32016L0680[1]

Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/680 IRÁNYELVE

(2016. április 27)

a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

I. FEJEZET

Általános rendelkezések

1. cikk

Tárgy és célok

A tagállamok ezen irányelvvel összhangban:

a) védik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat, és

b) biztosítják, hogy a személyes adatok illetékes hatóságok közötti, Unión belüli cseréje - ha e cserét az uniós vagy tagállami jog írja elő - ne legyen korlátozás vagy tiltás tárgya a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.

2. cikk

Hatály

Ezen irányelv nem alkalmazandó:

a) a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére;

b) a személyes adatoknak az Unió intézményei, szervei, hivatalai és ügynökségei által végzett kezelésére.

3. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

1.

"személyes adat" : azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2.

"adatkezelés" : a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, a közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, az összehangolás vagy összekapcsolás, korlátozás, a törlés, illetve a megsemmisítés;

3.

"az adatkezelés korlátozása" : a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4.

"profilalkotás" : személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

5.

"álnevesítés" : a személyes adatok olyan módon történő kezelése, amelynek következtében további információ felhasználása nélkül a továbbiakban már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azt azonosított vagy azonosítható természetes személyhez többé nem lehet kapcsolni;

6.

"nyilvántartási rendszer" : a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

7.

"illetékes hatóság" : a)

olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy b)

bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

8.

"adatkezelő" : az az illetékes hatóság, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy a kijelölésre vonatkozó különös szempontokat az uniós vagy tagállami jog is meghatározhatja;

9.

"adatfeldolgozó" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely más szerv, amely az adatkezelő nevében személyes adatokat kezel;

10.

"címzett" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely más szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Nem tekintendők azonban címzettnek azok a közhatalmi szervek, amelyek egy egyedi vizsgálat keretében a tagállami joggal összhangban kaphatnak személyes adatot, és az említett adatok e közhatalmi szervek általi kezelése során az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályokat be kell tartani;

11.

"adatvédelmi incidens" : az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

12.

"genetikai adat" : egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozóegyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;

13.

"biometrikus adat" : egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzői vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

14.

"egészségügyi adat" : egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

15.

"felügyeleti hatóság" : a tagállam által a 41. cikk alapján létrehozott független közhatalmi szerv;

16.

"nemzetközi szervezet" : a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

4. cikk

A személyes adatok kezelésére vonatkozó elvek

A tagállamok előírják, hogy a személyes adatok:

a) kezelését jogszerűen és tisztességesen kell végezni;

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;

d) pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;

f) kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:

a) az adatkezelő az uniós vagy tagállami joggal összhangban jogosult az említett személyes adatokat az említett célból kezelni, és

b) az adatkezelés az uniós vagy tagállami joggal összhangban, az említett egyéb cél szempontjából szükséges és arányos.

5. cikk

A tárolásra és a felülvizsgálatra vonatkozó határidők

A tagállamok megfelelő határidőket állapítanak meg a személyes adatok törlésére vagy tárolásuk szükségességének rendszeres felülvizsgálatára. E határidők betartását eljárásjogi intézkedésekkel kell biztosítani.

6. cikk

Az érintettek különböző kategóriái közötti különbségtétel

A tagállamok előírják az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között az alábbiak szerint:

a) olyan személyek, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni;

b) bűncselekmény elkövetéséért elítélt személyek;

c) bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozatai lehetnek, és

d) a bűncselekmény kapcsán érintett egyéb felek, például olyan személyek, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során felszólíthatók vallomástételre, bűncselekményről információval szolgálhatnak, vagy az a) és b) pontban említett személyekkel kapcsolatban vannak vagy e személyek bűntársai.

7. cikk

A személyes adatok és a személyes adatok minőségének ellenőrzése közötti különbségtétel

8. cikk

Az adatkezelés jogszerűsége

9. cikk

Különös adatkezelési feltételek

10. cikk

A személyes adatok különleges kategóriáinak kezelése

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése csak akkor megengedett, az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett, ha arra feltétlenül szükség van és:

a) az uniós vagy tagállami jog lehetővé teszi;

b) az érintett vagy más természetes személy létfontosságú érdekeinek védelmét szolgálja; vagy

c) az ilyen adatkezelés olyan adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.

