32018R1725[1]
Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2018/1725 RENDELETE
(2018. október 23.)
a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről
(EGT-vonatkozású szöveg)
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy és célkitűzések
(1) Ez a rendelet a személyes adatok uniós intézmények és szervek által történő kezelése tekintetében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó szabályokat, valamint a személyes adatok ezen intézmények és szervek közötti, vagy az Unión belül letelepedett más címzettekhez irányuló szabad áramlására vonatkozó szabályokat állapít meg.
(2) Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
(3) Az európai adatvédelmi biztos figyelemmel kíséri e rendelet rendelkezéseinek valamely uniós intézmény vagy szerv által végzett valamennyi adatkezelési műveletre történő alkalmazását.
2. cikk
Hatály
(1) E rendeletet kell alkalmazni a személyes adatok valamennyi uniós intézmény és szerv általi kezelésére.
(2) A műveleti vonatkozású személyes adatoknak az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő, uniós szervek, hivatalok és ügynökségek általi kezelésére csak e rendelet 3. cikkét és IX. fejezetét kell alkalmazni.
(3) Az (EU) 2016/794 európai parlamenti és tanácsi rendeletnek ( 1 ) és az (EU) 2017/1939 tanácsi rendeletnek ( 2 ) az e rendelet 98. cikkével összhangban történő kiigazításáig ez a rendelet nem alkalmazandó a műveleti vonatkozású személyes adatoknak az Europol és az Európai Ügyészség általi kezelésére.
(4) Ez a rendelet nem alkalmazandó a személyes adatoknak az EUSZ 42. cikkének (1) bekezdésében, valamint a 43. és a 44. cikkében említett missziók általi kezelésére.
(5) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni.
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. "személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. "műveleti vonatkozású személyes adat": az uniós szervek, hivatalok vagy ügynökségek által, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységeik során, az e szerveket, hivatalokat vagy ügynökségeket létrehozó jogi aktusokban meghatározott célok és feladatok teljesítése érdekében kezelt minden személyes adat;
3. "adatkezelés": a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
4. "az adatkezelés korlátozása": a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
5. "profilalkotás": személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen az adott természetes személy munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz, érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
6. "álnevesítés": a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
7. "nyilvántartási rendszer": a személyes adatok bármely módon - centralizált, decentralizált, illetve funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
8. "adatkezelő": az az uniós intézmény vagy szerv vagy főigazgatóság vagy bármely más szervezeti egység, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit egy konkrét uniós jogi aktus határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog is meghatározhatja;
9. "uniós intézményektől és szervektől eltérő adatkezelők": az (EU) 2016/679 rendelet 4. cikkének 7. pontja szerinti adatkezelők, valamint az (EU) 2016/680 irányelv 3. cikkének 8. pontja szerinti adatkezelők;
10. "uniós intézmények és szervek": az EUSZ, az EUMSZ vagy az Euratom-Szerződés által vagy azok alapján létrehozott uniós intézmények, szervek, hivatalok és ügynökségek;
11. "illetékes hatóság": bármely olyan tagállami közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését, a vádeljárás lefolytatását vagy büntetőjogi szankciók végrehajtását illetően eljárni jogosult, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is;
12. "adatfeldolgozó": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
13. "címzett": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Nem tekintendők azonban címzetteknek azok a közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban kaphatnak személyes adatot, és az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
14. "harmadik fél": az érintettől, az adatkezelőtől, az adatfeldolgozótól és az olyan személyektől eltérő természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy szerv, aki vagy amely az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kapott;
15. "hozzájárulás": az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
16. "adatvédelmi incidens": a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
17. "genetikai adat": egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott természetes személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
18. "biometrikus adat": egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti az adott természetes személy egyedi azonosítását, így például az arckép vagy a daktiloszkópiai adat;
19. "egészségügyi adat": egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
20. "információs társadalommal összefüggő szolgáltatás": az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontjában meghatározott szolgáltatás ( 3 );
21. "nemzetközi szervezet": a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre;
22. "nemzeti felügyeleti hatóság": egy tagállam által az (EU) 2016/679 rendelet 51. cikke vagy az (EU) 2016/680 irányelv 41. cikke értelmében létrehozott független közhatalmi szerv;
23. "felhasználó": olyan természetes személy, aki valamely uniós intézmény vagy szerv ellenőrzése mellett üzemeltetett hálózati vagy végberendezést használ;
24. "nyilvántartás": valamely uniós intézményen vagy szerven belül rendelkezésre álló, illetve uniós intézmények és szervek által közösen használt, nyomtatott vagy elektronikus formában létező, nyilvánosan hozzáférhető felhasználó-nyilvántartás vagy belső felhasználó-nyilvántartás;
25. "elektronikus hírközlési hálózat": olyan átviteli rendszer - függetlenül attól, hogy állandó infrastruktúrán vagy központosított adminisztrációs kapacitáson alapul-e vagy sem - és adott esetben kapcsoló vagy útválasztó eszközök, valamint egyéb erőforrások - ideértve a nem aktív hálózati elemeket is -, amelyek lehetővé teszik a vezetéken, rádióhullámon, optikai vagy egyéb elektromágneses úton történő jelátvitelt, beleértve a műholdas hálózatokat, a helyhez kötött (vonal- és csomagkapcsolt, beleértve az internetet) és mobil földi hálózatokat, az elektromos vezetékrendszereket annyiban, amennyiben azokat jelek továbbítására használják, a rádió- és televízióműsor-terjesztő hálózatokat, valamint a kábeltelevízió-hálózatokat, a továbbított információtípusra tekintet nélkül;
26. "végberendezések": a 2008/63/EK bizottsági irányelv ( 4 ) 1. cikkének 1. pontjában meghatározott végberendezések.
II. FEJEZET
ÁLTALÁNOS ALAPELVEK
4. cikk
A személyes adatok kezelésére vonatkozó elvek
(1) A személyes adatok:
a) kezelését jogszerűen, tisztességesen és az érintett számára átlátható módon kell végezni ("jogszerűség, tisztességes eljárás és átláthatóság");
b) gyűjtése meghatározott, egyértelmű és jogszerű célból kell, hogy történjen, és azok további kezelésére nem kerülhet sor ezekkel a célokkal össze nem egyeztethető módon; a 13. cikknek megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés ("célhoz kötöttség");
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk ("adattakarékosság");
d) pontosak és szükség esetén naprakészek kell, hogy legyenek; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljaira figyelemmel pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék ("pontosság");
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljából szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak annyiban kerülhet sor, amennyiben a személyes adatok kezelésére a 13. cikknek megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintett jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel ("korlátozott tárolhatóság");
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg").
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására ("elszámoltathatóság").
5. cikk
Az adatkezelés jogszerűsége
(1) A személyes adatok kezelése csak akkor és annyiban jogszerű, amennyiben legalább a következők egyike teljesül:
a) az adatkezelés közérdekből vagy az uniós intézményre vagy szervre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges;
b) az adatkezelés az adatkezelőre vonatkozó valamely jogi kötelezettségnek való megfeleléshez szükséges;
c) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
d) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
e) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
(2) Az a) és b) pontban említett adatkezelés alapját az uniós jog állapítja meg.
6. cikk
Más összeegyeztethető célból történő adatkezelés
Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 25. cikk (1) bekezdésében említett célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatra;
c) a személyes adatok jellegét, különösen pedig azt, hogy a 10. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 11. cikk szerinti kezeléséről van-e szó;
d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
7. cikk
A hozzájárulás feltételei
(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett hozzájárult a személyes adatainak kezeléséhez.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.
(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt, hogy a szerződés teljesítésének - beleértve a szolgáltatások nyújtását is - feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek az említett szerződés teljesítéséhez.
8. cikk
A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában
(1) Ha az 5. cikk (1) bekezdésének d) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 13. életévét betöltötte. A 13. életévét be nem töltött gyermek esetében a személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
(2) Az adatkezelő - figyelembe véve az elérhető technológiát - észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója megadta, illetve engedélyezte.
(3) Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermekkel kapcsolatban kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.
9. cikk
Személyes adatok továbbítása az Unióban letelepedett, az uniós intézményektől és szervektől eltérő címzetteknek
(1) A 4., az 5., a 6. és a 10. cikk sérelme nélkül, a személyes adatok csak akkor továbbíthatók az Unióban letelepedett, az uniós intézményektől és szervektől eltérő címzettek számára, ha:
a) a címzett igazolja, hogy az adatok közérdekből vagy a címzettre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükségesek; vagy
b) a címzett igazolja, hogy az adatok továbbítása meghatározott közérdekű célból szükséges, és az adatkezelő - ha van bármely ok feltételezni, hogy az érintett jogos érdekei sérelmet szenvedhetnek - igazolja, hogy a személyes adat e meghatározott célból történő továbbítása arányos, miután bizonyíthatóan mérlegelte a különböző, egymással versengő érdekeket.
