennek a rendeletnek elő kell mozdítania és meg kell könnyítenie a kapun keresztül elérhető szolgáltatások irányítási kereteinek észszerűsítését. Ezért a Bizottságnak a tagállamokkal szoros együttműködésben felül kell vizsgálnia a meglévő irányítási kereteket, és szükség esetén ki kell igazítania azokat, a párhuzamosságok elkerülése és a nem hatékony működés megszüntetése érdekében.

(73)

E rendelet célja annak biztosítása, hogy a más tagállamokban tevékenységet folytató felhasználók online hozzáféréssel rendelkezzenek a jogokra, szabályokra és kötelezettségekre vonatkozó átfogó, megbízható, hozzáférhető és érthető uniós és nemzeti információkhoz, a határokon átnyúlóan teljeskörűen működőképes online eljárásokhoz, valamint a segítségnyújtó és problémamegoldó szolgáltatásokhoz. Mivel ezt a célt a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban e rendelet terjedelme vagy hatása miatt e cél jobban megvalósítható, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az említett cél eléréséhez szükséges mértéket.

(74)

Annak érdekében, hogy a tagállamok és a Bizottság kidolgozzák és végrehajtsák az e rendelet érvényesüléséhez szükséges eszközöket, e rendelet egyes rendelkezéseit a hatálybalépését követő két év elteltével kell alkalmazni. Az önkormányzati hatóságoknak e rendelet hatálybalépését követően négy év kell, hogy rendelkezésére álljon a hatáskörükbe tartozó szabályokra, eljárásokra, valamint segítségnyújtó és problémamegoldó szolgáltatásokra vonatkozó információk megadására vonatkozó követelmény teljesítéséhez. Az e rendeletben foglalt, a teljes mértékben online nyújtandó eljárásokra, az online eljárásokhoz való határokon átnyúló hozzáférésre és az igazolások határokon átnyúló, automatizált, az „egyszeri adatszolgáltatás” elvének megfelelő cseréjét szolgáló technikai rendszerre vonatkozó rendelkezéseket legkésőbb öt évvel e rendelet hatálybalépését követően kell végrehajtani.

(75)

Ez a rendelet tiszteletben tartja az alapvető jogokat és a különösen az Európai Unió Alapjogi Chartájában elismert elveket, és végrehajtása során e jogoknak és elveknek megfelelően kell eljárni.

(76)

Az európai adatvédelmi biztossal a 45/2001/EK európai parlamenti és tanácsi rendelet (29) 28. cikkének (2) bekezdésével összhangban konzultációra került sor, és a biztos 2017. augusztus 1-én véleményt nyilvánított (30),

(1)

A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. Ezt a jogot az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke is biztosítja.

(2)

A 45/2001/EK európai parlamenti és tanácsi rendelet (3) jogi úton érvényesíthető jogokat biztosít a természetes személyek számára, meghatározza az adatkezelőknek a közösségi intézményeken és szerveken belüli adatkezelési kötelezettségeit, és létrehoz egy olyan független felügyeleti hatóságot – az európai adatvédelmi biztost –, amely a személyes adatok uniós intézmények és szervek általi kezelésének figyelemmel kíséréséért felelős. Az említett rendelet nem alkalmazandó azonban a személyes adatoknak az uniós intézmények és szervek olyan tevékenysége során történő kezelésére, amely az uniós jog hatályán kívül esik.

(3)

2016. április 27-én elfogadásra került az (EU) 2016/679 európai parlamenti és tanácsi rendelet (4) és az (EU) 2016/680 európai parlamenti és tanácsi irányelv (5). Míg a rendelet a természetes személyeknek a személyes adatok kezelésével kapcsolatos védelmére és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó általános szabályokat állapítja meg, addig az irányelv a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén állapítja meg a természetes személyeknek a személyes adatok kezelésével kapcsolatos védelmére, valamint a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó különös szabályokat.

(4)

Az (EU) 2016/679 rendelet előírja a 45/2001/EK rendelet kiigazítását annak érdekében, hogy az Unióban szilárd és koherens adatvédelmi keret álljon rendelkezésre, és lehetővé váljék az említett rendeletnek az (EU) 2016/679 rendelettel párhuzamosan történő alkalmazása.

(5)

A személyes adatok védelmének az Unión belüli egységes megközelítése és a személyes adatok Unión belüli szabad áramlása érdekében a lehető legnagyobb mértékben összhangba kell hozni az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó adatvédelmi szabályokat a tagállamokban a közszféra számára elfogadott adatvédelmi szabályokkal. Amennyiben e rendelet rendelkezései ugyanazon elveket követik, mint az (EU) 2016/679 rendelet rendelkezései, az említett két rendelet rendelkezéseit az Európai Unió Bírósága (a továbbiakban: a Bíróság) ítélkezési gyakorlata szerint egységesen kell értelmezni, különösen mivel e rendelet struktúrája az (EU) 2016/679 rendelet struktúrájával egyenértékűnek tekintendő.

(6)

Védeni kell azokat a személyeket, akiknek a személyes adatait az uniós intézmények és szervek bármilyen összefüggésben kezelik, például azért, mert az érintett személyeket az említett intézmények és szervek foglalkoztatják. Ez a rendelet nem alkalmazandó az elhunyt személyek személyes adatainak kezelésére. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat is.

(7)

A komoly szabálykerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie, és az nem függhet az alkalmazott technikai megoldásoktól.

(8)

Ezt a rendeletet kell alkalmazni a személyes adatoknak az összes uniós intézmény, szerv, hivatal és ügynökség általi kezelésére. E rendeletet kell alkalmazni a személyes adatok részben vagy teljes egészében automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.

(9)

A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé. Az e rendelet külön fejezetében található általános szabályokat kell tehát alkalmazni a műveleti vonatkozású személyes adatok kezelésére, így például olyan személyes adatok esetében, amelyeket uniós szervek, hivatalok vagy ügynökségek bűnügyi nyomozás céljából kezelnek a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén végzett tevékenységek során.

(10)

Az (EU) 2016/680 irányelv harmonizált szabályokat állapít meg a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából kezelt személyes adatok védelmére és szabad áramlására vonatkozóan. Annak érdekében, hogy a természetes személyek számára jogi úton érvényesíthető jogok révén Unió-szerte azonos szintű védelmet biztosítsanak, valamint hogy megelőzzék a személyes adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során az uniós szervek, hivatalok vagy ügynökségek és az illetékes hatóságok egymás közötti cseréjét akadályozó eltéréseket, az ilyen uniós szervek, hivatalok vagy ügynökségek által kezelt műveleti vonatkozású személyes adatok védelemére és szabad áramlására vonatkozó szabályoknak összhangban kell állniuk az (EU) 2016/680 irányelvvel.