11. cikk

Automatizált döntéshozatal egyedi ügyekben

III. FEJEZET

Az érintett jogai

12. cikk

Tájékoztatás és az érintett jogainak gyakorlására vonatkozó módok

A tagállamok előírják, hogy a 13. cikk alapján rendelkezésre bocsátott információkat, valamint a 11., a 14-18. és a 31. cikk alapján végzett minden tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, az adatkezelő:

a) észszerű összegű díjat számíthat fel, figyelemmel a kért információ vagy tájékoztatás nyújtásával, illetve a kért intézkedés meghozatalával járó adminisztratív költségekre; vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

13. cikk

Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk

A tagállamok előírják, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania legalább az alábbi információkat:

a) az adatkezelő személye és elérhetőségei;

b) adott esetben az adatvédelmi tisztviselő elérhetőségei;

c) a személyes adatok tervezett kezelésének célja;

d) panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.

Annak érdekében, hogy az érintett gyakorolni tudja jogait, a tagállamok jogszabályban rendelkeznek arról, hogy az adatkezelőnek meghatározott esetekben az (1) bekezdésben említetteken felül tájékoztatnia kell az érintettet:

a) az adatkezelés jogalapjáról;

b) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

c) adott esetben a személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;

d) szükség esetén további információkról, különösen akkor, ha az adatok gyűjtésére az érintett tudomása nélkül került sor.

A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintett (2) bekezdés szerinti tájékoztatásának annyiban és addig történő késleltetésére, korlátozására vagy mellőzésére, amennyiben és ameddig az említett intézkedés - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c) biztosított legyen a közbiztonság védelme;

d) biztosított legyen a nemzetbiztonság védelme;

e) biztosított legyen mások jogainak és szabadságainak védelme.

14. cikk

Az érintett hozzáférési joga

A 15. cikkre is figyelemmel a tagállamok előírják, hogy az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai és jogalapja;

b) az érintett személyes adatok kategóriái;

c) olyan címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben, a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését, vagy kezelésének korlátozását;

f) panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

g) tájékoztatás az adatkezelés tárgyát képező személyes adatokról és az azok forrására vonatkozó minden elérhető információ.

15. cikk

A hozzáférési jog korlátozása

A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintettek hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c) biztosított legyen a közbiztonság védelme;

d) biztosított legyen a nemzetbiztonság védelme;

e) biztosított legyen mások jogainak és szabadságainak védelme.

16. cikk

A személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog

Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:

a) az érintett vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen; vagy

b) a személyes adatokat bizonyítás céljából meg kell őrizni.

Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.

A tagállamok előírják, hogy az adatkezelőnek az érintettet írásban tájékoztatnia kell a helyesbítésnek, a törlésnek vagy az adatkezelés korlátozásának a megtagadásáról és a megtagadás indokairól. A tagállamok jogalkotási intézkedéseket fogadhatnak el az ilyen információkra vonatkozó tájékoztatási kötelezettség annyiban történő teljes vagy részleges korlátozására, amennyiben e korlátozás - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül ahhoz, hogy:

a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

c) biztosított legyen a közbiztonság védelme;

d) biztosított legyen a nemzetbiztonság védelme;

e) biztosított legyen mások jogainak és szabadságainak védelme.

A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

17. cikk

Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés

18. cikk

Az érintettet a bűnügyi nyomozások és büntetőeljárások során megillető jogok

A tagállamok előírhatják, hogy a 13., 14. és 16. cikkben említett jogokat a tagállami joggal összhangban kell gyakorolni, ha a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy jegyzőkönyv vagy ügyirat tartalmazza.

IV. FEJEZET

Adatkezelő és adatfeldolgozó

1. szakasz

Általános kötelezettségek

19. cikk

Az adatkezelő kötelezettségei

20. cikk

Beépített és alapértelmezett adatvédelem

21. cikk

Közös adatkezelők

22. cikk

Adatfeldolgozó

A tagállamok előírják, hogy az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan, az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződésnek vagy más jogi aktusnak különösen elő kell írnia, hogy az adatfeldolgozó:

a) kizárólag az adatkezelő utasítása alapján jár el;

b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c) minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;

d) az adatkezelési szolgáltatásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő;

e) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben foglaltak teljesítésének igazolásához szükséges;

f) teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (3) bekezdésben említett feltételeket.

