32008F0977[1]

A Tanács 2008/977/IB kerethatározata ( 2008. november 27. ) a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről

A TANÁCS 2008/977/IB KERETHATÁROZATA

(2008. november 27.)

a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről

AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unióról szóló szerződésre és különösen annak 30. és 31. cikkére, valamint 34. cikke (2) bekezdésének b) pontjára,

tekintettel a Bizottság javaslatára,

tekintettel az Európai Parlament véleményére (1),

mivel:

(1) Az Európai Unió célul tűzte ki maga számára a szabadság, a biztonság és a jog érvényesülésén alapuló térség fenntartását és továbbfejlesztését, amelyben a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén a tagállamok által közösen végrehajtott fellépésekkel magas szintű biztonságot kell megteremteni.

(2) Az Európai Unióról szóló szerződés 30. cikke (1) bekezdésének b) pontja értelmében a rendőrségi együttműködés területén megvalósítandó közös fellépés és az Európai Unióról szóló szerződés 31. cikke (1) bekezdésének a) pontja értelmében a büntetőügyekben folytatott igazságügyi együttműködés területén megvalósítandó közös fellépés magában foglalja a megfelelő információk feldolgozásának szükségességét, amit a személyes adatok védelmére vonatkozó megfelelő rendelkezések alapján kell elvégezni.

(3) Az Európai Unióról szóló szerződés VI. címének hatálya alá tartozó jogszabályoknak hozzá kell járulniuk a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés javításához, annak hatékonysága és jogszerűsége, valamint az alapvető jogok - különösen a magánélethez és személyes adatok védelméhez való jog - tiszteletben tartása tekintetében. A bűnmegelőzés és a bűnözés elleni küzdelem céljából feldolgozott személyes adatok feldolgozására és védelmére vonatkozó közös előírások mindkét cél megvalósításához hozzájárulnak.

(4) Az Európai Tanács által 2004. november 4-én elfogadott, az Európai Unióban a szabadság, a biztonság és a jog érvényesülése megerősítéséről szóló hágai program hangsúlyozta, hogy innovatív megközelítésre van szükség a bűnüldözési információknak az adatvédelmi terület kulcsfontosságú feltételeinek szigorú betartásával végzett, határokon átnyúló cseréjéhez, és felkérte a Bizottságot, hogy legkésőbb 2005 végéig nyújtsa be az erre vonatkozó javaslatait. Erre a felkérésre válaszolt az Európai Unióban a szabadság, a biztonság és a jog érvényesülése megerősítéséről szóló hágai program végrehajtásáról szóló tanácsi és bizottsági cselekvési terv (2).

(5) A személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében, különösen az információ hozzáférhetőségének a hágai programban megállapított elve szerint végzett cseréjét olyan egyértelmű szabályoknak kell támogatniuk, amelyek erősítik az illetékes hatóságok közötti kölcsönös bizalmat, és biztosítják, hogy az érintett információk védelme kizárja a megkülönböztetést a tagállamok között folytatott ilyen együttműködés tekintetében, miközben az adatalanyok alapvető jogainak tiszteletben tartása maradéktalanul teljesül. A jelenleg hatályos európai szintű jogszabályok ehhez nem megfelelőek. A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (3) nem alkalmazandó a személyes adatoknak az olyan tevékenységek során végzett feldolgozására, amelyek kívül esnek a közösségi jog hatályán, mint az Európai Unióról szóló szerződés VI. címében megállapított tevékenységek, valamint semmilyen esetben nem vonatkozik a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, továbbá a büntetőjog területén folytatott állami tevékenységekkel kapcsolatos feldolgozási műveletekre.

(6) E kerethatározat kizárólag a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából az illetékes hatóságok által gyűjtött vagy feldolgozott adatokra alkalmazandó. E kerethatározat a tagállamokra bízza annak nemzeti szinten történő pontosabb meghatározását, hogy mely egyéb célok tekinthetők összeegyeztethetetlennek azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték. Általában a történelmi, statisztikai vagy tudományos célból történő további feldolgozás nem tekintendő összeegyeztethetetlennek a feldolgozás eredeti céljával.

(7) E kerethatározat hatálya a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok feldolgozására korlátozódik. E korlátozásból nem vonható le következtetés az Uniónak a személyes adatok tagállami szinten történő gyűjtésével és feldolgozásával kapcsolatos jogi aktusok elfogadására vonatkozó jövőben hatáskörére vagy arra vonatkozóan, hogy az Unió célszerűség esetén a jövőben ekként járjon el.

(8) Az Unión belüli adatcsere megkönnyítése érdekében a tagállamoknak biztosítani kívánják, hogy az adatvédelemnek a nemzeti adatfeldolgozásban megvalósuló szintje megfeleljen e kerethatározat rendelkezéseinek. A nemzeti adatfeldolgozás tekintetében ez a kerethatározat nem zárja ki azt, hogy a tagállamok a személyes adatok védelme vonatkozásában az e kerethatározatban megállapítottaknál szigorúbb rendelkezéseket állapítsanak meg.

(9) Ez a kerethatározat nem alkalmazandó az olyan személyes adatokra, amelyeket egy tagállam e kerethatározat hatálya alatt szerzett, és amely adatok az adott tagállamból származnak.

(10) A tagállami jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, hanem - épp ellenkezőleg - magas szintű védelmet kell biztosítania az Unión belül.

(11) Meg kell határozni a rendőrségi és igazságügyi tevékenységek keretén belüli adatvédelem célkitűzéseit, valamint a személyes adatok feldolgozásának jogszerűségére vonatkozó előírásokat annak biztosítása érdekében, hogy minden olyan információ feldolgozása, amelynek cseréjére sor kerülhet, jogszerűen és az adatminőségre vonatkozó hatályos alapelvekkel összhangban történjen. A rendőrség, a vám-, az igazságügyi és egyéb illetékes hatóságok törvényes tevékenységei ugyanakkor semmilyen módon nem akadályozhatók.

(12) Az adatok pontosságának elvét az érintett feldolgozás természetére és céljára figyelemmel kell alkalmazni. Például különösen a bírósági eljárások során az adatok az egyének szubjektív érzékelésén alapulnak, és egyes esetekben teljesen ellenőrizhetetlenek. Ebből következően a pontosság követelménye nem vonatkozhat egy kijelentés pontosságára, hanem kizárólag arra a tényre, hogy sor került egy adott nyilatkozat megtételére.

(13) A külön adatállományban való archiválás csak akkor engedélyezhető, ha az adatokra bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából már nincs szükség. A külön adatállományban való archiválás abban az esetben is engedélyezhető, ha az archivált adatokat az adatbázisban más adatokkal együtt olyan módon tárolják, hogy azok már nem használhatók fel bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából. A megfelelő archiválási időszakot az archiválás célja és az adatalanyok jogos érdekei alapján kell megállapítani. A történelmi célú archiválás esetében nagyon hosszú időtartam is megállapítható.

(14) Az adatok az adathordozó megsemmisítésével is törölhetők.