(11)

Az e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetében található általános szabályokat a műveleti vonatkozású személyes adatok uniós szervek, hivatalok és ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelésére vonatkozó különös szabályok sérelme nélkül kell alkalmazni. Az ilyen különös szabályokat az e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetében foglalt rendelkezésekhez képest lex specialisnak kell tekinteni (lex specialis derogat legi generali). A jogi széttagoltság csökkentése érdekében a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelésére vonatkozó különös adatvédelmi szabályoknak összhangban kell lenniük az e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetének alapjául szolgáló elvekkel, valamint e rendeletnek a független felügyeletre, a jogorvoslatokra, a felelősségre és a szankciókra vonatkozó rendelkezéseivel.

(12)

Az e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetét alkalmazni kell az uniós szervekre, hivatalokra és ügynökségekre az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során, függetlenül attól, hogy e tevékenységeket fő vagy kiegészítő feladataik körében végzik-e bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása érdekében. Ez a fejezet azonban az Europolra és az Európai Ügyészségre addig nem alkalmazandó, amíg nem kerül sor az Europolt és az Európai Ügyészséget létrehozó jogi aktusok arra irányuló módosítására, hogy ennek a rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezete, kiigazított formájában rájuk is alkalmazandó legyen.

(13)

A Bizottságnak felül kell vizsgálnia ezt a rendeletet, különösen e rendeletnek a műveleti vonatkozású személyes adatok kezeléséről szóló fejezetét. A Bizottságnak felül kell vizsgálnia azokat a Szerződések alapján elfogadott egyéb jogi aktusokat is, amelyek a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek általi, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek során végzett kezelését szabályozzák. E felülvizsgálatot követően a természetes személyeknek a személyes adatok kezelése tekintetében történő egységes és következetes védelme érdekében a Bizottságnak lehetőséget kell biztosítani arra, hogy bármilyen megfelelő jogalkotási javaslatot tegyen – ideértve e rendelet műveleti vonatkozású személyes adatok kezeléséről szóló fejezetének bármely szükséges kiigazítását is – annak az Europolra és az Európai Ügyészségre való alkalmazása céljával. A kiigazításoknak figyelembe kell venniük a független felügyelettel, a jogorvoslatokkal, a felelősséggel és a szankciókkal kapcsolatos rendelkezéseket.

(14)

E rendelet hatályának ki kell terjednie az adminisztratív jellegű személyes adatok kezelésére, így például a személyzeti adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységeket folytató uniós szervek, hivatalok vagy ügynökségek általi kezelésére.

(15)

Ez a rendelet alkalmazandó a személyes adatoknak az Európai Unióról szóló szerződés (EUSZ) V. címe 2. fejezetének hatálya alá tartozó tevékenységeket folytató uniós intézmények, szervek, hivatalok vagy ügynökségek általi kezelésére. Ez a rendelet nem alkalmazandó a személyes adatoknak az EUSZ 42. cikkének (1) bekezdésében, 43. és 44. cikkében említett, a közös biztonság- és védelempolitikát végrehajtó missziók általi kezelésére. A személyes adatok közös biztonság- és védelempolitika területén történő kezelésének további szabályozása érdekében adott esetben erre vonatkozó javaslatokat kell benyújtani.

(16)

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az olyan álnevesített személyes adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, minden objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat és a technológia fejlődését. Az adatvédelem elvei ennek megfelelően nem alkalmazhatók az anonim információkra, vagyis az olyan információkra, amelyek nem azonosított vagy nem azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, hogy annak következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

(17)

A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek eleget tegyenek. Az „álnevesítés” e rendeletben történő kifejezett bevezetése nem irányul más adatvédelmi intézkedés kizárására.

(18)

A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.

(19)

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja az őt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. Ugyanakkor az érintettnek rendelkeznie kell a hozzájárulás bármely időpontban történő visszavonásához való joggal, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Annak biztosítása érdekében, hogy a hozzájárulást önkéntesen adják, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a hozzájárulás megadása önkéntesen történt. Gyakran nem lehetséges a tudományos kutatási célú személyesadat-kezelés célját az adatgyűjtés időpontjában teljes mértékben azonosítani. Ezért lehetővé kell tenni az érintettek számára, hogy a tudományos kutatás bizonyos területeire vonatkozóan hozzájárulásukat adják az adatkezeléshez, betartva a tudományos kutatásokra vonatkozó, elismert etikai előírásokat. Az érintettek számára biztosítani kell annak lehetőségét, hogy – annyiban, amennyiben a célok ezt lehetővé teszik – csak egyes kutatási területekre vagy a kutatási projekteknek csupán bizonyos részeire vonatkozóan adjanak hozzájárulást.

(20)

A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy azokat milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett természetes személyek személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt tájékoztatni kell a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán őt megillető jogokat. A személyesadat-kezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférést, ezen adatok és ezen eszközök jogosulatlan felhasználását, valamint hogy megakadályozza ezen adatok továbbítás során történő jogosulatlan közlését.

(21)

Az elszámoltathatóság elvével összhangban, amennyiben uniós intézmények és szervek személyes adatokat továbbítanak ugyanazon uniós intézményen vagy szerven belül, és a címzett nem része az adatkezelőnek, vagy más uniós intézmények vagy szervek számára továbbítanak személyes adatokat, meg kell vizsgálniuk, hogy e személyes adatok szükségesek-e a címzett hatáskörébe tartozó feladatok jogszerű teljesítéséhez. Különösen a címzettnek a személyes adatok továbbítására vonatkozó kérelmét követően az adatkezelőnek ellenőriznie kell, hogy fennáll-e a személyes adatok jogszerű kezelésének releváns alapja, és ellenőriznie kell a címzett hatáskörét. Az adatkezelőnek továbbá előzetesen értékelnie kell az adatok továbbításának szükségességét. Ha a szükségességgel kapcsolatban kétségek merülnek fel, az adatkezelőnek további tájékoztatást kell kérnie a címzettől. A címzettnek gondoskodnia kell arról, hogy az adatok továbbításának szükségessége utóbb ellenőrizhető legyen.

(22)

Az adatfeldolgozás jogszerűsége érdekében a személyes adatokat azon az alapon kell kezelni, hogy az szükséges legyen a közérdekből végzett feladat uniós intézmények és szervek általi végrehajtásához, illetve közhatalmi jogosítványuk uniós intézmények és szervek általi gyakorlásához, hogy az szükséges legyen az adatkezelőt terhelő valamely jogi kötelezettségnek való megfeleléshez, vagy az e rendelet szerinti egyéb jogszerű alapon, beleértve az érintett hozzájárulását vagy egy olyan szerződés teljesítésének szükségességét, amelyben az érintett félként részt vesz, vagy annak érdekében, hogy az érintett kérésére a szerződés megkötése előtt lépéseket lehessen tenni. Az uniós intézmények és szervek által a közérdekből végzett feladatok teljesítése érdekében végzett személyesadat-kezelés magában foglalja az ilyen intézmények és szervek irányításához és működéséhez szükséges személyes adatok kezelését is. Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett vagy más természetes személy élete szempontjából alapvető érdek védelméhez szükséges. Más természetes személy létfontosságú érdekeire hivatkozással személyesadat-kezelésre elvben csak akkor kerülhet sor, ha az adatkezelés egyéb jogalapon nyilvánvalóan nem végezhető. A személyesadat-kezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból – ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében – van szükség.