23. cikk

Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

A tagállamok előírják, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

24. cikk

Az adatkezelési tevékenységek nyilvántartása

A tagállamok előírják, hogy az adatkezelőknek a felelősségükbe tartozóan végzett adatkezelési tevékenységek kategóriáiról nyilvántartást kell vezetniük. E nyilvántartás a következő információkat tartalmazza:

a) az adatkezelő neve és elérhetősége, valamint - ha van ilyen - a közös adatkezelő és az adatvédelmi tisztviselő neve és elérhetősége;

b) az adatkezelés céljai;

c) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket;

d) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

e) adott esetben a profilalkotás alkalmazásának jelzése;

f) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbításának kategóriái;

g) azon adatkezelési művelet, ideértve az adattovábbítást is, jogalapjának megjelölése, amelyre a személyes adatok vonatkoznak;

h) ha lehetséges, a személyes adatok különböző kategóriáinak törlésére előirányzott határidők;

i) ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

A tagállamok előírják, hogy minden adatfeldolgozónak nyilvántartást kell vezetnie az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, minden olyan adatkezelő neve és elérhetősége, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá - ha van ilyen - az adatvédelmi tisztviselő neve és elérhetőségei;

b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, ha erre az adatkezelő kifejezetten utasítást ad, ideértve a harmadik ország vagy a nemzetközi szervezet azonosítását is;

d) ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

Az adatkezelő és az adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja az említett nyilvántartást.

25. cikk

Naplózás

26. cikk

Együttműködés a felügyeleti hatósággal

A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó a feladataik végrehajtása során a felügyeleti hatósággal - annak megkeresése alapján - együttműködni köteles.

27. cikk

Adatvédelmi hatásvizsgálat

28. cikk

Előzetes konzultáció a felügyeleti hatósággal

A tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak konzultálnia kell a felügyeleti hatósággal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:

a) a 27. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy

b) az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.

2. szakasz

A személyes adatok biztonsága

29. cikk

Az adatkezelés biztonsága

Az automatizált adatkezelés tekintetében a tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak a kockázatok értékelését követően intézkedéseket kell tennie a következő célok érdekében:

a) a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez (berendezésekhez való hozzáférés ellenőrzése);

b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

c) a személyes adatok jogosulatlan bevitelének, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

d) az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

e) annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá (az adatokhoz való hozzáférés ellenőrzése);

f) annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

g) annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);

h) a személyes adatok továbbítása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, adatmásolás, adatmódosítás vagy adattörlés megakadályozása (szállítás ellenőrzése);

i) annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók (helyreállítás);

j) annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén nem sérülnek (integritás).

30. cikk

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

Az (1) bekezdésben említett bejelentésben legalább:

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

31. cikk

Az érintett tájékoztatása az adatvédelmi incidensről

Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintettek jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

3. szakasz

Adatvédelmi tisztviselő

32. cikk

Az adatvédelmi tisztviselő kijelölése

33. cikk

Az adatvédelmi tisztviselő jogállása

34. cikk

Az adatvédelmi tisztviselő feladatai

A tagállamok előírják, hogy az adatkezelőnek legalább az alábbi feladatokat az adatvédelmi tisztviselőre kell bíznia:

a) tájékoztatást és szakmai tanácsot ad az adatkezelő, továbbá az adatkezelést végző alkalmazottak részére az ezen irányelv szerinti, valamint egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b) ellenőrzi az ezen irányelvnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését és tudatosság-növelését, valamint a kapcsolódó auditokat is;

c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 27. cikkszerinti elvégzését;

d) együttműködik a felügyeleti hatósággal;

e) az adatkezeléssel összefüggő ügyekben - ideértve a 28. cikkben említett előzetes konzultációt is - kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