(15) A más tagállamoknak továbbított vagy azok számára hozzáférhetővé tett, valamint a kvázi igazságügyi hatóságok - amelyek jogilag kötelező határozatok meghozatalára felhatalmazott hatóságok - általi további feldolgozás tárgyává tett hibás, hiányos vagy már nem naprakész adatok helyesbítését, törlését vagy zárolását a nemzeti jognak megfelelően kell elvégezni.

(16) Az egyének személyes adatai magas szintű védelmének biztosítása érdekében a más tagállamok illetékes hatóságai által végzett adatfeldolgozás jogszerűségét és az adatok minőségét meghatározó közös rendelkezésekre van szükség.

(17) Helyénvaló európai szinten meghatározni azokat a feltételeket, amelyek alapján a tagállamok illetékes hatóságai a más tagállamoktól átvett személyes adatokat a tagállamok hatóságai és magánfelei számára továbbíthatják és hozzáférhetővé tehetik. Bűnüldözési célból vagy a közbiztonságot közvetlenül és súlyosan fenyegető esemény megelőzése, valamint annak megakadályozása céljából, hogy az egyének jogai súlyosan sérüljenek, számos esetben szükség van arra, hogy az igazságügyi hatóságok, a rendőrség vagy a vámhatóság személyes adatokat továbbítson magánfelek részére, például azáltal, hogy a bankok és hitelintézetek számára értékpapírok hamisítására vonatkozó figyelmeztetést ad ki, vagy - a járművekkel kapcsolatos bűncselekmények terén - a biztosítótársaságokkal személyes adatokat közöl a lopott gépjárművek tiltott kereskedelmének megakadályozása vagy a lopott gépjárművek külföldről való visszaszerzése feltételeinek javítása érdekében. Ez nem egyenértékű a rendőrségi vagy igazságszolgáltatási feladatok magánfelekre való átruházásával.

(18) E kerethatározatnak a személyes adatok igazságügyi hatóságok, rendőrség vagy vámhatóság általi, magánfelek részére történő továbbítására vonatkozó szabályai nem alkalmazandók az adatoknak büntetőeljárás keretében magánfelek (például védőügyvédek és áldozatok) számára való kiadására.

(19) Valamely más tagállam illetékes hatóságától átvett vagy az által hozzáférhetővé tett személyes adatok további feldolgozására, különösen az ilyen adatok továbbítására vagy hozzáférhetővé tételére vonatkozóan európai szinten közös szabályokat kell megállapítani.

(20) Amennyiben a személyes adatok további feldolgozása abban az esetben lehetséges, ha azon tagállam, amelytől az adatok származnak, ehhez hozzájárulását adta, az egyes tagállamok meghatározhatják az e hozzájárulásra vonatkozó szabályokat, így például az információkategóriákra vagy a további feldolgozás kategóriáira vonatkozó általános hozzájárulás formájában.

(21) Amennyiben a személyes adatok közigazgatási eljárások céljából tovább feldolgozhatók, az ilyen eljárások magukban foglalják a szabályozó és felügyeleti szervek által végzett tevékenységeket is.

(22) A rendőrség, a vám-, az igazságügyi és egyéb illetékes hatóságok törvényes tevékenységei szükségessé tehetik az adatoknak harmadik országok olyan hatóságai vagy olyan nemzetközi szervek részére történő átadását, amelyek feladata a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása.

(23) Amennyiben valamely tagállamból személyes adatokat továbbítanak harmadik államok vagy nemzetközi szervek részére, ezen adatoknak általában megfelelő szintű védelemben kell részesülniük.

(24) Abban az esetben, ha személyes adatokat az egyik tagállamból továbbítanak harmadik országoknak vagy nemzetközi szerveknek, az adatátadásra általában csak azután kerülhet sor, miután az a tagállam, amelyből az adatok származnak, ahhoz hozzájárult. Minden tagállamnak lehetővé kell tenni a hozzájárulásra vonatkozó szabályok meghatározását, így például az információkategóriákra vagy az egyes államokra vonatkozó általános hozzájárulás formájában.

(25) A hatékony bűnüldözési együttműködés érdeke azt kívánja, hogy abban az esetben, ha valamelyik tagállam vagy harmadik állam közbiztonságát olyan közvetlen veszély fenyegeti, amely kizárja az előzetes hozzájárulás kellő időben történő beszerzését, az illetékes hatóságnak lehetővé kell tenni, hogy a megfelelő személyes adatokat az ilyen előzetes hozzájárulás nélkül továbbíthassa az érintett harmadik államnak. Ugyanez vonatkozik arra az esetre, ha valamely tagállam ugyanolyan fontos alapvető érdekei forognak kockán, például létfontosságú infrastruktúráját fenyegeti közvetlen és komoly veszély vagy pénzügyi rendszerében okozhatnak súlyos zavarokat.

(26) Szükséges lehet, hogy az adatalany tájékoztatást kapjon adatai feldolgozásáról - különösen a titkos adatgyűjtési intézkedések eredményeként bekövetkező különösen súlyos jogsértések esetében - annak érdekében, hogy hatékony jogi védelemben részesülhessen.

(27) A tagállamoknak biztosítaniuk kell, hogy az adatalany tájékoztatást kapjon személyes adatainak bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő gyűjtéséről, feldolgozásáról vagy más tagállam részére történő továbbításáról, illetve ezek lehetőségéről. Az adatalany tájékoztatáshoz való jogára és az az alóli kivételekre vonatkozó szabályokat a nemzeti jog határozza meg. Ez történhet általános formában, például jogszabály útján, vagy a feldolgozási műveletek listájának közzétételével.

(28) A személyes adatok védelme érdekében - a bűnügyi nyomozások céljai veszélyeztetése nélkül - meg kell határozni az adatalany jogait.

(29) Néhány tagállam rendelkezett az adatalany hozzáférési jogáról büntetőügyekben egy olyan rendszeren keresztül, amelyben az adatalany helyett a nemzeti felügyeleti hatóság fér hozzá - korlátozás nélkül - az adatalannyal kapcsolatos valamennyi személyes adathoz, és a hibás adatokat helyesbítheti, törölheti vagy naprakésszé is teheti. A közvetett hozzáférés ezen esetében e tagállamok nemzeti joga rendelkezhet úgy, hogy a nemzeti felügyeleti hatóság csak arról tájékoztatja az adatalanyt, hogy a szükséges ellenőrzésekre sor került. E tagállamok ugyanakkor rendelkeznek az adatalanyok különleges esetekben történő közvetlen hozzáférési lehetőségéről; ilyen például a bűnügyi nyilvántartáshoz való hozzáférés, valamint a hatósági erkölcsi bizonyítvány vagy a saját rendőrségi kihallgatáshoz kapcsolódó dokumentumok másolatának megszerzése.

(30) Helyénvaló az adatfeldolgozás titkosságára és biztonságára, az illetékes hatóságok általi jogellenes adatfelhasználással kapcsolatos felelősségre és szankciókra, valamint az adatalany rendelkezésére álló jogorvoslatokra vonatkozó közös szabályok megállapítása. Minden tagállam maga határozza meg azonban a kártérítéssel kapcsolatos szabályainak, valamint a nemzeti adatvédelmi rendelkezések megsértése esetén alkalmazandó szankcióknak a jellegét.