(2) Amennyiben az adatkezelő kezdeményezi az e cikk szerinti továbbítást, bizonyítania kell, hogy a személyes adatok továbbítása az (1) bekezdés a) vagy b) pontjában meghatározott feltételek alkalmazásával a továbbítás céljához szükséges és azzal arányos.
(3) Az uniós intézmények és szervek az uniós joggal összhangban összeegyeztetik a személyes adatok védelméhez való jogot a dokumentumokhoz való nyilvános hozzáférés jogával.
10. cikk
A személyes adatok különleges kategóriáinak kezelése
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a következők valamelyike teljesül:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós jog ezt megengedi;
c) az adatkezelés az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely uniós intézménybe vagy szervbe integrált nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében és valamely politikai, világnézeti, vallási vagy szakszervezeti célból történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv tagjaira vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy az adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívül;
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges, vagy amikor a Bíróság igazságszolgáltatási feladatkörében jár el;
g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és az adatkezelés olyan uniós jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a szakmai titoktartásra vonatkozóan; vagy
j) az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
(3) Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, vagy ezen adatok kezelése olyan más személy által történik, aki szintén az uniós vagy tagállami jogban meghatározott, vagy az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.
11. cikk
A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése
A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, valamint a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak az 5. cikk (1) bekezdése alapján történő kezelésére csak abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintettek jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós jog megengedi.
12. cikk
Azonosítást nem igénylő adatkezelés
(1) Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.
(2) Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 17-22. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.
13. cikk
A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák
A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, amelyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, az említett célokat ilyen módon kell megvalósítani.
III. FEJEZET
AZ ÉRINTETT JOGAI
1. SZAKASZ
átláthatóság és intézkedések
14. cikk
Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések
(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 15. és a 16. cikkben említett valamennyi információt és a 17-24. és a 35. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon - ideértve adott esetben az elektronikus utat is - kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
(2) Az adatkezelő elősegíti az érintett 17-24. cikk szerinti jogainak a gyakorlását. A 12. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 17-24. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 17-24. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, és élhet bírósági jogorvoslati jogával.
(5) A 15. és a 16. cikk szerint rendelkezésre bocsátott információkat és a 17-24. és a 35. cikk szerinti tájékoztatást és aszerint tett bármely intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, az adatkezelő megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) A 12. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 17-23. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
(7) Az érintett részére a 15. és a 16. cikk értelmében nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatóknak kell lenniük.
(8) Amennyiben a Bizottság az (EU) 2016/679 rendelet 12. cikkének (8) bekezdése értelmében felhatalmazáson alapuló jogi aktusokat fogad el az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározásáról, az uniós intézmények és szervek adott esetben az e rendelet 15. és 16. cikke szerinti információkat az ilyen szabványosított ikonokkal együtt adják meg.
2. SZAKASZ
tájékoztatás és a személyes adatokhoz való hozzáférés
15. cikk
Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelő kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
e) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 48. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintett rendelkezésére bocsátja a következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, vagy adott esetben azon joga, hogy tiltakozhat az adatkezelés ellen vagy az adathordozhatósághoz való joga;
c) az 5. cikk (1) bekezdésének d) pontján vagy a 10. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) az európai adatvédelmi biztoshoz címzett panasz benyújtásához való jog;
e) az a tény, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul-e vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
f) a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.
(3) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(4) Az (1), a (2) és a (3) bekezdés nem alkalmazandó, ha és amennyiben az érintett már rendelkezik az információkkal.
16. cikk
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelő kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országbeli címzett vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, a 48. cikkben említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, vagy adott esetben azon joga, hogy tiltakozhat az adatkezelés ellen vagy az adathordozhatósághoz való joga;
c) az 5. cikk (1) bekezdésének d) pontján vagy a 10. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;
e) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
f) a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és az arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Az adatkezelő az (1) és a (2) bekezdésben említett információkat a következők szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
(4) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(5) Az (1)-(4) bekezdés nem alkalmazandó, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;
c) az adat megszerzését vagy közlését kifejezetten előírja az uniós jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
(6) Az (5) bekezdés b) pontjában említett esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia - az információk nyilvánosan elérhetővé tételét is ideértve - az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
17. cikk
Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a 24. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 48. cikk szerinti megfelelő garanciákról.
(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
3. SZAKASZ
helyesbítés és törlés
18. cikk
A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.
19. cikk
A törléshez való jog ("az elfeledtetéshez való jog")
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha a következő indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a 23. cikk (1) bekezdése értelmében tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket - ideértve a technikai intézkedéseket is - annak érdekében, hogy tájékoztassa a személyes adatokat kezelő adatkezelőket, illetve az uniós intézményektől és szervektől eltérő, személyes adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük e személyes adatokra mutató linkeknek vagy e személyes adatok másolatának, illetve másodpéldányának a törlését.
(3) Az (1) és a (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre alkalmazandó valamely jogi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítése céljából;
c) a 10. cikk (2) bekezdése h) és i) pontjának, valamint a 10. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
20. cikk
Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha a következők valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát, ideértve a teljességüket;
b) az adatkezelés jogellenes, és az érintett ellenzi a személyes adatok törlését, és ehelyett kéri felhasználásuk korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényt tart azokra jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
d) az érintett a 23. cikk (1) bekezdése értelmében tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelő az adatkezelés korlátozásának feloldását megelőzően tájékoztatja azon érintettet, akinek a kérésére az (1) bekezdés értelmében korlátozták az adatkezelést.
(4) Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel biztosítják. A személyes adatok korlátozásának tényét a rendszerben olyan módon kell feltüntetni, amelyből egyértelmű, hogy a személyes adatok nem használhatók fel.
21. cikk
A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat a 18. cikk, a 19. cikk (1) bekezdése, illetve a 20. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
22. cikk
Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés az 5. cikk (1) bekezdésének d) pontja vagy a 10. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy az 5. cikk (1) bekezdésének c) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy - ha ez technikailag megvalósítható - a személyes adatok közvetlenül továbbításra kerüljenek egyik adatkezelőtől a másikhoz, illetve az uniós intézményektől és szervektől eltérő adatkezelőkhöz.
(3) Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 19. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat teljesítéséhez szükséges.
(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.
4. SZAKASZ
tiltakozáshoz való jog és egyedi ügyekben való automatizált döntéshozatal
23. cikk
A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az 5. cikk (1) bekezdésének a) pontján alapuló kezelése ellen, ideértve az említett rendelkezésen alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Az (1) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
(3) A 36. és a 37. cikk sérelme nélkül az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(4) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekből végzett feladat teljesítése érdekében van szükség.
24. cikk
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen - ideértve a profilalkotást is - alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát olyan uniós jog engedi meg, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
(4) Az e cikk (2) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 10. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 10. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és sor került a megfelelő intézkedések megtételére az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
5. SZAKASZ
korlátozások
25. cikk
Korlátozások
(1) A Szerződések alapján elfogadott jogi aktusok, vagy az uniós intézmények vagy szervek működéséhez kapcsolódó ügyekben e szervek által megállapított belső szabályok korlátozhatják a 14-22., a 35. és a 36. cikk alkalmazását, továbbá - a 14-22. cikkben meghatározott jogokat és kötelezettségeket illető rendelkezései tekintetében - a 4. cikk alkalmazását, ha az ilyen korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, és egy demokratikus társadalomban a következők védelméhez szükséges és arányos intézkedésnek tekinthető:
a) a tagállamok nemzetbiztonsága, közbiztonsága vagy honvédelme;
b) bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
c) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
d) az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is;
e) a bírói függetlenség és a bírósági eljárások védelme;
f) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
g) az a), b) és c) pontban említett esetekben - akár alkalmanként - a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
h) az érintett védelme vagy mások jogainak és szabadságainak védelme;
i) polgári jogi követelések érvényesítése.
(2) Az (1) bekezdésben említett jogi aktusok, illetve belső szabályok adott esetben részletes rendelkezéseket tartalmaznak a következőkről:
a) az adatkezelés céljai vagy az adatkezelés kategóriái;
b) a személyes adatok kategóriái;
c) a bevezetett korlátozások hatálya;
d) a visszaélés, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozását célzó garanciák;
e) az adatkezelő meghatározása vagy az adatkezelők kategóriáinak meghatározása;
f) az adattárolás időtartama, valamint az alkalmazandó garanciák, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait; és
g) az érintettek jogait és szabadságait érintő kockázatok.
(3) Ha a személyes adatok kezelése tudományos és történelmi kutatási célból vagy statisztikai célból történik, az uniós jog - amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is - a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.
(4) Ha a személyes adatok kezelése közérdekű archiválás céljából történik, az uniós jog - amely magában foglalhat az uniós intézmények és szervek által a működésükkel összefüggő kérdésekről elfogadott belső szabályokat is- a 13. cikkben említett feltételekre és garanciákra is figyelemmel eltérést állapíthat meg a 17., a 18., a 20., a 21., a 22. és a 23. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják a konkrét célok elérését, és azok megvalósításához szükség van ilyen eltérésre.