V. FEJEZET

A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása

35. cikk

A személyes adatok továbbításaira vonatkozó általános elvek

A tagállamok előírják, hogy a személyes adatoknak az illetékes hatóságok általi bármely továbbítására - ideértve egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítást is -, amelyeket harmadik országokba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, az ezen irányelv egyéb rendelkezései alapján elfogadott nemzeti rendelkezések betartása mellett, ha teljesülnek az e fejezetben rögzített feltételek, nevezetesen:

a) az adattovábbítás az 1. cikk (1) bekezdésében meghatározott célokból szükséges;

b) a személyes adatokat olyan harmadik országbeli adatkezelőhöz vagy olyan nemzetközi szervezet részére továbbítják, amely az 1. cikk (1) bekezdésében említett célok tekintetében illetékes hatóságnak minősül;

c) abban az esetben, ha a személyes adatokat egy másik tagállam továbbította vagy bocsátotta rendelkezésre, az említett tagállam a nemzeti jogával összhangban előzetesen engedélyezte az adattovábbítást;

d) a Bizottság a 36. cikk szerint megfelelőségi határozatot hozott, vagy ilyen határozat hiányában a 37. cikk szerint megfelelő garanciákat nyújtottak vagy azok adottak, vagy a 36. cikk szerinti megfelelőségi határozat hiányában vagy 37. cikk megfelelő garanciák hiányában a 38. cikk szerint meghatározott kivételes esetekben biztosított eltéréseket kell alkalmazni; és

e) abban az esetben, ha egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítás esetén az eredeti továbbítást végző illetékes hatóság vagy ugyanazon tagállam valamely más illetékes hatósága engedélyezi az adatok újbóli továbbítását, miután kellőképpen figyelembe vett minden releváns tényezőt, köztük a bűncselekmény súlyosságát, a személyes adat továbbításának eredeti célját, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy nemzetközi szervezetnél, amelynek részére a személyes adatokat újból továbbítják.

36. cikk

Adattovábbítás megfelelőségi határozat alapján

A védelmi szint megfelelőségének értékelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

a) a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, a nemzetbiztonságra vonatkozó és a büntető anyagi jogi rendelkezések, a közhatalmi szervek személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint az ilyen jogszabályok végrehajtása, az adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető - a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló - jogokkal;

b) a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság - a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e -, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között hatékony kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

c) a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő - különösen a személyes adatok védelmével kapcsolatos - kötelezettségei.

Kellően indokolt, rendkívül sürgős esetben a Bizottság azonnal alkalmazandó végrehajtási jogi aktusokat fogad el az 58. cikk (3) bekezdésében említett eljárás keretében.

37. cikk

Adattovábbítás megfelelő garanciákkal

A 36. cikk (3) bekezdése szerinti határozat hiányában a tagállamok rendelkeznek arról, hogy harmadik ország vagy nemzetközi szervezet részére személyes adatok akkor továbbíthatók, ha:

a) a személyes adatok védelmére kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak; vagy

b) az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta, és megállapította, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn.

38. cikk

Kivételes esetekben biztosított eltérések

A tagállamok előírják, hogy a 36. cikk szerinti megfelelőségi határozat vagy a 37. cikk szerinti megfelelő garanciák hiányában a személyes adatok vagy személyes adatok kategóriáinak harmadik ország vagy nemzetközi szervezet részére történő továbbítására csak azzal a feltétellel kerülhet sor, hogy az adattovábbítás szükséges:

a) az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében;

b) az érintett jogos érdekeinek biztosításához, amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik;

c) valamely tagállam vagy harmadik ország közbiztonságának fenntartását közvetlenül és komolyan fenyegető veszély elhárítása érdekében;

d) egyedi esetekben az 1. cikk (1) bekezdésében meghatározott célokból; vagy

e) valamely, az 1. cikk (1) bekezdésében meghatározott célokhoz kapcsolódó jogi igények megállapítására, érvényesítésére, illetve védelmére irányuló egyedi ügyben.