(31) Ez a kerethatározat lehetővé teszi az általa megállapított elvek érvényesítése során a hivatalos dokumentumokhoz való nyilvános hozzáférés elvének figyelembevételét.

(32) Amennyiben a személyes adatok védelmére az arányai és jellege miatt az alapvető jogokra és szabadságokra nézve különös kockázatokat jelentő feldolgozás - például az új technológiák, mechanizmusok vagy eljárások felhasználásával történő feldolgozás - tekintetében van szükség, helyénvaló biztosítani, hogy az érintett adatok feldolgozását célzó nyilvántartási rendszerek létrehozása előtt az illetékes nemzeti felügyeleti hatóság véleményét ki kelljen kérni.

(33) A feladataikat teljes mértékben függetlenül ellátó felügyeleti hatóságok létrehozása a tagállamokban a tagállamok közötti rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelmének alapvető eleme.

(34) A 95/46/EK irányelv alapján a tagállamokban már létrehozott felügyeleti hatóságoknak lehetővé kell tenni, hogy az e kerethatározat értelmében létrehozandó nemzeti felügyeleti hatóságok feladatait is elláthassák.

(35) Ezen felügyeleti hatóságoknak rendelkezniük kell a feladataik ellátásához szükséges eszközökkel, beleértve a vizsgálati és beavatkozási hatásköröket - különösen az egyénektől származó panaszok esetén - vagy a bírósági eljárásokban való részvétel jogát is. Ezen felügyeleti hatóságoknak hozzá kell járulniuk az adatfeldolgozás átláthatóságának biztosításához azokban a tagállamokban, amelyek joghatósága alá tartoznak. E hatóságok hatáskörei ugyanakkor nem sérthetik a büntetőeljárásokra vagy a bírói testületek függetlenségére vonatkozó különös előírásokat.

(36) Az Európai Unióról szóló szerződés 47. cikke értelmében a Szerződés rendelkezései nem érintik az Európai Közösségeket létrehozó szerződéseket, illetve az azokat módosító vagy kiegészítő további szerződéseket és okmányokat. Ennek megfelelően ez a kerethatározat nem érinti a személyes adatoknak a közösségi jog szerinti, különösen a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelvben, a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendeletben (4), valamint az elektronikus hírközlési ágazatban a személyes adatok feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvben (5) (elektronikus hírközlési adatvédelmi irányelv) meghatározott védelmét.

(37) Ez a kerethatározat nem sérti az információs rendszerek elleni támadásokról szóló, 2005. február 24-i 2005/222/IB tanácsi kerethatározatban (6) meghatározott, az adatokhoz való jogellenes hozzáférésre vonatkozó szabályokat.

(38) Ez a kerethatározat nem érinti a tagállamokra vagy az Unióra a harmadik országokkal kötött kétoldalú és/vagy többoldalú megállapodások értelmében háruló meglévő kötelezettségeket és kötelezettségvállalásokat. A jövőbeli megállapodásoknak meg kell felelniük a harmadik államokkal folytatott adatcserére vonatkozó szabályoknak.

(39) Az Európai Unióról szóló szerződés VI. címe alapján elfogadott több jogi aktus különös rendelkezéseket tartalmaz az adott jogi aktus alapján kicserélt vagy egyéb módon feldolgozott személyes adatok védelmével kapcsolatban. Bizonyos esetekben e rendelkezések olyan teljes körű és koherens szabályozást alkotnak, amely az adatvédelem valamennyi területére (adatminőségi elvek, adatbiztonsági szabályok, az adatalanyok jogainak és biztosítékainak szabályozása, a felügyelet szervezése és a felelősség) kiterjed, és ezeket a kérdéseket e kerethatározatnál részletesebben szabályozzák. E jogi aktusok adatvédelemre vonatkozó rendelkezéseit, különösen az Europol, az Eurojust, a Schengeni Információs Rendszer (SIS) és a váminformációs rendszer (CIS) működésével kapcsolatos, valamint a tagállamok hatóságai számára a többi tagállam egyes adatrendszereihez való közvetlen hozzáférést lehetővé tevő rendelkezéseket ez a kerethatározat nem érinti. Ugyanez vonatkozik a DNS-profiloknak, a daktiloszkópiai adatoknak és a nemzeti gépjármű-nyilvántartási adatoknak a különösen a terrorizmus és a határokon átnyúló bűnözés elleni küzdelemre irányuló, határokon átnyúló együttműködés megerősítéséről szóló, 2008. június 23-i 2008/615/IB tanácsi határozat (7) alapján a tagállamok közötti automatizált továbbítására vonatkozó adatvédelmi rendelkezésekre is.

(40) Más esetekben az Európai Unióról szóló szerződés VI. címe alapján elfogadott jogi aktusokban foglalt adatvédelmi rendelkezések hatálya korlátozottabb. E rendelkezések gyakran különös feltételeket határoznak meg a más tagállamoktól személyes adatokat tartalmazó információkat átvevő tagállam számára az adatok felhasználásának lehetséges céljaira vonatkozóan, míg az adatvédelemre egyéb tekintetben az Európa Tanácsnak az egyének személyes adataik gépi feldolgozása során való védelméről szóló, 1981. január 28-i egyezményére vagy a nemzeti jogra hivatkoznak. Amennyiben e jogi aktusok rendelkezései a személyes adatoknak az átvevő tagállam általi felhasználására vagy továbbítására vonatkozóan az e kerethatározat megfelelő rendelkezéseiben foglalt feltételeknél szigorúbb feltételeket állapítanak meg, az előbbi rendelkezéseket változatlanul hatályban kell tartani. Minden egyéb tekintetben azonban az e kerethatározatban foglalt szabályok alkalmazandók.

(41) Ez a kerethatározat nem sérti az Európa Tanácsnak az egyének személyes adataik gépi feldolgozása során való védelméről szóló egyezményét, annak 2001. november 8-i kiegészítő jegyzőkönyvét, illetve az Európa Tanács büntetőügyekben folytatott igazságügyi együttműködésről szóló egyezményeit.

(42) Mivel e kerethatározat célját, nevezetesen a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelmére vonatkozó közös szabályok meghatározását a tagállamok nem tudják kielégítően megvalósítani, és így az intézkedés terjedelme és hatásai miatt az uniós szinten jobban megvalósítható, az Unió az Európai Közösséget létrehozó szerződés 5. cikkében foglalt és az Európai Unióról szóló szerződés 2. cikkében említett szubszidiaritás elvének megfelelően intézkedéseket fogadhat el. Az Európai Közösséget létrehozó szerződés 5. cikkében foglalt arányosság elvével összhangban ez a kerethatározat nem lépi túl az e célok eléréséhez szükséges mértéket.

(43) Az Egyesült Királyság az Európai Unióról szóló szerződéshez és az Európai Közösséget létrehozó szerződéshez csatolt, a schengeni vívmányoknak az Európai Unió keretébe történő beillesztéséről szóló jegyzőkönyv 5. cikkével, valamint a Nagy-Britannia és Észak-Írország Egyesült Királyságának a schengeni vívmányok egyes rendelkezéseinek alkalmazásában való részvételére vonatkozó kéréséről szóló, 2000. május 29-i 2000/365/EK tanácsi határozat (8) 8. cikke (2) bekezdésével összhangban részt vesz e kerethatározatban.