(5) Az (1), a (3) és a (4) bekezdésben említett belső szabályoknak világosan és pontosan megfogalmazott, általánosan alkalmazandó, az érintettekre nézve joghatás keletkezését célzó aktusoknak kell lenniük, amelyeket az uniós intézmények és szervek legfelső vezetőségének szintjén kell elfogadni, és azokat az Európai Unió Hivatalos Lapjában közzé kell tenni.
(6) Ha az (1) bekezdés értelmében korlátozásra kerül sor, az érintettet tájékoztatni kell - az uniós joggal összhangban - a korlátozás alkalmazásának fő okairól, és arról, hogy joga van panasszal fordulni az európai adatvédelmi biztoshoz.
(7) Ha az (1) bekezdés értelmében bevezetett korlátozás alapján megtagadják az érintettől a hozzáférést, az európai adatvédelmi biztos - a panasz kivizsgálásakor - a jogosultat csak arról tájékoztatja, hogy az adatot szabályszerűen kezelték-e, és ha nem, akkor megtörtént-e a szükséges korrekció.
(8) Az e cikk (6) és (7) bekezdésében, valamint a 45. cikk (2) bekezdésében említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az e cikk (1) bekezdése értelmében elrendelt korlátozás hatását.
IV. FEJEZET
AZ ADATKEZELŐ ÉS AZ ADATFELDOLGOZÓ
1. SZAKASZ
általános kötelezettségek
26. cikk
Az adatkezelő feladatai
(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogait és szabadságait érintő változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket felül kell vizsgálni és szükség esetén naprakésszé kell tenni.
(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat alkalmaz.
(3) Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.
27. cikk
Beépített és alapértelmezett adatvédelem
(1) Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket - például álnevesítést - hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan személyes adatok kezelésére kerüljön sor, amelyek az egyes konkrét adatkezelési célok szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint az egyén beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.
(3) Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmus felhasználható az e cikk (1) és (2) bekezdésében előírt követelményeknek való megfelelés bizonyításának részeként.
28. cikk
Közös adatkezelők
(1) Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézménytől és szervtől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 15. és a 16. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.
29. cikk
Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó - szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat csak az adatkezelő írásbeli utasításai alapján kezeli - beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is -, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak;
c) meghozza a 33. cikk értelmében előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és a (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a 33-41. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy más tagállami vagy uniós adatvédelmi rendelkezéseket.
(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján e további adatfeldolgozó számára ugyanazokat az adatvédelmi kötelezettségeket kell előírni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak elégséges garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha e további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(5) Amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 40. cikkének (5) bekezdésében említett jóváhagyott magatartási kódexekhez vagy az (EU) 2016/679 rendelet 42. cikkében említett jóváhagyott tanúsítási mechanizmushoz való csatlakozása felhasználható annak bizonyítása részeként, hogy biztosítja az e cikk (1) és a (4) bekezdésében említett elégséges garanciákat.
(6) Az adatkezelő és az adatfeldolgozó közötti bármely egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek az (EU) 2016/679 rendelet 42. cikke értelmében az uniós intézményektől és szervektől eltérő adatfeldolgozónak megadott tanúsítvány részét képezik.
(7) A Bizottság - a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében - általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.
(8) Az európai adatvédelmi biztos általános szerződési feltételeket fogadhat el a (3) és a (4) bekezdésben foglaltakra vonatkozóan.
(9) A (3) és a (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.
(10) A 65. és a 66. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
30. cikk
Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat csak az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jogi aktus kötelezi.
31. cikk
Az adatkezelési tevékenységek nyilvántartása
(1) Minden adatkezelő nyilvántartást vezet a felelősségébe tartozóan végzett adatkezelési tevékenységekről. E nyilvántartás tartalmazza az összes következő információt:
a) az adatkezelő, az adatvédelmi tisztviselő, valamint - ha van ilyen - az adatfeldolgozó és a közös adatkezelő neve és elérhetősége;
b) az adatkezelés céljai;
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d) azon címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a más tagállambeli és harmadik országbeli címzetteket, valamint a nemzetközi szervezeteket is;
e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciákra vonatkozó dokumentáció;
f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g) ha lehetséges, a 33. cikkben említett technikai és szervezési biztonsági intézkedések általános leírása.
(2) Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról, amely nyilvántartás tartalmazza a következő információkat:
a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, valamint minden egyéb olyan adatkezelő neve és elérhetőségei, akinek vagy amelynek a nevében az adatfeldolgozó eljár, továbbá az adatvédelmi tisztviselő neve és elérhetőségei;
b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciákra vonatkozó dokumentáció;
d) ha lehetséges, a 33. cikkben említett technikai és szervezési biztonsági intézkedések általános leírása.
(3) Az (1) és a (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.
(4) Az uniós intézmények és szervek a nyilvántartást megkeresés esetén az európai adatvédelmi biztos rendelkezésére bocsátják.
(5) Kivéve, ha ez az uniós intézmény vagy szerv méretére tekintettel nem helyénvaló, az uniós intézmények és szervek adatkezelési tevékenységeikről központi nyilvántartást vezetnek. A nyilvántartást nyilvánosan hozzáférhetővé teszik.
32. cikk
Együttműködés az európai adatvédelmi biztossal
Az uniós intézmények és szervek megkeresésre együttműködnek az európai adatvédelmi biztossal a feladatai ellátása során.
2. SZAKASZ
a személyes adatok biztonsága
33. cikk
Az adatkezelés biztonsága
(1) Az adatkezelő és az adatfeldolgozó a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy biztosítsa a kockázat mértékének megfelelő szintű adatbiztonságot, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását;
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítását;
c) fizikai vagy műszaki incidens esetén a személyes adatok rendelkezésre állása és a hozzájuk való hozzáférés kellő időben való helyreállításának a képességét;
d) az adatkezelés biztonságának biztosítására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
(3) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek csak az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre az uniós jog kötelezi őket.
(4) Az (EU) 2016/679 rendelet 42. cikke szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható az e cikk (1) bekezdésében előírt követelményeknek való megfelelés bizonyítása részeként.
34. cikk
Az adatvédelmi incidens bejelentése az európai adatvédelmi biztosnak
(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem okait.
(2) Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt az adatvédelmi incidensről.
(6) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikknek való megfelelést.
35. cikk
Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 34. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogait és szabadságait érintő, az (1) bekezdésben említett magas kockázat valószínűsíthetően már nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.
3. SZAKASZ
az elektronikus hírközlés bizalmas jellege
36. cikk
Az elektronikus hírközlés bizalmas jellege
Az uniós intézmények és szervek biztosítják az elektronikus hírközlés bizalmas jellegét, különösen elektronikus hírközlési hálózataik biztonságossá tétele révén.
37. cikk
A felhasználói végberendezésekre továbbított, azokon tárolt, azokkal kapcsolatos, azok által kezelt és azokról gyűjtött információk védelme
Az uniós intézmények és szervek a 2002/58/EK irányelv 5. cikkének (3) bekezdésével összhangban védik a nyilvánosan elérhető weboldalaikhoz és mobil alkalmazásaikhoz hozzáférő felhasználói végberendezésekre továbbított, azokon tárolt, azokkal kapcsolatos, azok által kezelt és azokról gyűjtött információkat.
38. cikk
Felhasználó-nyilvántartások
(1) A felhasználó-nyilvántartásokban tárolt személyes adatok körét és az ilyen nyilvántartásokhoz való hozzáférést a nyilvántartás konkrét céljához feltétlenül szükségesre kell korlátozni.
(2) Az uniós intézmények és szervek minden szükséges intézkedést megtesznek annak érdekében, hogy megakadályozzák az említett nyilvántartásokban szereplő személyes adatok közvetlen üzletszerzés céljára történő felhasználását, függetlenül attól, hogy az adatok a nyilvánosság számára hozzáférhetők-e vagy sem.
4. SZAKASZ
adatvédelmi hatásvizsgálat és előzetes konzultáció
39. cikk
Adatvédelmi hatásvizsgálat
(1) Ha az adatkezelés valamely - különösen új technológiákat alkalmazó - típusa, figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek hogyan érintik a személyes adatok védelmét. Olyan hasonló típusú adatkezelési műveletek, amelyek hasonló magas kockázatot képviselnek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
(2) Az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor kikéri az adatvédelmi tisztviselő tanácsát.
(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen a következő esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen - ideértve a profilalkotást is - alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
b) a 10. cikkben említett személyes adatok különleges kategóriáinak, vagy a 11. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak nagy számban történő kezelése; vagy
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
(4) Az európai adatvédelmi biztos összeállítja és nyilvánosságra hozza az adatkezelési műveletek azon típusainak jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni.