39. cikk

Személyes adatok továbbítása harmadik országbeli címzettek részére

A 35. cikk (1) bekezdésének b) pontjától eltérve és az e cikk (2) bekezdésében említett bármely nemzetközi megállapodás sérelme nélkül, az uniós vagy tagállami jog előírhatja, hogy a 3. cikk (7) bekezdésének a) pontjában említett illetékes hatóságok egyedi és kivételes esetekben továbbíthatnak személyes adatokat közvetlenül harmadik országbeli címzettek részére, de kizárólag az ezen irányelvben foglalt egyéb rendelkezések betartása és a következő feltételek együttes teljesülése esetén:

a) az adattovábbítás feltétlenül szükséges valamely olyan feladat ellátásához, amelyet az adatokat továbbító illetékes hatóság az uniós vagy tagállami jog alapján végez az 1. cikk (1) bekezdésében meghatározott célokból;

b) az adatokat továbbító illetékes hatóság megállapítja, hogy az adott ügyben, az érintettnek az adattovábbítást igénylő közérdekkel szemben nincs olyan alapvető joga és szabadsága, amely elsőbbséget élvez;

c) az adatokat továbbító illetékes hatóság úgy véli, hogy az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóság számára történő továbbítás nem hatékony vagy nem célszerű, különösen azért, mert arra nem kerülhet kellő időben sor;

d) az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóságot indokolatlan késedelem nélkül tájékoztatják, kivéve, ha ez nem hatékony vagy nem célszerű, és

e) az adatokat továbbító illetékes hatóság tájékoztatja a címzettet arról a konkrét célról vagy azokról a konkrét célokról, amelyek érdekében a személyes adatokat a címzett kezelheti, feltéve, hogy az ilyen adatkezelésre szükség van.

40. cikk

A személyes adatok védelmével kapcsolatos nemzetközi együttműködés

A Bizottság és a tagállamok a harmadik országok és nemzetközi szervezetek viszonylatában megfelelő lépéseket tesznek annak érdekében, hogy:

a) a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

b) a személyes adatok védelméről szóló jogszabályok érvényesítésében kölcsönös nemzetközi segítségnyújtást biztosítsanak, többek között értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c) az érintett érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d) előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országokkal előforduló joghatósági összeütközéseket is.

VI. FEJEZET

Független felügyeleti hatóságok

1. szakasz

Független jogállás

41. cikk

Felügyeleti hatóság

42. cikk

Függetlenség

43. cikk

A felügyeleti hatóság tagjaira vonatkozó általános feltételek

A tagállamok előírják, hogy felügyeleti hatóságaik minden tagját átlátható eljárás keretében nevezze ki az alábbiak egyike:

- parlamentjük,

- kormányuk,

- államfőjük, vagy

- a tagállami jog alapján a kinevezéssel megbízott független szerv.

44. cikk

A felügyeleti hatóság létrehozására vonatkozó szabályok

A tagállamok jogszabályban rendelkeznek valamennyi alábbi kérdésről:

a) minden egyes felügyeleti hatóság létrehozásáról;

b) az egyes felügyeleti hatóságok tagjává való kinevezéshez szükséges képesítésekről és a pályázati feltételekről;

c) az egyes felügyeleti hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályokról és eljárásokról;

d) az egyes felügyeleti hatóságok tagja vagy tagjai megbízatásának időtartamáról, amelynek legalább négy évre kell szólnia, kivéve a 2016. május 6-át követő első kinevezést, amely rövidebb időtartamra is szólhat, ha ez a felügyeleti hatóság függetlenségének megőrzése érdekében a kinevezéseket több lépcsőben kell végrehajtani;

e) arról, hogy az egyes felügyeleti hatóságok tagja vagy tagjai újra kinevezhetők-e, és ha igen, hány ciklusra;

f) az egyes felügyeleti hatóságok tagja vagy tagjai, személyzete kötelezettségeinek ellátására vonatkozó feltételekről, a hivatali idő alatt és azt követően a feladatuk ellátásával összeférhetetlen szakmai tevékenységre, foglalkozásokra és juttatásokra vonatkozó tiltó rendelkezésekről, valamint a munkavégzésre irányuló jogviszony megszűnésére vonatkozó szabályokról.