(23)

Az e rendeletben említett uniós jognak világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára a Chartában és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben meghatározott követelményekkel összhangban.

(24)

Az e rendeletben említett belső szabályoknak olyan általánosan alkalmazandó, világos és pontos aktusoknak kell lenniük, amelyek célja, hogy joghatással járjanak az érintettekre nézve. Az említett szabályokat az uniós intézmények és szervek legfelső vezetésének kell hatáskörük keretein belül, a működésükkel kapcsolatos kérdéseket illetően elfogadniuk. Az említett szabályokat az Európai Unió Hivatalos Lapjában közzé kell tenni. Az említett szabályok alkalmazásának előreláthatónak kell lennie a hatályuk alá tartozó személyek számára a Charta és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben meghatározott követelményekkel összhangban. A belső szabályok lehetnek határozatok, különösen, ha azokat uniós intézmények fogadják el.

(25)

A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető azokkal a célokkal, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Ha az adatkezelés közérdekből végzett feladat teljesítése vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, az uniós jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni. Az uniós jogban foglalt, a személyes adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között az említett eredeti célok és a tervezett további adatkezelési célok között fennálló valamennyi összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat-kezelési műveletek során.

(26)

Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az adatkezelési művelethez az érintett hozzájárult. Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette. A 93/13/EGK tanácsi irányelvnek (6) megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek tisztában kell lennie legalább az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

(27)

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményekkel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekekkel kapcsolatos személyi profilok létrehozására és személyes adatok gyűjtésére kell alkalmazni az uniós intézmények és szervek internetes oldalain közvetlenül gyermekeknek kínált szolgáltatások esetén, ideértve például az interperszonális kommunikációs szolgáltatásokat vagy az online jegyértékesítést, valamint amikor a személyes adatok kezelése hozzájáruláson alapul.

(28)

Amennyiben az Unióban letelepedett, uniós intézményeken és szerveken kívüli címzettek az uniós intézmények és szervek által számukra továbbított személyes adatokat szeretnének kapni, az említett címzetteknek bizonyítaniuk kell, hogy az adatok továbbítására vagy közérdekből vagy a rájuk ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladataik teljesítéséhez van szükség. Egyéb esetben az említett címzetteknek azt kell bizonyítaniuk, hogy a továbbítás meghatározott közérdekű célból szükséges, az adatkezelőnek pedig meg kell állapítania, hogy van-e ok annak feltételezésére, hogy az érintett jogos érdekei esetleg sérelmet szenvedhetnek. Ilyen esetekben az adatkezelőnek bizonyíthatóan mérlegelnie kell a különböző egymással versengő érdekeket a személyes adatok kért továbbítása arányosságának értékelése érdekében. A meghatározott közérdekű célok kapcsolatosak lehetnek az uniós intézmények és szervek átláthatóságával. Az uniós intézményeknek és szerveknek – az átláthatóság és a jó közigazgatás elvének megfelelve – továbbá bizonyítaniuk kell az adattovábbítás szükségességét, amikor azt ők maguk kezdeményezik. Az e rendeletben meghatározott, az Unióban letelepedett, uniós intézményektől és szervektől eltérő címzetteknek való adattovábbításra vonatkozó követelményeket úgy kell értelmezni, hogy azok kiegészítik a jogszerű adatkezelés feltételeit.

(29)

Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen személyes adatok nem kezelhetők, kivéve az e rendeletben meghatározott külön feltételek teljesülése esetén. Ilyen adatnak minősülnek a faji vagy etnikai származásra utaló személyes adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. A fényképek kezelését nem szükséges szisztematikusan a személyes adatok különleges kategóriájára vonatkozó adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel történik az adatkezelés. A különleges adatok kezelésére vonatkozó különös előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek vagy alapítványok végzik, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

(30)

A személyes adatok magasabb szintű védelmet igénylő, különleges kategóriáit csak abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében. Ezért a sajátos szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni a személyes egészségügyi adatok különleges kategóriáinak kezelésére vonatkozóan, különösen, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik. Az uniós jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes adatainak védelmére irányulnak.

(31)

A népegészségügy területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az érintett hozzájárulása nélkül történő kezelése. Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében megfelelő és célzott intézkedéseket kell hozni. Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben (7) meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi adatok ilyen közérdekű kezelése nem eredményezheti a személyes adatok más célokból való kezelését.

(32)

Ha az adatkezelő által kezelt személyes adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelőt az érintett személyazonosságának megállapítása érdekben nem lehet további információk beszerzésére kötelezni annak érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének. Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának elősegítése érdekében nyújtott további információkat. Az azonosítás magában foglalja az érintettek, például olyan hitelesítési mechanizmus révén történő digitális azonosítását, amelynek keretében az érintett ugyanazokat a belépési azonosító adatokat adja meg, amelyeket az adatkezelő által nyújtott online szolgáltatáshoz történő bejelentkezéshez használ.

(33)

E rendelet értelmében a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak. Az említett garanciák biztosítják, hogy technikai és szervezési intézkedéseket hozzanak különösen annak érdekében, hogy az adattakarékosság elve érvényesüljön. A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további kezelésére akkor kerülhet sor, ha az adatkezelő előzetesen felmérte, hogy ezek a célok megvalósíthatók olyan személyes adatok kezelésével, amelyek eleve nem vagy a továbbiakban már nem teszik lehetővé az érintettek azonosítását, feltéve, hogy megfelelő garanciák állnak rendelkezésre (mint például a személyes adatok álnevesítése). Az uniós intézményeknek és szerveknek rendelkezniük kell az uniós jogon belüli megfelelő garanciákról a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelése tekintetében; az uniós jog magában foglalhatja az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott belső szabályokat is.

(34)

Olyan intézkedéseket kell biztosítani, amelyek megkönnyítik az érintettek e rendeletben biztosított jogainak gyakorlását, ideértve olyan mechanizmusokat is, amelyek által az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését vagy törlését, valamint a tiltakozáshoz való jog gyakorlását. Az adatkezelő ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik. Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének nem szándékozik eleget tenni, indokolnia kell azt.

(35)

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő azokat a további információkat is az érintett rendelkezésére bocsátja, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Az érintettet továbbá tájékoztatni kell a profilalkotás tényéről és annak következményeiről. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon. Amikor az ikonokat elektronikus formátumban jelenítik meg, azoknak géppel olvashatóknak kell lenniük.

(36)

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű időn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetőek más címzettel, arról az érintettet a címzettel történő első közléskor tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

(37)

Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen. Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, ha lehetséges azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, valamint hogy minderről tájékoztatást kapjon. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. Ha az adatkezelő nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik.