(5) Az európai adatvédelmi biztos összeállíthatja és nyilvánosságra hozhatja az adatkezelési műveletek azon típusainak jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.
(6) Az e cikk (4) és (5) bekezdésében említett jegyzékek elfogadását megelőzően, abban az esetben, ha olyan adatkezelő adatkezelési műveleteire vonatkoznak, amely adatkezelő egy vagy több, az uniós intézményektől és szervektől eltérő adatkezelővel közösen jár el, az európai adatvédelmi biztos felkéri az (EU) 2016/679 rendelet 68. cikkével felállított Európai Adatvédelmi Testületet az ilyen jegyzékeknek az említett rendelet 70. cikke (1) bekezdésének e) pontjával összhangban történő megvizsgálására.
(7) A hatásvizsgálat kiterjed legalább:
a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére;
b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
c) az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendeletnek való megfelelés igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
(8) Az adatfeldolgozók által - különösen az adatvédelmi hatásvizsgálatok céljából -végzett adatkezelési műveletek hatásainak értékelése során megfelelően figyelembe kell venni, hogy az adott, az uniós intézményektől és szervektől eltérő adatfeldolgozók megfelelnek-e az (EU) 2016/679 rendelet 40. cikkében említett jóváhagyott magatartási kódexeknek.
(9) Az adatkezelő adott esetben - a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül - kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
(10) Ha az 5. cikk (1) bekezdésének a) vagy b) pontja szerinti adatkezelés jogalapját a Szerződések alapján elfogadott jogi aktus írja elő, és e jogi aktus a kérdéses konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogi aktus elfogadása előtt általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor e cikk (1)-(6) bekezdését nem kell alkalmazni, kivéve, ha az említett jogi aktus ettől eltérően rendelkezik.
(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által képviselt kockázat változása esetén ellenőrzést végez annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
40. cikk
Előzetes konzultáció
(1) Az adatkezelő az adatkezelési tevékenység előtt konzultál az európai adatvédelmi biztossal, ha a 39. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat a rendelkezésre álló technológiák és a végrehajtási költségek figyelembevételével nem mérsékelhető észszerű módon. Az adatkezelő kikéri az adatvédelmi tisztviselő tanácsát az előzetes konzultáció szükségességéről.
(2) Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdés szerint tervezett adatkezelés sértené e rendeletet - különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette -, az európai adatvédelmi biztos az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított legfeljebb nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő - a tervezett adatkezelés összetettségétől függően - hat héttel meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt és adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg az európai adatvédelmi biztos nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.
(3) Az adatkezelő az európai adatvédelmi biztossal az (1) bekezdés értelmében folytatott konzultáció során tájékoztatja az európai adatvédelmi biztost:
a) adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről;
b) a tervezett adatkezelés céljairól és módjairól;
c) az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
d) az adatvédelmi tisztviselő elérhetőségéről;
e) a 39. cikkben meghatározott adatvédelmi hatásvizsgálatról; és
f) az európai adatvédelmi biztos által kért bármely egyéb információról.
(4) A Bizottság végrehajtási jogi aktusban meghatározhatja azon esetek jegyzékét, amelyekben az adatkezelőknek konzultálniuk kell az európai adatvédelmi biztossal, és be kell szerezniük annak előzetes engedélyét akkor is, ha valamely közérdekből végzett feladat teljesítéséhez kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.
5. SZAKASZ
tájékoztatás és jogalkotási konzultáció
41. cikk
Tájékoztatás és konzultáció
(1) Az uniós intézmények és szervek értesítik az európai adatvédelmi biztost azoknak a közigazgatási intézkedéseknek és belső szabályoknak a kidolgozásakor, amelyek a személyes adatok egy uniós intézmény vagy szerv által önállóan vagy más uniós intézménnyel vagy szervvel közösen végzett kezelésére vonatkoznak.
(2) Az uniós intézmények és szervek konzultálnak az európai adatvédelmi biztossal a 25. cikkben említett belső szabályok kidolgozásakor.
42. cikk
Jogalkotási konzultáció
(1) A Bizottság konzultál az európai adatvédelmi biztossal az olyan jogalkotási aktusra vonatkozó javaslatok és az EUMSZ 218. cikke szerinti, a Tanácshoz intézett ajánlások vagy javaslatok elfogadását követően, valamint az olyan felhatalmazáson alapuló jogi aktusok vagy végrehajtási jogi aktusok előkészítése során, amelyek a személyes adatok kezelése tekintetében kihatnak az egyének jogainak és szabadságainak védelmére.
(2) Amennyiben az (1) bekezdésben említett jogi aktus különös jelentőséggel bír az egyének jogainak és szabadságainak a személyes adatok kezelése tekintetében való védelme szempontjából, a Bizottság konzultálhat az Európai Adatvédelmi Testülettel is. Ilyen esetekben az európai adatvédelmi biztos és az Európai Adatvédelmi Testület közös vélemény kiadása céljából összehangolja tevékenységét.
(3) Az (1) és a (2) bekezdésben említett tanácsot az (1) és a (2) bekezdésben említett konzultáció iránti kérelem kézhezvételétől számított legfeljebb nyolc héten belül írásban kell adni. Sürgős vagy egyébként indokolt esetekben a Bizottság lerövidítheti a határidőt.
(4) Ez a cikk nem alkalmazandó, ha az (EU) 2016/679 rendelet értelmében a Bizottságnak konzultálnia kell az Európai Adatvédelmi Testülettel.
6. SZAKASZ
az adatvédelmi tisztviselő
43. cikk
Az adatvédelmi tisztviselő kijelölése
(1) Minden uniós intézmény vagy szerv adatvédelmi tisztviselőt jelöl ki.
(2) Az uniós intézmények és szervek közös adatvédelmi tisztviselőt jelölhetnek ki többedmaguk számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.
(3) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlatok szakértői szintű ismerete, valamint a 45. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.
(4) Az adatvédelmi tisztviselő az uniós intézmény vagy szerv személyzetének tagja. Figyelembe véve nagyságukat, és amennyiben a (2) bekezdés szerinti lehetőséggel nem élnek, az uniós intézmények és szervek kijelölhetnek olyan adatvédelmi tisztviselőt, aki feladatait szolgáltatási szerződés keretében látja el.
(5) Az uniós intézmények vagy szervek közzéteszik az adatvédelmi tisztviselő elérhetőségeit, és azokat közlik az európai adatvédelmi biztossal.
44. cikk
Az adatvédelmi tisztviselő jogállása
(1) Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
(2) Az uniós intézmények és szervek támogatják az adatvédelmi tisztviselőt a 45. cikkben említett feladatai ellátásában azáltal, hogy biztosítják számára azokat a forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
(3) Az uniós intézmények és szervek biztosítják, hogy az adatvédelmi tisztviselő említett feladatai ellátásával kapcsolatban senkitől ne fogadjon el utasításokat. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
(4) Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
(5) Az adatvédelmi tisztviselőt és személyzetét feladataik teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti, az uniós joggal összhangban.
(6) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
(7) Az adatkezelő és az adatfeldolgozó, az érintett személyzeti bizottság, valamint bármely természetes személy a hivatali út igénybevétele nélkül konzultálhat az adatvédelmi tisztviselővel az e rendelet értelmezésével vagy alkalmazásával kapcsolatos bármely kérdésről. Senkit sem érhet joghátrány amiatt, hogy olyan ügyet hoz az illetékes adatvédelmi tisztviselő tudomására, amely megítélése szerint e rendelet rendelkezéseit sérti.
(8) Az adatvédelmi tisztviselő kinevezése háromtól öt évre szól, és megújítható. Az adatvédelmi tisztviselőt az őt kijelölő uniós intézmény vagy szerv mentheti fel, ha az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek, és csak az európai adatvédelmi biztos hozzájárulásával.
(9) Kinevezése után az adatvédelmi tisztviselőt az őt kinevező uniós intézmény vagy szerv felveteti az európai adatvédelmi biztos által vezetett nyilvántartásba.
45. cikk
Az adatvédelmi tisztviselő feladatai
(1) Az adatvédelmi tisztviselő a következő feladatokat látja el:
a) tájékoztat és tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b) független módon biztosítja e rendelet belső alkalmazását; ellenőrzi az e rendeletnek, valamint az egyéb alkalmazandó, adatvédelmi rendelkezéseket tartalmazó uniós jognak, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
c) biztosítja, hogy az érintetteket tájékoztassák az e rendelet szerinti jogaikról és kötelezettségeikről;
d) kérésre tanácsot ad az adatvédelmi incidensről szóló bejelentésnek vagy tájékoztatásnak a 34. és a 35. cikk szerinti szükségessége tekintetében;
e) kérésre tanácsot ad az adatvédelmi hatásvizsgálat tekintetében, és nyomon követi annak végrehajtását a 39. cikk értelmében, valamint konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az adatvédelmi hatásvizsgálat szükségességével kapcsolatban;
f) kérésre tanácsot ad az európai adatvédelmi biztossal való, a 40. cikk szerinti előzetes konzultáció szükségessége tekintetében; konzultál az európai adatvédelmi biztossal, amennyiben kétség merül fel az előzetes konzultáció szükségességével kapcsolatban;
g) válaszol az európai adatvédelmi biztos megkereséseire illetékességi körén belül az európai adatvédelmi biztossal való együttműködés és konzultáció érdekében a biztos kérésére vagy saját kezdeményezése alapján;
h) biztosítja, hogy az adatkezelési műveletek során ne sérüljenek az érintettek jogai és szabadságai.