(44) Írország az Európai Unióról szóló szerződéshez és az Európai Közösséget létrehozó szerződéshez csatolt, a schengeni vívmányoknak az Európai Unió keretébe történő beillesztéséről szóló jegyzőkönyv 5. cikkével, valamint az Írországnak a schengeni vívmányok egyes rendelkezései alkalmazásában való részvételére vonatkozó kéréséről szóló, 2002. február 28-i 2002/192/EK tanácsi határozat (9) 6. cikkének (2) bekezdésével összhangban részt vesz e kerethatározatban.

(45) Izlandot és Norvégiát illetően ez a kerethatározat az Európai Unió Tanácsa, valamint az Izlandi Köztársaság és a Norvég Királyság között létrejött, e két államnak a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesztésére irányuló társulásáról szóló megállapodás (10) értelmében a schengeni vívmányok azon rendelkezéseinek továbbfejlesztését képezi, amelyek az ezen megállapodás alkalmazását szolgáló egyes szabályokról szóló 1999/437/EK tanácsi határozat (11) 1. cikkének H. és I. pontjában említett terület hatálya alá tartoznak.

(46) Svájcot illetően ez a kerethatározat az Európai Unió, az Európai Közösség és a Svájci Államszövetség között létrejött, a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesztésére irányuló társulásáról szóló megállapodás (12) értelmében a schengeni vívmányok azon rendelkezéseinek továbbfejlesztését képezi, amelyek - e megállapodásnak az Európai Unió és az Európai Közösség nevében történő aláírásáról szóló 2008/149/IB tanácsi határozat (13) 3. cikkével összefüggésben - az 1999/437/EK határozat 1. cikkének H. és I. pontjában említett terület hatálya alá tartoznak.

(47) Liechtensteint illetően ez a kerethatározat az Európai Unió, az Európai Közösség, a Svájci Államszövetség és a Liechtensteini Hercegség által aláírt, a Liechtensteini Hercegségnek a Svájci Államszövetségnek a schengeni vívmányok végrehajtására, alkalmazására és továbbfejlesztésére irányuló társulásáról szóló megállapodáshoz való csatlakozásáról szóló jegyzőkönyv értelmében a schengeni vívmányok azon rendelkezéseinek továbbfejlesztését képezi, amelyek - e jegyzőkönyvnek az Európai Unió nevében történő aláírásáról szóló 2008/262/IB tanácsi határozat (14) 3. cikkével összefüggésben - az 1999/437/EK tanácsi határozat 1. cikkének H. és I. pontjában említett terület hatálya alá tartoznak.

(48) Ez a kerethatározat tiszteletben tartja az alapvető jogokat és betartja a különösen az Európai Unió alapjogi chartája (15) által elismert elveket. Ez a kerethatározat az alapjogi charta 7. és 8. cikkében foglalt, a magánélethez és a személyes adatok védelméhez való jog teljes körű tiszteletben tartását kívánja biztosítani,

ELFOGADTA EZT A KERETHATÁROZATOT:

1. cikk

Tárgy és hatály

(1) E kerethatározat célja, hogy a személyes adatoknak az Európai Unióról szóló szerződés VI. címében meghatározott, büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében végzett feldolgozása során magas szintű védelmet nyújtson a természetes személyek alapvető jogai és szabadságai és különösen a magánélet tiszteletben tartásához való joguk tekintetében, továbbá hogy ezzel egyidejűleg magas fokú közbiztonságot garantáljon.

(2) A tagállamok e kerethatározatnak megfelelően védik a természetes személyek alapvető jogait és szabadságait és különösen a magánéletük tiszteletben tartásához való jogukat, amennyiben a személyes adatokat bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából

a) a tagállamok továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették más tagállamok számára;

b) a tagállamok továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették az Európai Unióról szóló szerződés VI. címe alapján létrehozott információs rendszerek vagy hatóságok számára; vagy

c) az Európai Unióról szóló szerződés vagy az Európai Közösséget létrehozó szerződés alapján létrehozott hatóságok vagy információs rendszerek továbbítják vagy hozzáférhetővé teszik, illetve továbbították vagy hozzáférhetővé tették a tagállamok illetékes hatóságai számára.

(3) Ez a kerethatározat a személyes adatok részben vagy teljesen automatizált módon való feldolgozására, valamint személyesadat-nyilvántartó rendszerek részét képező vagy részévé tenni kívánt személyes adatok más, nem automatizált módon való feldolgozására alkalmazandó.

(4) Ez a kerethatározat nem sérti az alapvető nemzetbiztonsági érdekeket vagy különleges nemzetbiztonsági hírszerző tevékenységet.

(5) E kerethatározat nem zárja ki azt, hogy a tagállamok a nemzeti szinten gyűjtött vagy feldolgozott személyes adatok védelme vonatkozásában az e kerethatározatban megállapítottaknál szigorúbb biztosítékokat tartalmazó rendelkezéseket állapítsanak meg.

2. cikk

Fogalommeghatározások

E kerethatározat alkalmazásában:

a) "személyes adat": az azonosított vagy azonosítható természetes személyre ("adatalanyra") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlenül vagy közvetve azonosítható, különösen egy azonosító szám vagy a személy fizikai, fiziológiai, pszichikai, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több egyedi tényező és a személy egymáshoz rendelése révén;

b) "személyes adatok feldolgozása" és "feldolgozás": a személyes adatokkal automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletsor, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, továbbítás, nyilvánosságra hozatal vagy egyéb módon való hozzáférhetővé tétel révén történő adatátadás, összehangolás vagy összekapcsolás, valamint zárolás, törlés vagy megsemmisítés;

c) "zárolás": a tárolt személyes adatok megjelölése a jövőbeni feldolgozásuk korlátozása céljából;

d) "személyesadat-nyilvántartó rendszer" és "nyilvántartó rendszer": személyes adatok strukturált - meghatározott kritériumok alapján hozzáférhető - állománya, függetlenül attól, hogy az adatállományt centralizáltan, decentralizáltan vagy funkcionális vagy földrajzi szempontok alapján csoportosítva vezetik-e;

e) "adatfeldolgozó": bármely olyan szerv, amely az adatkezelő megbízásából személyes adatokat dolgoz fel;

f) "címzett": bármely olyan szerv, amely adatokat kap;

g) "az adatalany hozzájárulása": az adatalany kívánságának önkéntes, a konkrét esetre vonatkozó és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához;

h) "illetékes hatóságok": az Európai Unióról szóló szerződés VI. címe alapján a Tanács által elfogadott jogi aktusokkal létrehozott hivatalok vagy szervek, valamint a tagállamok rendőri szervei, vám-, igazságügyi és egyéb illetékes hatóságai, amelyek a nemzeti jog alapján feldolgozhatják az ezen kerethatározat hatálya alá tartozó személyes adatokat;

i) "adatkezelő": az a természetes vagy jogi személy, közigazgatási hatóság, hivatal vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját;

j) "megjelölés": a tárolt személyes adatok megjelölése a jövőbeni feldolgozásuk korlátozásának szándéka nélkül;

k) "anonimizálás": a személyes adatok oly módon történő megváltoztatása, hogy a személyes vagy tárgyi körülmények részletei többé ne legyenek vagy csak aránytalanul sok időt, valamint költség- és munkaráfordítást igénylő módon legyenek egy azonosított vagy azonosítható természetes személyhez hozzárendelhetők.