(38)

Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését és megilleti őt „az elfeledtetéshez való jog”, ha az ilyen adatok megőrzése sérti e rendeletet vagy olyan uniós jogot, amelynek hatálya az adatkezelőre kiterjed. Az érintett jogosult arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtésére vagy más módon való kezelésére az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintett visszavonta az adatok kezeléshez adott hozzájárulását, vagy ha személyes adatai kezelése egyéb szempontból nem felel meg e rendeletnek. Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig el akarja távolítani az ilyen személyes adatokat, különösen az internetről. Az érintett e jogát gyakorolhatja akkor is, ha már nem gyermek. Ugyanakkor a személyes adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek való megfelelés, illetőleg közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítése miatt, vagy a népegészségügy területét érintő közérdekből, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

(39)

Az elfeledtetéshez való jog online környezetben történő megerősítése érdekében a törléshez való jogot emellett oly módon szükséges kiterjeszteni, hogy a személyes adatokat nyilvánosságra hozó adatkezelőnek az ilyen személyes adatokat kezelő adatkezelőket tájékoztatnia kell arról, hogy töröljék az ilyen személyes adatokra mutató linkeket vagy e személyes adatok másolatát, illetve másodpéldányát. E tájékoztatás során az adatkezelőnek észszerű lépéseket kell tennie annak érdekében, hogy – figyelembe véve a rendelkezésre álló technológiát és eszközöket, ideértve a technikai intézkedések alkalmazását is – a személyes adatokat kezelő adatkezelők értesüljenek az érintett kéréséről.

(40)

A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között a kiválasztott személyes adatoknak egy másik adatkezelő rendszerbe történő ideiglenes áthelyezése vagy a felhasználók számára való hozzáférhetőségük megszüntetése, vagy egy honlapról az ott közzétett adatok ideiglenes eltávolítása. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani oly módon, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Azt a tényt, hogy a személyes adatok kezelése korlátozott, egyértelműen jelezni kell a rendszerben.

(41)

Ha a személyes adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák. Az adatkezelőket ösztönözni kell, hogy az adathordozhatóságot lehetővé tevő interoperábilis formátumokat fejlesszenek ki. Ez a jog abban az esetben gyakorolható, ha az érintett a személyes adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges. Ezért e jog nem gyakorolható akkor, ha a személyes adatok kezelése valamely, az adatkezelőre alkalmazandó jogi kötelezettségnek való megfeleléshez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges. Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn. Ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait. Ez a jog nem érinti továbbá az érintettnek a jogát arra, hogy a személyes adatainak törlését elérje, sem pedig az e jogra vonatkozóan e rendeletben megállapított korlátozásokat, továbbá nem járhat különösen az érintettre vonatkozó olyan személyes adatok törlésével, amelyeket az érintett valamely szerződés teljesítése céljából bocsátott rendelkezésre, ha és ameddig a személyes adatokra szükség van az adott szerződés teljesítéséhez. Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.

(42)

Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetére vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez van szükség. Az adatkezelőnek kell bizonyítania, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet.

(43)

Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti, mint például az emberi beavatkozás nélkül folytatott online munkaerő-toborzás. Ilyen adatkezelésnek minősül a „profilalkotás” is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált, személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti.

Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt az uniós jog kifejezetten megengedi. Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelyek közé tartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen, hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről, és hogy megtámadja a döntést. Az ilyen intézkedés gyermekre nem vonatkozhat. Az érintett szempontjából tisztességes és átlátható adatkezelés biztosítása érdekében – figyelembe véve azokat a körülményeket és kontextust, amelyben a személyes adatokat kezelik – az adatkezelő a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat alkalmaz, olyan technikai és szervezési intézkedéseket vezet be, amelyek biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését, továbbá a személyes adatok biztonságáról oly módon gondoskodik, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és megakadályozza többek között az olyan hatások érvényesülését, amelyek a természetes személyek közötti hátrányos megkülönböztetést eredményeznek faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján, illetve azokat az adatkezeléseket, amelyek ilyen hatást kiváltó intézkedéseket eredményeznek. A személyes adatok különleges kategóriáin alapuló automatizált döntéshozatal és profilalkotás csak bizonyos egyedi feltételek mellett engedélyezhető.

(44)

A Szerződések vagy az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott belső szabályok alapján elfogadott jogi aktusok olyan mértékig korlátozhatnak bizonyos elveket, a tájékoztatáshoz való jogot, a személyes adatokhoz való hozzáférési, az azokra vonatkozó helyesbítési vagy törlési jogot, az adathordozhatósághoz való jogot, az elektronikus hírközlési adatok titkosságát, az adatvédelmi incidens érintettel történő közlését, valamint az adatkezelők bizonyos kapcsolódó kötelezettségeit, amilyen mértékig ez egy demokratikus társadalomban szükséges és arányos a közbiztonság védelme, valamint a bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása érdekében. Ez magában foglalja a közbiztonságot fenyegető veszélyekkel szembeni védelmet és azok megelőzését, az emberi élet védelmét, különösen a természeti vagy ember okozta katasztrófákkal szemben, az uniós intézmények és szervek belső biztonságát, az Unió vagy valamely tagállam általános közérdeket szolgáló egyéb fontos célkitűzéseit, különösen az Unió közös kül- és biztonságpolitikájának céljait vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdekét, valamint az állami nyilvántartások vezetését az általános közérdek vagy az érintett védelme vagy mások jogainak és szabadságainak védelme érdekében, beleértve a szociális védelmet, a közegészségügyet és a humanitárius célokat.

(45)

A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek megfelelnek e rendeletnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

(46)

A természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott természetes személyek –különösen gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

(47)

Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni. A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve magas kockázattal járnak-e.

(48)

A természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek eleget tesznek különösen a beépített és az alapértelmezett adatvédelem elveinek. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mielőbbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

(49)

Az (EU) 2016/679 rendelet előírja az adatkezelők számára, hogy a jóváhagyott tanúsítási mechanizmusokhoz való csatlakozással bizonyítsák a megfelelést. Hasonlóképpen az uniós intézmények és szervek számára is lehetővé kell tenni, hogy a tanúsításnak az (EU) 2016/679 rendelet 42. cikkével összhangban történő megszerzésével is igazolják az e rendeletnek való megfelelést.