(2) Az adatvédelmi tisztviselő ajánlásokat tehet az adatkezelő és az adatfeldolgozó számára az adatvédelem gyakorlati javítására, továbbá tanácsokat adhat számukra az adatvédelmi rendelkezések alkalmazásával kapcsolatos kérdésekben. Az adatvédelmi tisztviselő továbbá saját kezdeményezésére, illetve az adatkezelő vagy az adatfeldolgozó, az érintett személyzeti bizottság vagy bármely egyén kérelmére, megvizsgálhatja a feladataihoz közvetlenül kapcsolódó és tudomására jutó ügyeket és tényeket, és vizsgálatáról jelentést küldhet a vizsgálatot kérő személynek, az adatkezelőnek vagy az adatfeldolgozónak.
(3) Az egyes uniós intézmények vagy szervek az adatvédelmi tisztviselőre vonatkozóan további végrehajtási szabályokat fogadnak el. A végrehajtási szabályok különösen az adatvédelmi tisztviselő feladataira, kötelességeire és hatásköreiére vonatkoznak.
V. FEJEZET
A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSA
46. cikk
Az adattovábbításra vonatkozó általános elv
Olyan személyes adatok továbbítására - ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is -, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben biztosított védelem szintje ne sérüljön.
47. cikk
Adattovábbítás megfelelőségi határozat alapján
(1) Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése, vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése értelmében úgy határozott, hogy a harmadik ország, a harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy az adott nemzetközi szervezet megfelelő szintű védelmet biztosít, és ha a személyes adatokat kizárólag az adatkezelő hatáskörébe tartozó feladatok elvégzésének lehetővé tétele érdekében továbbítják.
(2) Az uniós intézmények vagy szervek értesítik a Bizottságot és az európai adatvédelmi biztost azokról az esetekről, amelyekben úgy vélik, hogy egy adott harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy adott nemzetközi szervezet nem biztosít megfelelő szintű védelmet az (1) bekezdés értelmében.
(3) Az uniós intézmények és szervek megteszik a szükséges intézkedéseket annak érdekében, hogy megfeleljenek a Bizottság határozatának abban az esetben, ha a Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) vagy (5) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) vagy (5) bekezdése értelmében megállapítja, hogy egy harmadik ország, egy adott harmadik országon belüli terület vagy egy vagy több meghatározott ágazat, vagy egy nemzetközi szervezet megfelelő szintű védelmet biztosít, vagy már nem biztosítja azt.
48. cikk
Megfelelő garanciák alapján történő adattovábbítások
(1) Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti határozat hiányában az adatkezelő vagy az adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat nyújtott, és azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
(2) Az európai adatvédelmi biztos bármely külön engedélyéhez nem kötött, az (1) bekezdésben említett megfelelő garanciákat a következők jelenthetik:
a) közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;
b) a Bizottság által a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében elfogadott általános adatvédelmi kikötések;
c) az európai adatvédelmi biztos által elfogadott és a Bizottság által a 96. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás értelmében jóváhagyott általános adatvédelmi kikötések;
d) amennyiben az adatfeldolgozó nem uniós intézmény vagy szerv, az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének b), e) és f) pontja szerinti kötelező erejű vállalati szabályok, magatartási kódexek vagy tanúsítási mechanizmusok.
(3) Az európai adatvédelmi biztos engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen a következők is szolgálhatnak:
a) az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy
b) közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.
(4) Az európai adatvédelmi biztos által a 45/2001/EK rendelet 9. cikkének (7) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén az európai adatvédelmi biztos nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.
(5) Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.
49. cikk
Az uniós jog által nem megengedett továbbítás és közlés
Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, csak akkor ismerhető el vagy hajtható végre bármely módon, ha az az adatok megismerését igénylő harmadik ország és az Unió között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb okainak sérelme nélkül.
50. cikk
Különös helyzetekben biztosított eltérések
(1) Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése vagy az (EU) 2016/680 irányelv 36. cikkének (3) bekezdése szerinti megfelelőségi határozat, illetve e rendelet 48. cikke szerinti megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak a következő feltételek legalább egyikének teljesülése esetén kerülhet sor:
a) az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő - a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó - lehetséges kockázatokról;
b) az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
c) az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
d) az adattovábbítás fontos közérdekből szükséges;
e) az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
f) az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; vagy
g) a továbbítást olyan nyilvántartásból végzik, amely az uniós jognak megfelelően a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság számára, vagy bármely, jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, de csak olyan mértékben, amilyenben az uniós jog által a betekintésre megállapított feltételek az adott esetben teljesülnek.
(2) Az (1) bekezdés a), b) és c) pontja nem alkalmazandó az uniós intézmények és szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.
(3) Az (1) bekezdés d) pontjában említett közérdeknek az uniós jogban elismertnek kell lennie.
(4) Az (1) bekezdés g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét, kivéve, ha azt az uniós jog megengedi. Ha a nyilvántartásba csak olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra csak e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.
(5) Megfelelőségi határozat hiányában az uniós jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes adatok valamely harmadik országba vagy nemzetközi szervezethez történő továbbítását.
(6) Az uniós intézmények és szervek tájékoztatják az európai adatvédelmi biztost az esetek azon kategóriáiról, amelyekben e cikket alkalmazták.
51. cikk
A személyes adatok védelmével kapcsolatos nemzetközi együttműködés
A harmadik országokkal és nemzetközi szervezetekkel kapcsolatban az európai adatvédelmi biztos a Bizottsággal és az Európai Adatvédelmi Testülettel együttműködésben megfelelő lépéseket tesz annak érdekében, hogy:
a) a személyes adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;
b) a személyes adatok védelméről szóló jogszabályok érvényesítése terén kölcsönös nemzetközi segítségnyújtást biztosítsanak, egyebek mellett értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;
c) az érdekelt feleket bevonják a személyes adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;
d) előmozdítsák a személyes adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országok viszonylatában felmerülő joghatósági összeütközéseket is.
VI. FEJEZET
EURÓPAI ADATVÉDELMI BIZTOS
52. cikk
Európai adatvédelmi biztos
(1) E rendelettel létrejön az európai adatvédelmi biztos.
(2) A személyes adatok kezelése tekintetében az európai adatvédelmi biztos felelős annak biztosításáért, hogy az uniós intézmények és szervek tiszteletben tartsák a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat.
(3) Az európai adatvédelmi biztos feladata, hogy a személyes adatok uniós intézmény vagy szerv általi kezelésével kapcsolatban figyelemmel kísérje és biztosítsa az e rendelet és bármely más, a természetes személyek alapvető jogainak és szabadságainak védelméről szóló uniós jogi aktus rendelkezéseinek alkalmazását, valamint a személyes adatok kezelésével kapcsolatos minden ügyben tanáccsal szolgáljon az uniós intézmények és szervek, valamint az érintettek számára. Az említett célok érdekében az európai adatvédelmi biztos ellátja az 57. cikkben megállapított feladatokat, és gyakorolja az 58. cikkben biztosított hatásköröket.
(4) Az 1049/2001/EK rendeletet alkalmazni kell az európai adatvédelmi biztos birtokában levő dokumentumokra. Az európai adatvédelmi biztos részletes szabályokat fogad el az 1049/2001/EK rendeletnek az említett dokumentumok tekintetében történő alkalmazására vonatkozóan.
53. cikk
Az európai adatvédelmi biztos kinevezése
(1) Az Európai Parlament és a Tanács közös megegyezéssel nevezi ki az európai adatvédelmi biztost ötéves időtartamra, a Bizottság által nyílt pályázati felhívást követően elkészített lista alapján. A pályázati felhívás lehetővé teszi, hogy az egész Unión belül valamennyi érdekelt fél benyújthassa pályázatát. A Bizottság által a pályázókról összeállított lista nyilvános, és legalább három pályázót tartalmaz. A Bizottság által összeállított lista alapján az Európai Parlament illetékes bizottsága dönthet úgy, hogy meghallgatást tart annak lehetővé tétele érdekében, hogy kifejezze, melyik pályázót részesíti előnyben.
(2) Az (1) bekezdésben említett, pályázókról összeállított listán olyan személyek szerepelnek, akiknek függetlenségéhez nem férhet kétség, és akik elismerten rendelkeznek az adatvédelemmel kapcsolatos szakmai tudással és az európai adatvédelmi biztos feladatainak ellátásához szükséges tapasztalattal és készségekkel.