3. cikk

A jogszerűség, az arányosság és a célhoz kötöttség elve

(1) Az illetékes hatóságok feladataik ellátása során kizárólag meghatározott, egyértelmű és törvényes célból gyűjthetnek személyes adatokat, és azokat kizárólag abból a célból dolgozhatják fel, amelyből gyűjtötték őket. Az adatfeldolgozásnak jogszerűnek, megfelelőnek, relevánsnak és az adatgyűjtés céljához képest nem túlzott mértékűnek kell lennie.

(2) Megengedett az adatok egyéb célból történő további feldolgozása, amennyiben:

a) az nem összeegyeztethetetlen az adatgyűjtés céljaival;

b) az illetékes hatóságok az alkalmazandó jogi rendelkezésekkel összhangban fel vannak hatalmazva ezen adatok ilyen egyéb célból történő feldolgozásra; és

c) a feldolgozás az egyéb cél szempontjából szükséges és arányos.

Ezenfelül az illetékes hatóságok történelmi, statisztikai vagy tudományos célokra is tovább feldolgozhatják a továbbított személyes adatokat, amennyiben a tagállamok megfelelő biztosítékokat - így az adatok anonimizálása - írnak elő.

4. cikk

Helyesbítés, törlés és zárolás

(1) A személyes adatokat helyesbíteni kell, amennyiben azok hibásak, és amennyiben ez lehetséges és szükséges, ki kell egészíteni vagy naprakésszé kell tenni őket.

(2) A személyes adatokat törölni vagy anonimizálni kell, amennyiben azok már nem szükségesek arra a célra, amelyből azokat jogszerűen gyűjtötték vagy tovább feldolgozták. E rendelkezés nem érinti az adatoknak egy külön adatállományban megfelelő időtartamra, a nemzeti joggal összhangban történő archiválását.

(3) Ha alapos indokok alapján feltételezhető, hogy a törlés sértené az adatalany jogos érdekeit, a személyes adatok nem törölhetők, hanem zárolandók. A zárolt adatokat csak arra a célra lehet feldolgozni, amely megakadályozta azok törlését.

(4) Amennyiben a személyes adatokat bírósági határozat vagy bírósági határozat kiadásához kapcsolódó nyilvántartás tartalmazza, az adatok helyesbítését, törlését vagy zárolását a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban kell elvégezni.

5. cikk

A törlési és felülvizsgálati határidők megállapítása

A személyes adatok törlésére vagy az adattárolás szükségességének rendszeres felülvizsgálatára megfelelő határidőket kell megállapítani. E határidők betartását eljárásjogi intézkedésekkel kell biztosítani.

6. cikk

Különleges adatkategóriák feldolgozása

A faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló személyes adatok, valamint az egészségi állapotra vagy a szexuális életre vonatkozó adatok feldolgozása csak abban az esetben megengedett, ha az feltétlenül szükséges, továbbá ha a nemzeti jog gondoskodik a megfelelő biztosítékokról.

7. cikk

Automatizált egyedi döntések

Az adatalanyra nézve hátrányos jogi következménnyel járó vagy őt jelentősen érintő olyan döntés, amely kizárólag az adatalany bizonyos személyes vonatkozású értékelése céljából történő automatikus adtafeldolgozáson alapul, csak abban az esetben megengedett, ha azt olyan törvény írja elő, amely az adatalany védelmét biztosító rendelkezéseket állapít meg.

8. cikk

A továbbított vagy hozzáférhetővé tett adatok minőségének ellenőrzése

(1) Az illetékes hatóságok minden ésszerű intézkedést megtesznek annak biztosítása érdekében, hogy a hibás, hiányos vagy már nem naprakész személyes adatok ne legyenek továbbíthatók vagy hozzáférhetővé tehetők. E célból az illetékes hatóságok - amennyire ez a gyakorlatban megvalósítható - a továbbítást vagy hozzáférhetővé tételt megelőzően ellenőrzik a személyes adatok minőségét. Amennyire lehetséges, valamennyi adattovábbításnál csatolni kell olyan információkat, amelyek lehetővé teszik az átvevő tagállam számára, hogy megítélje az adatok pontosságát, teljességét, naprakészségét és megbízhatóságát. Amennyiben a személyes adatokat előzetes kérés nélkül továbbították, az átvevő hatóság haladéktalanul ellenőrzi, hogy ezek az adatok a továbbítás célját tekintve szükségesek-e.

(2) Amennyiben megállapításra kerül, hogy hibás adatokat továbbítottak vagy adatokat jogellenesen továbbítottak, erről a címzettet haladéktalanul értesíteni kell. Az adatokat késedelem nélkül helyesbíteni, törölni vagy zárolni kell a 4. cikkel összhangban.

9. cikk

Határidők

(1) Az adatok továbbításakor vagy hozzáférhetővé tételekor az adattovábbító hatóság - a nemzeti joggal összhangban, valamint a 4. és 5. cikknek megfelelően - jelezheti az adatok megőrzésére alkalmazandó határidőket, amelyek lejártával a címzett köteles az adatokat törölni vagy zárolni, illetve felülvizsgálni, hogy azokra továbbra is szükség van-e. E kötelezettség nem alkalmazandó, amennyiben e határidő lejártakor az adatokra folyamatban levő nyomozás, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából van szükség.

(2) Amennyiben az adattovábbító hatóság az (1) bekezdésnek megfelelően nem jelölt meg határidőt, a 4. és 5. cikkben említett határidők vonatkozásában az adatok megőrzésére az átvevő tagállam nemzeti joga szerinti határidőket kell alkalmazni.

10. cikk

Adatnaplózás és dokumentáció

(1) A személyes adatok továbbítását minden esetben naplózni vagy dokumentálni kell az adatfeldolgozás jogszerűségének felülvizsgálata, az önellenőrzés, valamint az adatsértetlenség és adatbiztonság biztosítása céljából.

(2) Az (1) bekezdés szerinti naplókat vagy dokumentációt kérésre az illetékes adatvédelmi felügyeleti hatóság rendelkezésére kell bocsátani az adatvédelem ellenőrzése céljából. Az illetékes felügyeleti hatóság ezeket az információkat kizárólag az adatvédelem ellenőrzésére, továbbá a megfelelő adatfeldolgozás, az adatsértetlenség és az adatbiztonság biztosítására használhatja fel.