(50)

Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

(51)

Az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelményeknek való megfelelés biztosítása érdekében, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csak olyan adatfeldolgozókat vehet igénybe, amelyek elégséges garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is. Az uniós intézményektől és szervektől eltérő adatfeldolgozó kötelezettségeinek való megfelelés bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz. Az adatkezelésnek az uniós intézménytől vagy szervtől eltérő adatfeldolgozó általi elvégzését az uniós jog alapján létrejött szerződés, illetve adatfeldolgozóként eljáró uniós intézmények és szervek esetében uniós jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is. Az adatkezelő és az adatfeldolgozó számára lehetővé kell tenni, hogy választhasson az egyedi szerződés vagy általános szerződési feltételek alkalmazása között, amelyeket vagy közvetlenül a Bizottság, vagy pedig az európai adatvédelmi biztos, majd a Bizottság fogad el. Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

(52)

Az e rendeletnek való megfelelés bizonyítása érdekében az adatkezelőnek nyilvántartást kell vezetnie a hatásköre alapján végzett adatkezelési tevékenységekről, az adatfeldolgozónak pedig nyilvántartást kell vezetnie a hatásköre alapján végzett adatkezelési tevékenységek kategóriáiról. Az uniós intézmények és szervek kötelesek együttműködni az európai adatvédelmi biztossal, és nyilvántartásaikat utóbbi kérésére hozzáférhetővé kell tenniük a számára, az érintett adatkezelési műveletek nyomon követése érdekében. Kivéve, ha ez egy uniós intézmény vagy szerv méretére tekintettel nem megfelelő, az uniós intézményeknek és szerveknek képeseknek kell lenniük az adatkezelési tevékenységeik központi nyilvántartásának létrehozására. Az átláthatóság érdekében lehetővé kell tenni számukra az ilyen nyilvántartás nyilvánosságra hozatalát is.

(53)

A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és a technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során mérlegelni kell a személyes adatok kezelése által képviselt olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés –, amelyek különösen fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

(54)

Az uniós intézményeknek és szerveknek biztosítaniuk kell az elektronikus hírközlés bizalmas jellegét, a Charta 7. cikkével összhangban. Az uniós intézményeknek és szerveknek biztosítaniuk kell különösen az elektronikus hírközlési hálózataik biztonságát. Az említetteknek védeniük kell a nyilvánosan elérhető weboldalaikhoz és mobil alkalmazásaikhoz való hozzáférést biztosító felhasználói végberendezésekkel kapcsolatos információkat a 2002/58/EK európai parlamenti és tanácsi irányelvnek (8) megfelelően. Az említetteknek védeniük kell a felhasználók nyilvántartásokban tárolt személyes adatait is.

(55)

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha megoldható a tudomásszerzéstől számított legkésőbb 72 órán belül köteles bejelenteni az európai adatvédelmi biztosnak, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha ilyen bejelentésre 72 órán belül nincs mód, abban meg kell jelölni a késedelem okát, az információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet. Amennyiben az ilyen késedelem indokolt, az incidensre vonatkozó kevésbé érzékeny vagy kevésbé konkrét információkat a lehető leghamarabb közölni kell, ahelyett, hogy a bejelentést megelőzően teljes mértékben megoldják az alapul szolgáló incidenst.

(56)

Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek említett tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve az európai adatvédelmi biztossal, és betartva az általa vagy más érintett hatóságok, például bűnüldöző hatóságok által adott útmutatást.

(57)

A 45/2001/EK rendelet általános kötelezettségként előírja az adatkezelő számára, hogy értesítse az adatvédelmi tisztviselőt a személyes adatok kezeléséről. Az adatvédelmi tisztviselőnek nyilvántartást kell vezetnie a bejelentett adatkezelési műveletekről, kivéve, ha ez az uniós intézmény vagy szerv méretére tekintettel nem helyénvaló. Ezen általános kötelezettség mellett hatékony eljárásokat és mechanizmusokat kell létrehozni azon adatkezelési műveletek nyomon követésére, amelyek a jellegüknél, hatókörüknél, körülményeiknél és céljaiknál fogva a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal járnak. Ilyen eljárásokat kell alkalmazni különösen az olyan típusú adatkezelési műveletek esetén, amelyek új technológiákat alkalmaznak, illetve amelyek új fajtájúak, és amelyek esetében az adatkezelő még nem végezte el az adatvédelmi hatásvizsgálatot, vagy amelyek esetében az adatvédelmi hatásvizsgálat az első adatkezelés óta eltelt időre tekintettel vált szükségessé. Ilyen esetekben az adatkezelő – annak érdekében, hogy az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve felmérje a magas kockázat adott valószínűségét és súlyosságát – az adatkezelés előtt adatvédelmi hatásvizsgálatot kell, hogy végezzen. Ennek a hatásvizsgálatnak magában kell foglalnia különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.

(58)

Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt konzultálni kell az európai adatvédelmi biztossal. Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait. Az európai adatvédelmi biztos meghatározott időtartamon belül választ ad a konzultáció iránti megkeresésre. Ha azonban az európai adatvédelmi biztos az említett időtartamon belül nem reagál, az nem érinti az európai adatvédelmi biztosnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló bármely beavatkozását, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve. E konzultációs eljárás során lehetővé kell tenni, hogy az adott adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét – és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét – benyújtsák az európai adatvédelmi biztosnak.

(59)

Az európai adatvédelmi biztost tájékoztatni kell az uniós intézmények és szervek által elfogadott azon közigazgatási intézkedésekről, valamint konzultálni kell vele az uniós intézmények és szervek által a működésükkel kapcsolatos kérdéseket illetően elfogadott azon belső szabályokról, amelyek személyes adatok kezeléséről rendelkeznek, megállapítják az érintettek jogainak korlátozására vonatkozó feltételeket vagy megfelelő biztosítékokat nyújtanak az érintettek jogaira vonatkozóan annak biztosítása érdekében, hogy a tervezett adatkezelés megfeleljen e rendeletnek, különösen az érintett számára fennálló kockázat mérséklése tekintetében.

(60)

Az (EU) 2016/679 rendelet létrehozta az Európai Adatvédelmi Testületet mint jogi személyiséggel rendelkező, független uniós szervet. A testületnek hozzá kell járulnia az (EU) 2016/679 rendelet és az (EU) 2016/680 irányelv egységes alkalmazásához az Unió egész területén, többek között a Bizottságnak nyújtott tanácsadás révén. Ugyanakkor az európai adatvédelmi biztosnak továbbra is gyakorolnia kell felügyeleti és tanácsadói feladatait – saját kezdeményezésére vagy kérésre – valamennyi uniós intézmény és szerv tekintetében. Az adatvédelmi szabályok Unió-szerte való egységességének biztosítása érdekében a javaslatok vagy ajánlások előkészítése során a Bizottságnak törekednie kell arra, hogy konzultáljon az európai adatvédelmi biztossal. Kötelezővé kell tenni a Bizottság számára a konzultációt az EUMSZ 289., 290., illetve 291. cikkében meghatározott olyan jogalkotási aktusok elfogadását követően, felhatalmazáson alapuló jogi aktusok, illetve végrehajtási jogi aktusok előkészítése során, valamint a harmadik országokkal és nemzetközi szervezetekkel kötendő megállapodásokra vonatkozó olyan ajánlásoknak és javaslatoknak az EUMSZ 218. cikke szerinti elfogadását követően, amelyek hatással vannak a személyes adatok védeleméhez való jogra. Ilyen esetekben a Bizottság számára kötelezővé kell tenni, hogy konzultáljon az európai adatvédelmi biztossal, kivéve, ha az (EU) 2016/679 rendelet az Európai Adatvédelmi Testülettel való kötelező konzultációról rendelkezik, például a megfelelőségi határozatok vagy a szabványosított ikonokra vonatkozó felhatalmazáson alapuló jogi aktusok, valamint a tanúsítási mechanizmusokra vonatkozó követelmények esetében. Amennyiben az adott jogi aktus különös jelentőséggel bír a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében való védelme szempontjából, a Bizottság számára ezen túlmenően lehetőséget kell biztosítani az Európai Adatvédelmi Testülettel való konzultációra. Ezekben az esetekben az európai adatvédelmi biztosnak – az Európai Adatvédelmi Testület tagjaként – össze kell hangolnia a munkáját az utóbbiéval azzal a céllal, hogy közös véleményt adjanak ki. Az Európai Adatvédelmi Biztos és adott esetben az Európai Adatvédelmi Testület nyolc héten belül írásban tanácsot ad. Sürgős esetekben, vagy ha az egyéb okokból indokolt – például amikor a Bizottság felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat készít elő – ennek a határidőnek rövidebbnek kell lennie.