(3) Az európai adatvédelmi biztos megbízatása egyszer megújítható.
(4) Az európai adatvédelmi biztos megbízatása megszűnik a következő körülmények fennállása esetén:
a) ha az európai adatvédelmi biztos helyére mást neveznek ki;
b) ha az európai adatvédelmi biztos lemond tisztségéről;
c) ha az európai adatvédelmi biztost felmentik vagy kötelező nyugdíjazást írnak elő számára.
(5) Az európai adatvédelmi biztost az Európai Parlament, a Tanács vagy a Bizottság kérelmére a Bíróság felmentheti, vagy a nyugdíjhoz, illetve az egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.
(6) A megbízatás lejárta vagy önkéntes lemondás esetén az európai adatvédelmi biztos mindazonáltal mindaddig hivatalában marad, amíg utódjáról nem gondoskodnak.
(7) Az Európai Unió kiváltságairól és mentességeiről szóló jegyzőkönyv 11-14., valamint 17. cikkét az európai adatvédelmi biztosra is alkalmazni kell.
54. cikk
Az európai adatvédelmi biztos feladatkörének ellátására vonatkozó szabályozás és általános feltételek, személyi és anyagi erőforrások
(1) Az európai adatvédelmi biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott egyéb kedvezmények meghatározása tekintetében a Bíróság bíráival egyenrangú.
(2) A költségvetési hatóság biztosítja, hogy az európai adatvédelmi biztos rendelkezzen a feladatainak elvégzéséhez szükséges személyi és anyagi erőforrásokkal.
(3) Az európai adatvédelmi biztos költségvetése az Unió általános költségvetése igazgatási kiadásokhoz kapcsolódó szakaszának külön tételében jelenik meg.
(4) Az európai adatvédelmi biztos munkáját titkárság segíti. A titkárság tisztviselőit és egyéb alkalmazottait az európai adatvédelmi biztos nevezi ki, felettesük az európai adatvédelmi biztos. Kizárólag az ő irányítása alá tartoznak. Létszámukról évente a költségvetési eljárás keretében döntenek. Az európai adatvédelmi biztos hivatalának azon alkalmazottaira, akik részt vesznek az Európai Adatvédelmi Testület uniós jog által meghatározott feladatainak ellátásában az (EU) 2016/679 rendelet 75. cikkének (2) bekezdése alkalmazandó.
(5) Az európai adatvédelmi biztos titkárságának tisztviselőire és más alkalmazottaira az Unió tisztviselőire és egyéb alkalmazottaira vonatkozó szabályok és szabályzatok vonatkoznak.
(6) Az európai adatvédelmi biztos székhelye Brüsszelben van.
55. cikk
Függetlenség
(1) Az európai adatvédelmi biztos az e rendelet alapján ráruházott feladatai elvégzése és hatáskörei gyakorlása során teljesen függetlenül jár el.
(2) Az európai adatvédelmi biztos az e rendelettel összhangban ráruházott feladatai végzése és hatáskörei gyakorlása során bármilyen - közvetlen vagy közvetett - külső befolyástól mentesen jár el, és senkitől sem kérhet vagy fogadhat el utasítást.
(3) Az európai adatvédelmi biztos tartózkodik minden olyan cselekedettől, amely feladataival nem egyeztethető össze, és hivatali ideje alatt sem javadalmazás ellenében, sem anélkül nem vállalhat egyéb szakmai tevékenységet.
(4) Az európai adatvédelmi biztos megbízatásának lejárta után köteles a kinevezések és előnyök elfogadása tekintetében feddhetetlen és tartózkodó magatartást tanúsítani.
56. cikk
Szakmai titoktartás
Az európai adatvédelmi biztost és személyzetét a megbízatási idejük alatt és után egyaránt szakmai titoktartási kötelezettség terheli minden olyan bizalmas információ tekintetében, amelyről hivatali feladataik ellátása során szereztek tudomást.
57. cikk
Feladatok
(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, az európai adatvédelmi biztos a következő feladatokat látja el:
a) figyelemmel kíséri és biztosítja e rendeletnek az uniós intézmények és szervek általi alkalmazását, kivéve a személyes adatoknak a Bíróság általi kezelését, amennyiben az igazságszolgáltatási feladatkörében jár el;
b) elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában. Különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;
c) felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;
d) kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik a nemzeti felügyeleti hatóságokkal;
e) kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 67. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;
f) vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján is;
g) saját kezdeményezésére vagy kérésre tanácsot ad az uniós intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;
h) figyelemmel kíséri a vonatkozó fejleményeket - különösen az információtechnológia és hírközlési technológia fejlődését -, amennyiben azok hatással vannak a személyes adatok védelmére;
i) elfogadja a 29. cikk (8) bekezdésében és a 48. cikk (2) bekezdésének c) pontjában említett általános szerződési feltételeket;
j) a 39. cikk (4) bekezdése értelmében az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban jegyzéket állít össze és vezeti azt;
k) részt vesz az Európai Adatvédelmi Testület tevékenységeiben;
l) biztosítja az Európai Adatvédelmi Testület titkárságát, az (EU) 2016/679 rendelet 75. cikkével összhangban;
m) tanácsot ad a 40. cikk (2) bekezdésében említett adatkezeléssel kapcsolatban;
n) engedélyezi a 48. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;
o) belső nyilvántartást vezet e rendelet megsértéséről és az 58. cikk (2) bekezdése szerint meghozott intézkedésekről;
p) ellát bármely egyéb, a személyes adatok védelméhez kapcsolódó feladatot; és
q) megállapítja saját eljárási szabályzatát.
(2) Az európai adatvédelmi biztos megkönnyíti az (1) bekezdés e) pontjában említett panaszok benyújtását, például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközöket sem.
(3) Az európai adatvédelmi biztos az érintett számára térítésmentesen végzi feladatait.
(4) Ha a kérelem egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, az európai adatvédelmi biztos megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az európai adatvédelmi biztost terheli.
58. cikk
Hatáskörök
(1) Az európai adatvédelmi biztos a következő vizsgálati hatáskörében eljárva:
a) utasítja az adatkezelőt és az adatfeldolgozót, hogy adják meg számára a feladatai elvégzéséhez szükséges tájékoztatást;
b) vizsgálatot folytat adatvédelmi auditok formájában;
c) értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;
d) hozzáférést kap az adatkezelőtől és az adatfeldolgozótól a feladataik teljesítéséhez szükséges minden személyes adathoz és minden információhoz;
e) az uniós joggal összhangban hozzáférést kap az adatkezelő és az adatfeldolgozó bármely helyiségéhez, ideértve minden adatkezeléshez használt felszerelést és eszközt.
(2) Az európai adatvédelmi biztos a következő korrekciós hatáskörében eljárva:
a) figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy a tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;
b) elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;
c) az ügyeket az érintett adatkezelő vagy adatfeldolgozó, illetve szükség esetén az Európai Parlament, a Tanács és a Bizottság elé utalja;
d) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;
e) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit - adott esetben meghatározott módon és meghatározott időtartamon belül - hozza összhangba e rendelet rendelkezéseivel;
f) utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
g) átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
h) a 18., a 19. és a 20. cikkben foglaltak értelmében elrendeli a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását, valamint a 19. cikk (2) bekezdése és a 21. cikk értelmében elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;
i) a 66. cikk értelmében közigazgatási bírságot szab ki, ha valamely uniós intézmény vagy szerv nem felel meg az e bekezdés d)-h) és j) pontjában említett intézkedéseknek, az egyes esetek körülményeitől függően;
j) elrendeli a tagállambeli vagy harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.
(3) Az európai adatvédelmi biztos a következő engedélyezési és tanácsadási hatáskörökkel rendelkezik:
a) tanácsot ad az érintetteknek jogaik gyakorlásával kapcsolatban;
b) tanácsot ad az adatkezelőnek a 40. cikkben említett előzetes konzultációs eljárással és a 41. cikk (2) bekezdésével összhangban;
c) saját kezdeményezésére vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki uniós intézmények és szervek, valamint a nyilvánosság részére;
d) elfogadja a 29. cikk (8) bekezdésben és a 48. cikk (2) bekezdésének c) pontjában említett általános adatvédelmi kikötéseket;
e) engedélyezi a 48. cikk (3) bekezdésének a) pontjában említett szerződéses feltételeket;
f) engedélyezi a 48. cikk (3) bekezdésének b) pontjában említett közigazgatási megállapodásokat;
g) engedélyezi a 40. cikk (4) bekezdése szerint elfogadott végrehajtási jogi aktusok szerinti adatkezelési műveleteket.
(4) Az európai adatvédelmi biztos jogosult a Bíróság elé utalni az ügyet a Szerződésekben meghatározott feltételek mellett, továbbá beavatkozni a Bíróság előtt indított keresetekbe.