11. cikk

Más tagállamtól átvett vagy az által hozzáférhetővé tett személyes adatok feldolgozása

A valamely másik tagállam illetékes hatóságától átvett vagy az által hozzáférhetővé tett személyes adatok további feldolgozása a 3. cikk (2) bekezdésében meghatározott követelményeknek megfelelően kizárólag a következő, a továbbításuk vagy hozzáférhetővé tételük alapjául szolgáló céltól eltérő célokból lehetséges:

a) olyan bűncselekmények megelőzése, nyomozása, felderítése, illetve olyan büntetőeljárás lefolytatása vagy olyan büntetőjogi szankciók végrehajtása, amelyek nem egyeznek meg azon bűncselekményekkel vagy szankciókkal, amelyek céljából az adatokat továbbították vagy hozzáférhetővé tették;

b) egyéb, bűncselekmények megelőzéséhez, nyomozásához, felderítéséhez, büntetőeljárás lefolytatásához vagy büntetőjogi szankciók végrehajtásához közvetlenül kapcsolódó bírósági és közigazgatási eljárások;

c) a közbiztonságot közvetlenül és súlyosan fenyegető esemény megelőzése; vagy

d) bármilyen egyéb célból kizárólag az adattovábbító tagállam előzetes hozzájárulásával vagy az adatalany hozzájárulásával, aminek a megadására a nemzeti jognak megfelelően kerül sor.

Ezenfelül az illetékes hatóságok történelmi, statisztikai vagy tudományos célokra is tovább feldolgozhatják a továbbított személyes adatokat, amennyiben a tagállamok megfelelő biztosítékokat - így az adatok anonimizálása - írnak elő.

12. cikk

A feldolgozásra vonatkozó nemzeti korlátozások betartása

(1) Amennyiben az adattovábbító tagállam joga értelmében bizonyos körülmények esetén az illetékes hatóságai közötti belföldi adatcserék tekintetében különleges korlátozások vonatkoznak a feldolgozásra, az adattovábbító hatóság e korlátozásokról tájékoztatja a címzettet. A címzett biztosítja e feldolgozásra vonatkozó korlátozások betartását.

(2) Az (1) bekezdés alkalmazása során a tagállamok a más tagállamok vagy az Európai Unióról szóló szerződés VI. címe alapján létrehozott hivatalok vagy szervek részére történő adattovábbítás tekintetében nem alkalmazhatnak a hasonló belföldi adattovábbítás tekintetében alkalmazottaktól eltérő korlátozásokat.

13. cikk

Harmadik államok illetékes hatóságainak vagy nemzetközi szerveknek való adatátadás

(1) A tagállamok előírják, hogy más tagállam illetékes hatósága által továbbított vagy hozzáférhetővé tett személyes adatok csak akkor adhatók át harmadik államoknak vagy nemzetközi szerveknek, ha:

a) azokra bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából van szükség;

b) a harmadik ország átvevő hatósága vagy az átvevő nemzetközi szerv feladata bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása;

c) a tagállam, amelyből az adatok származnak, - nemzeti jogának megfelelően - hozzájárult az adatátadáshoz; és

d) az érintett harmadik állam vagy nemzetközi szerv biztosítja az általa elvégezni szándékozott adatfeldolgozás megfelelő védelmét.

(2) Az (1) bekezdés c) pontja szerinti előzetes hozzájárulás hiányában az adatátadás kizárólag abban az esetben megengedhető, ha az adatátadás elengedhetetlen egy, valamely tagállam vagy harmadik állam közbiztonságát vagy valamely tagállam alapvető érdekeit közvetlenül és súlyosan fenyegető esemény megelőzéséhez, és az előzetes hozzájárulás nem szerezhető meg kellő időben. A hozzájárulás megadására illetékes hatóságot késedelem nélkül tájékoztatni kell.

(3) Az (1) bekezdés d) pontjától eltérve, a személyes adatok átadhatók, ha

a) az adatokat átadó tagállam nemzeti joga a következőkre tekintettel lehetővé teszi azt:

i. az adatalany jogos egyéni érdekei; vagy

ii. jogos, kiemelkedő érdekek, különösen fontos közérdek; vagy

b) a harmadik állam vagy az átvevő nemzetközi szerv olyan biztosítékokat nyújt, amelyeket az érintett tagállam nemzeti joga értelmében megfelelőnek ítél.

(4) Az (1) bekezdés d) pontjában említett védelem szintjének megfelelőségét az adatátadási művelet vagy adatátadási műveletsorozat körülményeire figyelemmel kell értékelni. Különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a származási országra és az adatok rendeltetése szerinti országra vagy nemzetközi szervre, az adott harmadik országban vagy nemzetközi szervben hatályos általános és különös jogszabályok betartására, valamint az alkalmazandó szakmai szabályokra és biztonsági intézkedésekre.

14. cikk

Magánfelek részére történő adattovábbítás a tagállamokban

(1) A tagállamok előírják, hogy a más tagállam illetékes hatóságától átvett vagy az által hozzáférhetővé tett személyes adatok kizárólag akkor továbbíthatók magánfelek számára, ha:

a) azon tagállam illetékes hatósága, amelytől az adatokat átvették, - nemzeti jogának megfelelően - hozzájárult az adattovábbításhoz;

b) az adattovábbítás nem ütközik az adatalany semmilyen jogos egyéni érdekével; és

c) egyes esetekben az adatokat a magánfél számára továbbító illetékes hatóság számára fontos az alábbi célokból:

i. a jogszerűen ráruházott feladatok ellátása;

ii. bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása;

iii. a közbiztonságot közvetlenül és súlyosan fenyegető esemény megelőzése; vagy

iv. annak megakadályozása, hogy az egyének jogai súlyosan sérüljenek.

(2) Az adatokat a magánfél számára továbbító illetékes hatóság tájékoztatja a magánfelet arról, hogy az adatok kizárólag milyen célokra használhatók fel.

15. cikk

Információnyújtás az illetékes hatóság kérelmére

A címzett kérelemre tájékoztatja a személyes adatokat továbbító vagy hozzáférhetővé tevő illetékes hatóságot az adatok feldolgozásáról.

16. cikk

Az adatalany tájékoztatása

(1) A tagállamok biztosítják, hogy az adatalany a nemzeti jog rendelkezéseivel összhangban tájékoztatást kapjon személyes adatainak a tagállamok illetékes hatóságai által történő gyűjtéséről vagy feldolgozásáról.

(2) Amennyiben a tagállamok között személyes adatok továbbítására vagy hozzáférhetővé tételére kerül sor, bármely tagállam - nemzeti jogának az (1) bekezdésben említett rendelkezéseivel összhangban - kérheti a másik tagállamot, hogy az adatalanyt ne tájékoztassa. Ebben az esetben az utóbbi tagállam az előbbi tagállam előzetes hozzájárulása nélkül nem tájékoztathatja az adatalanyt.

17. cikk

Adathozzáféréshez való jog

(1) Valamennyi adatalany jogosult arra, hogy ésszerű időközönként benyújtott kérelemre, korlátozás, túlzott késedelem vagy költség nélkül megkapja az alábbiakat:

a) legalább annak az adatkezelő vagy a nemzeti felügyeleti hatóság általi megerősítését, hogy továbbítottak vagy hozzáférhetővé tettek-e rá vonatkozó adatokat, továbbá tájékoztatást azon címzettekről vagy címzettek kategóriáiról, akiknek az adatokat átadták, valamint tájékoztatás a feldolgozás alatt álló adatokról; vagy

b) legalább annak a nemzeti felügyeleti hatóság általi megerősítését, hogy valamennyi szükséges ellenőrzést elvégezték.