(61)

Az (EU) 2016/679 rendelet 75. cikkével összhangban az európai adatvédelmi biztosnak biztosítania kell az Európai Adatvédelmi Testület titkárságát.

(62)

Minden uniós intézménynél és szervnél adatvédelmi tisztviselőnek kell biztosítania e rendelet rendelkezéseinek alkalmazását, valamint tanácsokkal kell ellátnia az adatkezelőket és az adatfeldolgozókat a kötelezettségeik teljesítésével kapcsolatban. Ennek a tisztviselőnek olyan személynek kell lennie, aki szakértői ismeretekkel rendelkezik az adatvédelmi jog és gyakorlatok terén, amely ismereteket különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az érintett személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Az említett adatvédelmi tisztviselő számára biztosítani kell, hogy a kötelezettségeit és feladatait független módon láthassa el.

(63)

A személyes adatoknak az uniós intézményektől vagy szervektől harmadik országbeli adatkezelőknek, adatfeldolgozóknak vagy egyéb címzetteknek vagy nemzetközi szervezeteknek történő továbbítása esetén biztosítani kell a természetes személyeknek az Unióban e rendelettel biztosított védelmi szintjét. Ugyanezen biztosítékokat kell alkalmazni a személyes adatoknak harmadik országból vagy nemzetközi szervezettől ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőnek, adatfeldolgozónak vagy nemzetközi szervezetnek történő újbóli továbbítása esetén. Mindenesetre a harmadik országokba és a nemzetközi szervezetekhez való továbbítás csak e rendeletnek való maradéktalan megfelelés és a Chartában foglalt alapvető jogok és szabadságok tiszteletben tartása mellett hajtható végre. A továbbításra akkor kerülhet csak sor, ha az adatkezelő vagy az adatfeldolgozó – e rendelet egyéb rendelkezéseire is figyelemmel – megfelel a harmadik országoknak vagy nemzetközi szervezeteknek történő személyesadat-továbbításra vonatkozó, e rendeletben meghatározott feltételeknek.

(64)

A Bizottság az (EU) 2016/679 rendelet 45. cikke vagy az (EU) 2016/680 irányelv 36. cikke értelmében dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, vagy nemzetközi szervezet megfelelő szintű adatvédelmet nyújt. Ilyen esetekben az uniós intézmények vagy szervek további engedély beszerzése nélkül továbbíthatják a személyes adatokat az említett harmadik ország vagy nemzetközi szervezet részére.

(65)

Megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról. Ezek a megfelelő garanciák magukban foglalhatják a Bizottság által elfogadott általános adatvédelmi kikötések, az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötések vagy az európai adatvédelmi biztos által engedélyezett szerződési feltételek alkalmazását. Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, ezek a megfelelő garanciák az (EU) 2016/679 rendelet szerinti nemzetközi adattovábbításhoz használt kötelező erejű vállalati szabályokat, magatartási kódexeket és tanúsítási mechanizmusokat is magukban foglalhatnak. Az említett garanciáknak biztosítaniuk kell az adatvédelmi követelményeknek való megfelelést és az érintettek számára az Unión belüli adatkezeléshez megfelelő jogokat, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe és kártérítést igényelhessenek az Unióban vagy egy harmadik országban. A garanciák különösen a személyes adatok kezelésére vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak. Adattovábbítást az uniós intézmények és szervek harmadik országbeli közigazgatási hatóságok vagy szervek vagy hasonló feladatokat vagy funkciókat ellátó nemzetközi szervezetek felé is végezhetnek, többek között a közigazgatási megállapodásokba – például egyetértési megállapodás formájában – beillesztendő, az érintetteknek érvényesíthető és tényleges jogokat biztosító rendelkezések alapján. Az európai adatvédelmi biztos engedélyét be kell szerezni abban az esetben, ha a garanciákat olyan közigazgatási megállapodások tartalmazzák, amelyek jogilag nem kötelező erejűek.

(66)

Az a lehetőség, amely szerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános adatvédelmi kikötéseket, nem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezeket, sem pedig azt, hogy további rendelkezéseket vagy garanciákat adjon hozzájuk, feltéve, hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy az európai adatvédelmi biztos által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait. Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

(67)

Néhány harmadik ország olyan törvényeket, rendeleteket és más jogszabályokat fogad el, amelyek az uniós intézmények és szervek általi adatkezelési tevékenységek közvetlen szabályozására irányulnak. Ide tartoznak a harmadik országok bíróságai és törvényszékei által hozott ítéletek, valamint közigazgatási hatóságai által hozott döntések, amelyek valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írják elő, és amelyek nem egy olyan hatályos nemzetközi megállapodáson alapulnak, amely a megkereső harmadik ország és az Unió között jött létre. E törvények, rendeletek és más jogszabályok országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja a természetes személyeknek az Unióban e rendelet által biztosított védelmét. Az adattovábbítás csak akkor engedélyezhető, ha az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek. Ez többek között akkor állhat fenn, ha az adatközlés az uniós jogban elismert fontos közérdekből szükséges.

(68)

Ha az érintett kifejezett hozzájárulását adta, az adatok továbbítását bizonyos körülmények esetén lehetővé kell tenni, ha az adattovábbítás alkalomszerű, és valamely szerződéssel vagy jogi igénnyel kapcsolatban válik szükségessé, függetlenül attól, hogy a szerződés teljesítésére vagy a jogi igény érvényesítésére bírósági eljárás, illetve közigazgatási vagy egyéb nem bírósági útra tartozó eljárás keretében kerül-e sor, ideértve a szabályozói szervek előtt zajló eljárásokat is. Szintén lehetővé kell tenni az adatok továbbítását, ha azt az uniós jogban megállapított fontos közérdek védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánosság vagy az e tekintetben jogos érdekkel rendelkezők általi betekintés biztosítása. Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő személyes adatok vagy adatkategóriák összességére – kivéve, ha ezt az uniós jog megengedi –, valamint ha a nyilvántartás célja a jogos érdekkel rendelkező személyek általi betekintés biztosítása, a nekik való továbbításra csak e személyek kérelmére kerülhet sor, vagy akkor, ha ők a címzettek, teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait.