(5) Az e cikk értelmében az európai adatvédelmi biztosra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós jogban meghatározott hatékony bírósági jogorvoslatokat és tisztességes eljárást is.
59. cikk
Az adatkezelőknek és az adatfeldolgozóknak a feltételezett jogsértésekre vonatkozóan fennálló válaszadási kötelezettsége
Amennyiben az európai adatvédelmi biztos gyakorolja az 58. cikk (2) bekezdésének a), b) és c) pontjában előírt hatásköröket, az érintett adatkezelő vagy adatfeldolgozó az európai adatvédelmi biztos által meghatározandó észszerű határidőn belül tájékoztatja az európai adatvédelmi biztost, figyelembe véve az egyes esetek körülményeit. A válasz az európai adatvédelmi biztos észrevételei nyomán tett intézkedések - amennyiben voltak ilyenek - leírását is tartalmazza.
60. cikk
Tevékenységi jelentés
(1) Az európai adatvédelmi biztos tevékenységéről éves jelentést nyújt be az Európai Parlamenthez, a Tanácshoz és a Bizottsághoz, és azt egyidejűleg nyilvánosságra hozza.
(2) Az európai adatvédelmi biztos az (1) bekezdésben említett jelentést továbbítja a többi uniós intézménynek és szervnek, amelyek észrevételeket tehetnek a jelentésnek az Európai Parlament által történő esetleges vizsgálata céljából.
VII. FEJEZET
EGYÜTTMŰKÖDÉS ÉS EGYSÉGESSÉG
61. cikk
Együttműködés az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok között
Az európai adatvédelmi biztos együttműködik a nemzeti felügyeleti hatóságokkal és a 2009/917/IB tanácsi határozat ( 5 ) 25. cikke alapján létrehozott közös ellenőrző hatósággal a feladataik ellátásához szükséges mértékben, különösen azáltal, hogy egymás rendelkezésére bocsátják a vonatkozó információkat, felkérik egymást hatáskörük gyakorlására, és választ adnak egymás megkereséseire.
62. cikk
Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok által koordinált felügyelet
(1) Amennyiben egy uniós jogi aktus e cikkre hivatkozik, az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok - mindegyik saját hatáskörén belül eljárva - aktívan együttműködnek felelősségi köreiken belül a nagyméretű IT-rendszerek és az uniós szervek, hivatalok és ügynökségek hatékony felügyeletének biztosítása érdekében.
(2) Az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok hatáskörükön és felelősségi köreiken belül eljárva, szükség esetén, egymás között releváns információkat cserélnek, segítséget nyújtanak egymásnak az auditok és vizsgálatok végzéséhez, megvizsgálják az e rendelet és más alkalmazandó uniós jogi aktusok értelmezésével és alkalmazásával kapcsolatos nehézségeket, tanulmányozzák a független felügyelet vagy az érintettek jogainak gyakorlásával kapcsolatos problémákat, harmonizált javaslatokat dolgoznak ki az esetleges problémák megoldására és előmozdítják az adatvédelmi jogokkal kapcsolatos tudatosságot.
(3) A (2) bekezdésben meghatározott célokból az európai adatvédelmi biztos és a nemzeti felügyeleti hatóságok legalább évente kétszer üléseznek az Európai Adatvédelmi Testület keretében. E célból az Európai Adatvédelmi Testület szükség esetén további munkamódszereket dolgozhat ki.
(4) Az Európai Adatvédelmi Testület kétévente a tevékenységek koordinált felügyeletéről szóló közös jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.
VIII. FEJEZET
JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK
63. cikk
Az európai adatvédelmi biztoshoz intézett panasz benyújtásához való jog
(1) Az egyéb bírósági, közigazgatási vagy bíróságon kívüli jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt nyújtson be az európai adatvédelmi biztoshoz, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
(2) Az európai adatvédelmi biztos tájékoztatja a panaszost a panaszhoz fűződő fejleményekről és eredményekről, ideértve a 64. cikk szerinti bírósági jogorvoslat lehetőségét is.
(3) Amennyiben az európai adatvédelmi biztos nem foglalkozik a panasszal, vagy a panasz állásáról vagy eredményéről három hónapon belül nem tájékoztatja a panaszost, úgy kell tekinteni, hogy az európai adatvédelmi biztos elutasító határozatot hozott.
64. cikk
A hatékony bírósági jogorvoslathoz való jog
(1) Az e rendelet rendelkezéseivel kapcsolatos valamennyi jogvitában - ideértve a kártérítési igényeket is - a Bíróság rendelkezik hatáskörrel.
(2) Az európai adatvédelmi biztos határozataival szemben - ideértve a 63. cikk (3) bekezdése szerinti határozatokat is - a Bíróságnál lehet keresetet benyújtani.
(3) A Bíróság korlátlan hatáskörrel rendelkezik a 66. cikkben említett közigazgatási bírságok felülvizsgálata tekintetében. A Bíróság a 66. cikkben megadott határokon belül törölheti, csökkentheti vagy megemelheti e bírságok összegét.
65. cikk
A kártérítéshez való jog
Minden olyan személy, aki e rendelet megsértésének következményeként vagyoni vagy nem vagyoni kárt szenved, az elszenvedett kárért a Szerződésekben foglalt feltételek szerint kártérítésre jogosult az uniós intézménytől vagy szervtől.
66. cikk
Közigazgatási bírságok
(1) Az európai adatvédelmi biztos az egyes esetek körülményeitől függően közigazgatási bírságot szabhat ki az uniós intézményekre és szervekre, amennyiben valamely uniós intézmény vagy szerv nem tesz eleget az európai adatvédelmi biztos által az 58. cikk (2) bekezdésének d) - h) és j) pontja értelmében hozott határozatnak. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:
a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve az adott adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
b) az uniós intézmény vagy szerv részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;
c) az uniós intézmény vagy szerv felelősségének mértéke, figyelembe véve az általuk a 27. és a 33. cikk értelmében foganatosított technikai és szervezési intézkedéseket;
d) az uniós intézmény vagy szerv által korábban elkövetett hasonló jogsértések;
e) az európai adatvédelmi biztossal a jogsértés orvoslása és a jogsértés esetleges negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;
f) a jogsértés által érintett személyes adatok kategóriái;
g) az, ahogyan az európai adatvédelmi biztos tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az uniós intézmény vagy szerv jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
h) az érintett uniós intézménnyel vagy szervvel szemben korábban elrendelt, az 58. cikkben említett valamely intézkedésnek való megfelelés. A bírságok kiszabásához vezető eljárásokat az ügy körülményeinek megfelelően észszerű határidőn belül kell lefolytatni, figyelembe véve a 69. cikkben említett vonatkozó fellépéseket és eljárásokat.
(2) Uniós intézmény vagy szerv a 8., a 12., a 27-35., a 39., a 40., a 43., a 44. és a 45. cikk szerinti kötelezettségeinek megsértése esetén az e cikk (1) bekezdésével összhangban jogsértésenként legfeljebb 25 000 EUR összegű közigazgatási bírság szabható ki, és a bírság éves felső határa 250 000 EUR.
(3) Uniós intézmény vagy szerv a következő rendelkezések megsértése esetén az (1) bekezdéssel összhangban jogsértésenként legfeljebb 50 000 EUR, évente összesen legfeljebb 500 000 EUR összegű közigazgatási bírság szabható ki:
a) az adatkezelés elvei - ideértve a hozzájárulás feltételeit is - a 4., az 5., a 7. és a 10. cikk értelmében;
b) az érintettek jogai a 14-24. cikk értelmében;
c) személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása a 46-50. cikk értelmében.
(4) Ha egy uniós intézmény vagy szerv egyazon adatkezelési művelet vagy egymáshoz kapcsolódó vagy folyamatos adatkezelési műveletek tekintetében e rendelet több rendelkezését, vagy ugyanazon rendelkezését több alkalommal is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.
(5) Az e cikk szerinti határozatok meghozatala előtt az európai adatvédelmi biztos biztosítja az európai adatvédelmi biztos által lefolytatott eljárás tárgyát képező uniós intézmény vagy szerv számára a lehetőséget, hogy kifejtse álláspontját azon ügyekben, amelyek ellen az európai adatvédelmi biztos kifogást emelt. Az európai adatvédelmi biztos határozatait csak olyan kifogásokra alapozza, amelyekkel kapcsolatban az érintett felek megtehették észrevételeiket. A panaszosokat szorosan bevonják az eljárásokba.
(6) Az érintett felek védekezéshez való jogát az eljárás során teljes mértékben tiszteletben kell tartani. Az érintett felek jogosultak arra, hogy hozzáférjenek az európai adatvédelmi biztos aktájához, figyelemmel az egyéneknek vagy vállalkozásoknak a személyes adataik vagy üzleti titkaik védeleméhez fűződő jogos érdekére.
(7) Az e cikk szerint kiszabott bírságok révén beszedett összegek az Unió általános költségvetésének bevételét képezik.