(2) A tagállamok jogszabályokat fogadhatnak el az adatokhoz az (1) bekezdés a) pontja szerinti hozzáférés korlátozására, amennyiben a korlátozás - kellő tekintettel az érintett személy jogos érdekeire - az alábbiak érdekében szükséges és arányos intézkedésnek tekinthető:

a) hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;

b) bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása megsértésének elkerülése;

c) a közbiztonság védelme;

d) a nemzetbiztonság védelme;

e) az adatalany vagy mások jogainak és szabadságainak védelme.

(3) A hozzáférés bármilyen megtagadását vagy korlátozását írásban kell közölni az adatalannyal. Ezzel egyidejűleg közölni kell vele a döntést alátámasztó ténybeli vagy jogi indokokat. A (2) bekezdés a)-e) pontjában foglalt valamely ok fennállása esetén ez utóbbi közléstől el lehet tekinteni. Valamennyi ilyen esetben az adatalanyt tájékoztatni kell arról, hogy jogorvoslatot kérhet az illetékes nemzeti felügyeleti hatóságtól, valamely igazságügyi hatóságtól vagy bíróságtól.

18. cikk

A helyesbítéshez, törléshez vagy zároláshoz való jog

(1) Az adatalanyt megilleti az a jog, hogy elvárja az adatkezelőtől, hogy a személyes adatok helyesbítésére, törlésére vagy zárolására vonatkozó - e kerethatározatból eredő - kötelezettségeinek a 4., 8. és 9. cikknek megfelelően eleget tegyen. A tagállamok meghatározzák, hogy az adatalany közvetlenül gyakorolhatja-e ezt a jogát az adatkezelővel szemben, vagy pedig az illetékes nemzeti felügyeleti hatóságon keresztül. Amennyiben az adatkezelő elutasítja a helyesbítést, törlést vagy zárolást, az elutasítást írásban kell közölni, az adatalanyt pedig tájékoztatni kell a nemzeti jog által a panasz benyújtására vagy a jogorvoslatra biztosított lehetőségekről. A panasz vagy a jogorvoslat vizsgálata során az adatalanyt tájékoztatni kell arról, hogy az adatkezelő megfelelően járt-e el. A tagállamok azt is előírhatják, hogy az illetékes nemzeti felügyeleti hatóság arról tájékoztassa az adatalanyt, hogy felülvizsgálatra került sor.

(2) Amennyiben az adatalany vitatja valamely személyes adat helyességét, és annak helyessége vagy pontatlansága nem állapítható meg, ezt az adatot meg lehet jelölni.

19. cikk

A kártérítéshez való jog

(1) Minden olyan személy, aki jogellenes adatfeldolgozási művelet vagy az e kerethatározat alapján elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen egyéb intézkedés eredményeképpen kárt szenvedett, kártérítésre jogosult az adatkezelő vagy a nemzeti jog szerint illetékes más hatóság részéről.

(2) Amennyiben egy tagállam illetékes hatósága személyes adatokat továbbított, a címzett a nemzeti jog szerinti, a károsulttal szembeni felelőssége tekintetében, védelme érdekében nem hivatkozhat arra, hogy a továbbított adatok hibásak voltak. Amennyiben a címzett a helytelenül továbbított adatok felhasználásából eredő kár miatt kártérítést fizet, az adattovábbító illetékes hatóság a kifizetett kártérítés összegét megtéríti a címzett részére, figyelembe véve a címzett esetlegesen felróható magatartását.

20. cikk

Jogorvoslat

Az igazságügyi hatósági eljárást megelőzően igénybe vehető közigazgatási jogorvoslati eljárások sérelme nélkül, az adatalanynak jogot kell biztosítani arra, hogy az alkalmazandó nemzeti jog szerint őt megillető jogok megsértése esetén bírósági jogorvoslatot vehessen igénybe.

21. cikk

Az adatfeldolgozás titkossága

(1) Az e kerethatározat hatálya alá tartozó személyes adatokhoz hozzáféréssel rendelkező személyek kizárólag az illetékes hatóság tagjaként vagy e hatóság utasítására dolgozhatják fel az adatokat, kivéve, ha törvényi kötelezettségnek tesznek eleget.

(2) Azon személyeknek, akik egy tagállam illetékes hatóságánál állnak alkalmazásban, ugyanazokat az adatvédelmi előírásokat kell betartaniuk, mint amelyeket az adott illetékes hatóságnak.

22. cikk

Az adatfeldolgozás biztonsága

(1) A tagállamok gondoskodnak arról, hogy az illetékes hatóságoknak megfelelő technikai és szervezési intézkedéseket alkalmazzanak a személyes adatok véletlen vagy engedély nélküli megsemmisítése, véletlen elvesztése, jogosulatlan megváltoztatása, jogosulatlan átadása vagy az ahhoz való jogosulatlan hozzáférés - különösen, ha a feldolgozás keretében az adatokat hálózaton keresztül továbbítják vagy közvetlen automatizált hozzáférés révén bocsátják rendelkezésre -, valamint az engedély nélküli feldolgozás minden egyéb formája elleni védelem biztosítása érdekében. Ennek során tekintettel kell lenni különösen a védendő adatok feldolgozásával járó kockázatokra és az adatok jellegére. Tekintettel a technika vívmányaira és alkalmazásuk költségeire, ezen intézkedéseknek olyan szintű védelmet kell nyújtaniuk, amely megfelel a védendő adatok feldolgozásával járó kockázatoknak és az adatok jellegének.

(2) Az automatikus adatfeldolgozásra vonatkozóan minden tagállam intézkedéseket hajt végre a következő célból:

a) jogosulatlan személyeknek a személyes adatok feldolgozásához használt adatfeldolgozó berendezésekhez való hozzáférése megtiltása (berendezésekhez való hozzáférés ellenőrzése);

b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c) a jogosulatlan adatbevitel, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozása (felhasználók ellenőrzése);

e) annak biztosítása, hogy az automatikus adatfeldolgozó rendszer használatára felhatalmazott személyek kizárólag a hozzáférési engedélyben meghatározott adatokhoz férjenek hozzá (az adathozzáférés ellenőrzése);

f) annak biztosítása, hogy lehetséges legyen ellenőrizni és megállapítani, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére (az adattovábbítás ellenőrzése);

g) annak biztosítása, hogy utólag lehetséges legyen ellenőrizni és megállapítani, hogy mely személyes adatokat vittek be automatikus adatfeldolgozó rendszerekbe, valamint hogy az adatokat mikor és ki vitte be (a bevitel ellenőrzése);

h) a személyes adatok átadása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, -másolás, -módosítás vagy -törlés megakadályozása (a szállítás ellenőrzése);

i) annak biztosítása, hogy a telepített rendszereket üzemzavar esetén helyre lehessen állítani (helyreállítás); valamint

j) annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízhatóság), és hogy a tárolt adatok a rendszer hibás működése esetén nem sérülnek (sértetlenség).

(3) A tagállamok előírják, hogy csak olyan adatfeldolgozó jelölhető ki, amely garantálja, hogy betartja az (1) bekezdés szerint szükséges technikai és szervezési intézkedéseket, valamint a 21. cikk szerinti utasításokat. Az illetékes hatóságnak az adatfeldolgozót e tekintetben ellenőriznie kell.