(69)

Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például az uniós intézmények és szervek, valamint a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyeleti hatóságok és a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere érdekében, például fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése vagy a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából. A személyes adatok továbbítása hasonlóképpen jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni. Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriába tartozó adatoknak valamely harmadik országba vagy nemzetközi szervezet részére történő továbbítását. Ha a genfi egyezmények által előírt feladat elvégzése, illetve a nemzetközi humanitárius jog fegyveres konfliktus esetén alkalmazandó rendelkezéseinek történő megfelelés alapján valamely nemzetközi humanitárius szervezet számára olyan érintett személyes adatait továbbítják, akinek fizikailag vagy jogilag nem áll módjában a hozzájárulás megadása, erre úgy lehet tekinteni, mint ami fontos közérdekből vagy az érintett létfontosságú érdeke védelmében szükséges.

(70)

Ha a Bizottság az adott harmadik ország viszonylatában nem hozott határozatot a harmadik ország megfelelő adatvédelemi szintjéről, az adatkezelő vagy az adatfeldolgozó olyan megoldásokhoz folyamodhat, amelyek az érintettek számára olyan tényleges és érvényesíthető jogokat biztosítanak, hogy az érintettek az adattovábbítást követően is élvezhetik az őket megillető alapvető jogokat és garanciákat.

(71)

A személyes adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen, ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti. Ugyanakkor előfordulhat, hogy a nemzeti felügyeleti hatóságok és az európai adatvédelmi biztos nem tudnak a joghatóságukon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni. A határokon átnyúló összefüggésben tett erőfeszítéseiket az elégtelen megelőzési vagy jogorvoslati hatáskör, az egymásnak ellentmondó jogrendszerek, valamint olyan gyakorlati akadályok is hátráltathatják, mint a források korlátozott volta. Ezért elő kell mozdítani az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok közötti szorosabb együttműködést a nemzetközi partnereikkel való információcsere elősegítése érdekében.

(72)

A 45/2001/EK rendelet által létrehozott, a feladatai ellátása és hatáskörei gyakorlása során teljes függetlenséget élvező európai adatvédelmi biztos tisztsége a természetes személyek személyes adataik kezelése tekintetében fennálló védelmének alapvető része. E rendeletnek tovább kell erősítenie és egyértelművé kell tennie az európai adatvédelmi biztos szerepét és függetlenségét. Az európai adatvédelmi biztosnak olyan személynek kell lennie, akinek a függetlenségéhez nem férhet kétség, és aki elismerten rendelkezik az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalatokkal és készségekkel, például azért, mert az (EU) 2016/679 rendelet 51. cikke alapján létrehozott felügyeleti hatóságok valamelyikéhez tartozott.

(73)

Az adatvédelmi szabályok Unió-szerte következetes nyomon követésének és érvényesítésének biztosítása érdekében az európai adatvédelmi biztosnak ugyanazokkal a feladatokkal és hatékony hatáskörökkel kell rendelkeznie, mint a nemzeti felügyeleti hatóságoknak, ideértve a vizsgálati hatáskört, a korrekciós hatásköröket és a szankciókat, az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszai esetében, az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén a Bírósághoz forduljon és bírósági eljárást kezdeményezzen az elsődleges joggal összhangban. E hatásköröknek magukban kell foglalniuk az adatkezelés átmeneti vagy végleges korlátozását, ideértve az adatkezelés tilalmának elrendelésére vonatkozó jogosultságot. Annak elkerülésére, hogy az intézkedés az érintett személynek – akit ez hátrányosan érinthet – felesleges költségeket és túlzott kényelmetlenséget okozzon, az európai adatvédelmi biztos valamennyi intézkedésének megfelelőnek, szükségesnek és arányosnak kell lennie az e rendeletnek való megfelelés biztosítása érdekében, és figyelembe kell vennie az egyes esetek körülményeit, tiszteletben tartva azt, hogy minden személynek joga van ahhoz, hogy az érintett egyedi intézkedés meghozatala előtt meghallgassák. Az európai adatvédelmi biztosnak minden jogilag kötelező erejű intézkedését írásban kell meghoznia, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetni rajta az intézkedés meghozatalának időpontját, az európai adatvédelmi biztosnak azt el kell látnia az aláírásával, indokolnia kell és utalnia kell benne a hatékony jogorvoslathoz való jogra.

(74)

Annak érdekében, hogy az igazságszolgáltatási feladatai ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a Bíróság függetlensége, az európai adatvédelmi biztos felügyeleti hatásköre nem terjedhet ki a személyes adatoknak a Bíróság általi olyan kezelésére, amelyet a Bíróság igazságszolgáltatási feladatkörében eljárva végez. Az ilyen adatkezelési műveletekre vonatkozóan a Bíróságnak a Charta 8. cikkének (3) bekezdésével összhangban független felügyeletet kell kialakítania, például belső mechanizmusok révén.

(75)

Az európai adatvédelmi biztos e rendelet szerint meghatározott, adatkezelési műveletekre vonatkozó mentességekkel, garanciákkal, engedélyekkel és feltételekkel kapcsolatos határozatait a tevékenységi jelentésben kell közzétenni. Az éves tevékenységi jelentés közzétételétől függetlenül az európai adatvédelmi biztos külön témákban is jelentéseket tehet közzé.

(76)

Az európai adatvédelmi biztosnak meg kell felelnie az 1049/2001/EK európai parlamenti és tanácsi rendeletnek (9).

(77)

A nemzeti felügyeleti hatóságok figyelemmel kísérik az (EU) 2016/679 rendelet alkalmazását és hozzájárulnak annak Unió-szerte történő egységes alkalmazásához annak érdekében, hogy védjék a természetes személyeket a személyes adataik kezelésével kapcsolatban, valamint elősegítsék a személyes adatok belső piacon belüli szabad áramlását. A tagállamokban alkalmazandó és az uniós intézményekre és szervekre alkalmazandó adatvédelmi szabályok egységesebb alkalmazása érdekében az európai adatvédelmi biztosnak hatékonyan együtt kell működnie a nemzeti felügyeleti hatóságokkal.