2. szakasz

Illetékesség, feladatok és hatáskörök

45. cikk

Illetékesség

46. cikk

Feladatok

Valamennyi tagállam rendelkezik arról, hogy a területén felügyeleti hatóság:

a) nyomon követi és érvényre juttatja az ezen irányelv alapján elfogadott rendelkezések és az azt végrehajtó intézkedések alkalmazását;

b) elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével kapcsolatos kockázatok, szabályok, garanciák és jogok vonatkozásában;

c) a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d) felhívja az adatkezelők és az adatfeldolgozók figyelmét az ezen irányelv szerinti kötelezettségeikre;

e) kérelemre tájékoztatást ad bármely érintettnek az ezen irányelv alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival;

f) kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által az 55. cikkel összhangban benyújtott panaszokat, és a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű időn belül tájékozatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

g) a 17. cikkel összhangban ellenőrzi az adatkezelés jogszerűségét, valamint észszerű határidőn belül tájékozatja az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

h) együttműködik más felügyeleti hatósággal, ideértve az információcserét és kölcsönös segítséget nyújt az ezen irányelv egységes alkalmazásának és érvényesítésének biztosítása érdekében;

i) vizsgálatot folytat le az ezen irányelv alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

j) figyelemmel kíséri személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák fejlődését;

k) tanácsot ad a 28. cikkben említett adatkezelési műveletekkel kapcsolatban; és

l) hozzájárul a Testület tevékenységeihez.

47. cikk

Hatáskörök

Valamennyi tagállam jogszabályban írja elő, hogy minden felügyeleti hatóság olyan tényleges korrekciós hatáskörökkel rendelkezik, mint például:

a) az adatkezelő vagy az adatfeldolgozó figyelmeztetése azzal kapcsolatban, hogy a tervezett adatkezelési tevékenységei valószínűleg sértik az ezen irányelv alapján elfogadott rendelkezéseket;

b) az adatkezelő vagy az adatfeldolgozó utasítása arra, hogy adatkezelési műveleteit - adott esetben meghatározott módon és meghatározott időn belül - hozza összhangba ezzel az irányelv alapján elfogadott rendelkezésekkel, különösen a 16. cikkben foglaltaknak megfelelően a személyes adat helyesbítésének vagy törlésének, vagy az adatkezelés korlátozásának elrendelésével;

c) az adatkezelés átmeneti vagy végleges korlátozásának, többek között tilalmának elrendelése.

48. cikk

A jogsértések bejelentése

A tagállamok előírják, hogy az illetékes hatóságok hatékony mechanizmusokat dolgoznak ki annak érdekében, hogy az ezen irányelv megsértésére vonatkozó bizalmas jellegű bejelentések megtételét ösztönözzék.

49. cikk

Tevékenységi jelentések

Minden felügyeleti hatóság éves jelentést készít tevékenységéről, amely tartalmazhatja a bejelentett jogsértések típusainak és a kiszabott szankciók típusainak a jegyzékét is. A jelentéseket a nemzeti parlamentnek, a kormánynak és a tagállami jogban megjelölt más hatóságoknak kell benyújtani. A jelentéseket a nyilvánosság, a Bizottság és a Testület számára elérhetővé kell tenni.

VII. FEJEZET

Együttműködés

50. cikk

Kölcsönös segítségnyújtás

A felügyeleti hatóság csak abban az esetben tagadhatja meg a hozzá érkezett segítségnyújtás teljesítését, ha:

a) a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

b) a megkeresés teljesítése sértené ezen irányelvet, az uniós jogot vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti hatóság tartozik.

51. cikk

A Testület feladatai

Az (EU) 2016/679 rendelettel létrehozott Testület ("a Testület") az ezen irányelv hatálya alá tartozó adatkezeléssel kapcsolatban az alábbi feladatokat látja el:

a) tanácsot ad a Bizottságnak a személyes adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az ezen irányelv módosítására irányuló javaslatokat is;

b) saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az ezen irányelv alkalmazását érintő kérdéseket, valamint ezen irányelv egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

c) iránymutatásokat dolgoz ki a felügyeleti hatóságok számára a 47. cikk (1) és (3) bekezdése szerinti intézkedések alkalmazására;

d) ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatvédelmi incidensek és a 30. cikk (1) és (2) bekezdésében említett indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelő vagy az adatfeldolgozó köteles bejelenteni az adatvédelmi incidenst;

e) ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 31. cikk (1) bekezdésében említettek szerint;

f) felülvizsgálja az iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

g) véleményt bocsát ki a Bizottság számára annak értékeléséhez, hogy egy adott harmadik ország, egy harmadik ország valamely területe vagy egy vagy több meghatározott ágazata vagy egy adott nemzetközi szervezet megfelelő szintű védelmet biztosít-e, ezen belül annak megállapításához, hogy a harmadik ország vagy a harmadik ország valamely területe, meghatározott ágazata vagy a nemzetközi szervezet már nem nyújt megfelelő szintű védelmet;

h) előmozdítja az együttműködést, valamint az információk és a legjobb gyakorlatok hatékony két- és többoldalú cseréjét a felügyeleti hatóságok között;

i) támogatja a közös képzési programokat, továbbá megkönnyíti a személyzeti csereprogramokat a felügyeleti hatóságok között, valamint adott esetben a harmadik országok felügyeleti hatóságaival vagy a nemzetközi szervezetekkel;

j) az adatvédelmi felügyeleti hatóságok körében világszerte előmozdítja az adatvédelmi jogra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét.

Az első albekezdés g) pontja tekintetében a Bizottság a Testület számára az összes szükséges dokumentációt rendelkezésre bocsátja, köztük a harmadik ország kormányával, a harmadik ország területével vagy meghatározott ágazatával, illetve a nemzetközi szervezettel folytatott levélváltást.

VIII. FEJEZET

Jogorvoslat, felelősség és szankciók

52. cikk

A felügyeleti hatóságnál történő panasztételhez való jog

53. cikk

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

54. cikk

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok - köztük a felügyeleti hatóságnál történő panasztételhez való, 52. cikk szerinti jog - sérelme nélkül, a tagállamok előírják, hogy az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint, a személyes adatainak az ezen irányelv alapján elfogadott rendelkezésekkel ellentétes kezelése következtében megsértették az e rendelkezések szerinti jogait.

55. cikk

Az érintettek képviselete

A tagállamok a tagállami eljárási joggal összhangban rendelkeznek arról, hogy az érintett jogosult arra, hogy panaszának nevében történő benyújtásával, és az 52., 53. és 54. cikkben említett jogoknak a nevében történő gyakorlásával olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

56. cikk

A kártérítéshez való jog

A tagállamok előírják, hogy minden olyan személy, aki jogszerűtlen adatkezelési művelet vagy az ezen irányelv alapján elfogadott nemzeti rendelkezéseket sértő egyéb intézkedés eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy a tagállami jog szerint illetékes bármely más hatóságtól kártérítésre jogosult.

57. cikk

Szankciók

A tagállamok megállapítják az ezen irányelv alapján elfogadott rendelkezések megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

IX. FEJEZET

Végrehajtási jogi aktusok

58. cikk

A bizottsági eljárás

X. FEJEZET

Záró rendelkezések

59. cikk

A 2008/977/IB kerethatározat hatályon kívül helyezése

60. cikk

Hatályban lévő uniós jogi aktusok

Változatlanul hatályban maradnak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén 2016. május 6-án vagy azt megelőzően hatályba lépett, a személyes adatok védelmére vonatkozó uniós jogi aktusok olyan különös rendelkezései, amelyek a tagállamok közötti adatkezelést és a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozzák.

61. cikk

Kapcsolat a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén korábban megkötött nemzetközi megállapodásokkal

A tagállamok által a 2016. május 6. előtt kötött olyan nemzetközi megállapodások, amelyek keretében harmadik országok vagy nemzetközi szervezetek részére személyes adatok továbbítására kerül sor, és amelyek megfelelnek az említett időpontot megelőzően alkalmazandó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig változatlanul hatályban maradnak.

62. cikk

A Bizottság jelentései

63. cikk

Átültetés

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

64. cikk

Hatálybalépés

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

65. cikk

Címzettek

Ennek az irányelvnek a tagállamok a címzettjei.