(4) Az adatfeldolgozó kizárólag valamely jogi aktus vagy írásba foglalt szerződés alapján dolgozhat fel személyes adatokat.

23. cikk

Előzetes konzultáció

A tagállamok biztosítják, hogy egy új nyilvántartó rendszer részét képező személyes adatok feldolgozásának létrehozása előtt konzultációra kerüljön sor az illetékes nemzeti felügyeleti hatóságokkal, amennyiben:

a) a 6. cikkben említett különleges adatkategóriákat kell feldolgozni; vagy

b) a feldolgozás típusa - különösen az új technológiák, mechanizmusok vagy eljárások alkalmazása - egyébként különös kockázatokat jelent az adatalany alapvető jogai és szabadságai és különösen a magánélete tekintetében.

24. cikk

Szankciók

A tagállamok elfogadják az e kerethatározat rendelkezéseinek teljes körű végrehajtását biztosító megfelelő intézkedéseket, és különösen hatékony, arányos és visszatartó erejű szankciókat állapítanak meg az e kerethatározat alapján elfogadott rendelkezések megsértése esetére.

25. cikk

Nemzeti felügyeleti hatóságok

(1) A tagállamok biztosítják, hogy a tanácsadásért, valamint az e kerethatározat alapján az általuk elfogadott rendelkezések területükön való alkalmazásának ellenőrzéséért egy vagy több hatóság legyen felelős. Ezek a hatóságok a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el.

(2) Minden hatóság különösen a következőkkel rendelkezik:

a) vizsgálati jogkör, mint például az adatfeldolgozási műveletek tárgyát képező adatokhoz való hozzáférésre vonatkozó jogosultság, továbbá a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság;

b) hatékony beavatkozási jogosultságok, mint például az adatfeldolgozási műveletek megkezdése előtti véleményezés joga és az ilyen vélemények megfelelő közzétételének biztosítása; az adatok zárolásának, törlésének vagy megsemmisítésének, az adatfeldolgozás átmeneti vagy végleges tilalmának elrendelése; az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé utalása;

c) bírósági eljárásban való részvétel joga vagy az igazságügyi hatóságok előtt eljárás kezdeményezésének jogosultsága az e kerethatározat alapján elfogadott nemzeti rendelkezések megsértése esetén. A felügyeleti hatóság kifogásolható határozatai bíróság előtt megtámadhatók.

(3) Bárki kérelemmel fordulhat a felügyeleti szervhez a személyes adatok feldolgozása vonatkozásában őt megillető jogok és szabadságok védelme érdekében. A kérelem elbírálásáról az érintett személyt értesíteni kell.

(4) A tagállamok biztosítják, hogy az adott illetékes hatóságra vonatkozó adatvédelmi rendelkezések a felügyeleti hatóság tagjaira és személyzetére is kötelezőek legyenek, valamint hogy e személyeket a számukra hozzáférhető bizalmas információk tekintetében szakmai titoktartási kötelezettség terhelje, megbízatásuk lejártát követően is.

26. cikk

A harmadik országokkal kötött megállapodásokkal való viszony

Ez a kerethatározat nem érinti a harmadik országokkal a kerethatározat elfogadásakor meglévő kétoldalú és/vagy többoldalú megállapodások értelmében a tagállamokra vagy az Unióra háruló kötelezettségeket és kötelezettségvállalásokat.

Ezen megállapodások alkalmazása során a valamely másik tagállamtól átvett személyes adatok harmadik országnak történő továbbítását a 13. cikk (1) bekezdése c) pontja vagy, adott esetben, a (2) bekezdése tiszteletben tartásával kell végrehajtani.

27. cikk

Értékelés

(1) A tagállamok 2013. november 27-ig jelentést nyújtanak be a Bizottságnak az általuk az e kerethatározatnak való teljes megfelelés érdekében hozott nemzeti intézkedésekről, különös tekintettel azokra a rendelkezésekre, amelyeknek már az adatgyűjtés során meg kell felelniük. A Bizottság megvizsgálja a rendelkezéseket különösen az e kerethatározatnak az 1. cikk (2) bekezdésében megállapított hatályának alkalmazása szempontjából.

(2) A Bizottság egy éven belül jelentést nyújt be az Európai Parlamentnek és a Tanácsnak az (1) bekezdésben említett értékelés eredményéről, és a jelentéshez mellékeli az e kerethatározatra vonatkozó megfelelő módosítási javaslatokat.

28. cikk

Az Unió korábban elfogadott jogi aktusaival fennálló viszony

Azokban az esetekben, amikor az Európai Unióról szóló szerződés VI. címe szerint, az e kerethatározat hatálybalépésének időpontját megelőzően elfogadott, a személyes adatok tagállamok közötti cseréjét vagy az Európai Közösséget létrehozó szerződés alapján létrehozott információs rendszerekhez a tagállamok kijelölt hatóságai által történő hozzáférést szabályozó valamely jogi aktus különös feltételeket vezetett be az ilyen adatoknak az átvevő tagállam általi felhasználására vonatkozóan, e feltételek elsőbbséget élveznek e kerethatározatnak a más tagállamtól kapott vagy általa hozzáférhetővé tett adatok felhasználására vonatkozó rendelkezéseivel szemben.

29. cikk

Végrehajtás

(1) A tagállamok meghozzák azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy ennek a kerethatározat rendelkezéseinek 2010. november 27. előtt megfeleljenek.

(2) Ugyaneddig az időpontig a tagállamok eljuttatják a Tanács Főtitkárságának és a Bizottságnak azon rendelkezéseknek a szövegét, amelyekkel az e kerethatározatból fakadó kötelezettségeket nemzeti jogukba átültetik, valamint a 25. cikkben említett felügyeleti hatóságokra vonatkozó információkat. Az e tájékoztatás felhasználásával készült bizottsági jelentés alapján a Tanács 2011. november 27. előtt megvizsgálja, hogy a tagállamok milyen mértékben felelnek meg e kerethatározat rendelkezéseinek.

30. cikk

Hatálybalépés

Ez a kerethatározat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Kelt Brüsszelben, 2008. november 27-én.

a Tanács részéről

az elnök

M. ALLIOT-MARIE

(1) HL C 125. E, 2008.5.22.,154. o.

(2) HL C 198., 2005.8.12., 1. o.

(3) HL L 281., 1995.11.23., 31. o.

(4) HL L 8., 2001.1.12., 1. o.

(5) HL L 201., 2002.7.31., 37. o.

(6) HL L 69., 2005.3.16., 67. o.

(7) HL L 210., 2008.8.6., 1. o.

(8) HL L 131., 2000.6.1., 43. o.

(9) HL L 64., 2002.3.7., 20. o.

(10) HL L 176., 1999.7.10., 36. o.

(11) HL L 176., 1999.7.10., 31. o.

(12) HL L 53., 2008.2.27., 52. o.

(13) HL L 53., 2008.2.27., 50. o.

(14) HL L 83., 2008.3.26., 5. o.

(15) HL C 303., 2007.12.14., 1. o.