(78)

Bizonyos esetekben az uniós jog rendelkezik az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok közötti megosztott, összehangolt felügyelet modelljéről. Az európai adatvédelmi biztos az Europol felügyeleti hatósága is, és e célból egy tanácsadó funkcióval rendelkező együttműködési testület révén a nemzeti felügyeleti hatóságokkal való együttműködés sajátos modelljét hozták létre. Az anyagi adatvédelmi szabályok hatékony felügyeletének és érvényesítésének javítása érdekében egységes és következetes összehangolt felügyeleti modellt kell bevezetni az Unióban. A Bizottságnak ezért adott esetben jogalkotási javaslatokat kell előterjesztenie az összehangolt felügyelet modelljéről rendelkező uniós jogi aktusok módosítása céljából annak érdekében, hogy összhangba hozza azokat az összehangolt felügyelet e rendelet szerinti modelljével. Az Európai Adatvédelmi Testületnek egységes fórumként kell biztosítania a hatékony összehangolt felügyeletet minden területen.

(79)

Minden érintett jogosult arra, hogy panaszt nyújtson be az európai adatvédelmi biztoshoz, és a Szerződésekkel összhangban hatékony bírósági jogorvoslattal éljen a Bíróság előtt, amennyiben úgy ítéli meg, hogy az e rendelet értelmében őt megillető jogokat megsértették, vagy ha az európai adatvédelmi biztos nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges. A panasz benyújtását követően – a konkrét esethez szükséges mértékben – vizsgálatot kell lefolytatni, amely bírósági felülvizsgálat tárgyát képezheti. Az európai adatvédelmi biztosnak észszerű időn belül tájékoztatnia kell az érintettet a panaszhoz fűződő fejleményekről és eredményekről. Ha az ügy egy másik nemzeti felügyeleti hatósággal való további együttműködést tesz szükségessé, az érintettet időközben tájékoztatni kell. A panaszok benyújtásának megkönnyítése érdekében az európai adatvédelmi biztosnak intézkedéseket kell tennie, például olyan panasz benyújtására szolgáló formanyomtatványt kell biztosítania, amely elektronikus úton is kitölthető, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(80)

Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért a Szerződésekben foglalt feltételek szerint az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(81)

Az európai adatvédelmi biztos felügyeleti szerepének és e rendelet hatékony végrehajtásának megerősítése érdekében az európai adatvédelmi biztosnak – végső megoldásként – lehetőséget kell adni arra, hogy közigazgatási bírságokat szabjon ki. A bírságoknak arra kell irányulniuk, hogy az e rendelet jövőbeli megsértésének megakadályozása, valamint az uniós intézményeken és szerveken belül a személyes adatok védelme kultúrájának előmozdítása érdekében e rendelet megsértéséért az uniós intézményt vagy szervet, és ne az egyéneket szankcionálják. E rendeletben kell meghatározni a közigazgatási bírságokkal szankcionálható jogsértéseket, valamint a kapcsolódó bírságok összegének felső határát és azok megállapításának szempontjait. A közigazgatási bírság összegét az egyes esetekben az európai adatvédelmi biztos állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, kellő figyelmet fordítva a jogsértés természetére, súlyosságára és időtartamára, a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségeknek való megfelelés biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Közigazgatási bírság uniós intézményre vagy szervre történő kiszabásakor az európai adatvédelmi biztosnak meg kell vizsgálnia a bírság összegének arányosságát. Az uniós intézményekre és szervekre kiszabott bírságokra vonatkozó közigazgatási eljárás során tiszteletben kell tartani az uniós jog általános elveit, a Bíróság általi értelmezésnek megfelelően.

(82)

Ha az érintett úgy ítéli meg, hogy az e rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, az uniós jognak vagy a tagállami jognak megfelelően létrehozott, az alapszabályában rögzített közérdekű célokat szolgáló és a személyes adatok védelmével foglalkozó nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be az európai adatvédelmi biztoshoz. Az ilyen szerv, szervezet vagy egyesület számára lehetővé kell tenni azt is, hogy az érintettek nevében a bírósági jogorvoslathoz való jogot gyakorolja, illetve a kártérítéshez való jogot érvényesítse.

(83)

Az Unió azon tisztviselője vagy alkalmazottja ellen, aki nem teljesíti az e rendeletben foglalt kötelezettségeket, a 259/68/EGK, Euratom, ESZAK tanácsi rendelettel (10) megállapított, az Európai Unió tisztviselőinek személyzeti szabályzatában és az Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételekben (a továbbiakban: a személyzeti szabályzat) megállapított szabályokkal és eljárásokkal összhangban fegyelmi vagy más eljárás indítható.

(84)

E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (11) megfelelően kell gyakorolni. Vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és az adatfeldolgozók közötti, valamint az adatfeldolgozók közötti általános szerződési feltételek elfogadására, azon adatkezelési műveletek jegyzékének elfogadására, amelyek esetében a közérdekből végzett feladat teljesítése érdekében személyes adatot kezelő adatkezelőknek előzetes konzultációt kell folytatniuk az európai adatvédelmi biztossal, valamint a nemzetközi adattovábbításhoz megfelelő garanciákról rendelkező általános szerződési feltételek elfogadására.

(85)

Az uniós és a nemzeti statisztikai hatóságok által a hivatalos uniós és a hivatalos nemzeti statisztikák készítéséhez gyűjtött bizalmas adatokat védeni kell. Az uniós statisztikákat az EUMSZ 338. cikkének (2) bekezdésében foglalt statisztikai elveknek megfelelően kell kidolgozni, elkészíteni és terjeszteni. A 223/2009/EK európai parlamenti és tanácsi rendelet (12) további konkrét rendelkezéseket határoz meg az uniós statisztikákra vonatkozó titoktartási kötelezettségekről.

(86)

A 45/2001/EK rendeletet és az 1247/2002/EK európai parlamenti, tanácsi és bizottsági határozatot (13) hatályon kívül kell helyezni. A hatályát vesztett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.

(87)

A független felügyeleti hatóság tagjai teljes függetlenségének biztosítása érdekében ez a rendelet nem érinti a jelenlegi európai adatvédelmi biztos és a jelenlegi helyettes biztos megbízatását. A jelenlegi helyettes biztos kitölti hivatali idejét, kivéve, ha az európai adatvédelmi biztos megbízatása e rendeletben meghatározott idő előtti megszűnésére vonatkozó feltételek egyike teljesül. E rendelet vonatkozó rendelkezései a helyettes biztosra hivatali ideje lejártáig alkalmazandók.

(88)

A természetes személyek személyes adatok kezelése tekintetében azonos szintű védelmének és a személyes adatok Unión belüli szabad áramlásának biztosítására vonatkozó alapvető cél eléréséhez az arányosság elvével összhangban szükséges és helyénvaló, hogy a személyes adatok uniós intézményekben és szervekben történő kezelésére vonatkozóan szabályok megállapítására kerüljön sor. E rendelet az EUSZ 5. cikkének (4) bekezdésével összhangban nem lépi túl a kitűzött célok eléréséhez szükséges mértéket.

(89)

Az európai adatvédelmi biztossal a 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban konzultációra került sor, és a biztos 2017. március 15-én véleményt nyilvánított (14),