67. cikk
Az érintettek képviselete
Az érintett jogosult arra, hogy panaszának az európai adatvédelmi biztoshoz a nevében történő benyújtásával, a 63. és a 64. cikkben említett jogainak nevében való gyakorlásával, valamint a 65. cikkben említett kártérítéshez való jognak a nevében történő gyakorlásával olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet az uniós jognak vagy valamely tagállam jogának megfelelően hoztak létre, amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.
68. cikk
Az Unió személyzete által benyújtott panaszok
Az uniós intézmények vagy szervek által alkalmazott bármely személy a hivatali út igénybevétele nélkül is panaszt nyújthat be az európai adatvédelmi biztoshoz az e rendelet rendelkezéseinek feltételezett megsértésével kapcsolatban. Senki sem szenvedhet sérelmet amiatt, hogy valamely feltételezett jogsértéssel kapcsolatban panaszt nyújtott be az európai adatvédelmi biztoshoz.
69. cikk
Szankciók
Ha az Unió tisztviselője vagy más alkalmazottja az e rendeletben foglalt kötelezettségeit szándékosan vagy gondatlanságból megszegi, az érintett tisztviselő vagy más alkalmazott ellen a személyzeti szabályzatban megállapított szabályoknak és eljárásoknak megfelelően fegyelmi eljárás indul, vagy vele szemben más intézkedést foganatosítanak.
IX. FEJEZET
A MŰVELETI VONATKOZÁSÚ SZEMÉLYES ADATOKNAK AZ EUMSZ HARMADIK RÉSZE V. CÍME 4. VAGY 5. FEJEZETÉNEK HATÁLYA ALÁ TARTOZÓ TEVÉKENYSÉGEK VÉGZÉSE SORÁN TÖRTÉNŐ, UNIÓS SZERVEK, HIVATALOK ÉS ÜGYNÖKSÉGEK ÁLTALI KEZELÉSE
70. cikk
A fejezet hatálya
Ez a fejezet csak a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok és ügynökségek általi, az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek során végzett kezelésére vonatkozik, az ilyen uniós szervekre, hivatalokra vagy ügynökségekre vonatkozó különös adatvédelmi szabályok sérelme nélkül.
71. cikk
A műveleti vonatkozású személyes adatok kezelésére vonatkozó elvek
(1) A műveleti vonatkozású személyes adatok:
a) kezelését jogszerűen és tisztességesen kell végezni ("jogszerűség és tisztességes eljárás");
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és nem kezelhetők ezzel a céllal össze nem egyeztethető módon ("célhoz kötöttség");
c) az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk ("adattakarékosság");
d) pontosnak kell lenniük, és szükség esetén naprakésszé kell tenni őket; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék ("pontosság");
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a műveleti vonatkozású személyes adatok kezelése céljából szükséges ideig teszi lehetővé ("korlátozott tárolhatóság");
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a műveleti vonatkozású személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ("integritás és bizalmas jelleg").
(2) Az azonos vagy más adatkezelő által az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt, a műveleti vonatkozású személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, amennyiben:
a) az adatkezelő számára az uniós joggal összhangban megengedett az említett műveleti vonatkozású személyes adatok ilyen célból történő kezelése; és
b) az adatkezelés az uniós joggal összhangban az említett egyéb cél szempontjából szükséges és arányos.
(3) Az azonos vagy más adatkezelő által végzett adatkezelésbe beletartozhat az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban foglalt célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás is, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak.
(4) Az adatkezelő felel az (1), a (2) és a (3) bekezdésnek való megfelelésért, és képesnek kell lennie a megfelelés bizonyítására.
72. cikk
A műveleti vonatkozású személyes adatok kezelésének jogszerűsége
(1) A műveleti vonatkozású személyes adatok kezelése csak akkor és annyiban jogszerű, ha és amennyiben az adatkezelés az uniós szervek, hivatalok és ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek keretében végzett feladat ellátásához szükséges, és az az uniós jog alapján történik.
(2) Az e fejezet hatályán belüli adatkezelést szabályozó egyedi uniós jogi aktusok meghatározzák legalább az adatkezelés célkitűzéseit, a kezelendő műveleti vonatkozású személyes adatokat, az adatkezelés céljait és a műveleti vonatkozású személyes adatok tárolásának vagy a további tárolás iránti igény rendszeres felülvizsgálatának határidejét.
73. cikk
Különbségtétel az érintettek különböző kategóriái között
Az adatkezelőnek - adott esetben és amennyire lehetséges - egyértelműen különbséget kell tennie az érintettek különböző kategóriáinak műveleti vonatkozású személyes adatai között, így például az uniós szerveket, hivatalokat és ügynökségeket létrehozó jogi aktusokban felsorolt kategóriák szerint.
74. cikk
Különbségtétel a műveleti vonatkozású személyes adatok között és a műveleti vonatkozású személyes adatok minőségének ellenőrzése
(1) Az adatkezelőnek - amennyire lehetséges - különbséget kell tennie a tényeken alapuló és a személyes értékelésen alapuló műveleti vonatkozású személyes adatok között.
(2) Az adatkezelőnek minden észszerű intézkedést meg kell tennie annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész műveleti vonatkozású személyes adatokat ne lehessen továbbítani vagy hozzáférhetővé tenni. E célból az adatkezelő a továbbítást vagy hozzáférhetővé tételt megelőzően - amennyire a gyakorlatban megvalósítható és szükség esetén - ellenőrzi a műveleti vonatkozású személyes adatok minőségét, például úgy, hogy konzultál azzal az illetékes hatósággal, amelytől az adatok származnak. Amennyire lehetséges, az adatkezelőnek minden műveleti vonatkozású személyes adat továbbításakor csatolnia kell azokat a szükséges információkat, amelyek lehetővé teszik a címzett számára, hogy értékelje a műveleti vonatkozású személyes adatok pontosságát, teljességét, megbízhatóságát és naprakészségének mértékét.
(3) Amennyiben kiderül, hogy helytelen műveleti vonatkozású személyes adatokat továbbítottak vagy a műveleti vonatkozású személyes adatokat jogszerűtlenül továbbították, a címzettet erről haladéktalanul értesíteni kell. Ebben az esetben a 82. cikkel összhangban az érintett műveleti vonatkozású személyes adatokat helyesbíteni vagy törölni kell, vagy azok kezelését korlátozni kell.
75. cikk
Egyedi adatkezelési feltételek
(1) Amennyiben a továbbítást végző adatkezelőre vonatkozó uniós jog egyedi feltételeket ír elő az adatkezelésre vonatkozóan, az adatkezelő tájékoztatja a műveleti vonatkozású személyes adatok címzettjét az említett feltételekről és a betartásukra vonatkozó követelményről.
(2) Az adatkezelőnek meg kell felelnie az adatokat továbbító illetékes hatóság által az (EU) 2016/680 irányelv 9. cikkének (3) és (4) bekezdésével összhangban előírt egyedi adatkezelési feltételeknek.
76. cikk
A műveleti vonatkozású személyes adatok különleges kategóriáinak kezelése
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló műveleti vonatkozású személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségre vagy a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó műveleti vonatkozású személyes adatok kezelése csak akkor megengedett, ha arra működési célból feltétlenül szükség van, az érintett uniós szerv, hivatal vagy ügynökség megbízatásának keretében, és csak az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett. A természetes személyeknek az említett személyes adatok alapján történő megkülönböztetése tilos.
(2) Ennek a cikknek az alkalmazásáról az adatvédelmi tisztviselőt indokolatlan késedelem nélkül tájékoztatni kell.
77. cikk
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
(1) A kizárólag automatizált adatkezelésen - többek között a profilalkotáson - alapuló döntés, amelynek joghatása az érintettre nézve hátrányos, vagy amely őt jelentős mértékben érinti, tilos, kivéve, ha az adatkezelőre alkalmazandó uniós jog megengedi, és az az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciákról is rendelkezik, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen.
(2) Az e cikk (1) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 76. cikkben említett különleges kategóriáin, kivéve, ha az érintett jogainak, szabadságainak és jogos érdekeinek védelmét megfelelő intézkedések biztosítják.
(3) A személyes adatok 76. cikkben említett különleges kategóriái alapján történő olyan profilalkotást, amely a természetes személyekre vonatkozóan megkülönböztetést eredményez, az uniós joggal összhangban tiltani kell.
78. cikk
Tájékoztatás és az érintett jogainak gyakorlására vonatkozó módok
(1) Az adatkezelő észszerű intézkedéseket tesz annak érdekében, hogy az érintett részére az adatok kezelésére vonatkozó, a 79. cikkben említett bármilyen információt és a 80-84. és a 92. cikk szerinti bármilyen tájékoztatást tömör, érthető és könnyen hozzáférhető formában, egyértelműen és közérthetően megfogalmazva nyújtsa. Az információ bármilyen megfelelő módon - így elektronikus úton is - nyújtható. Az adatkezelő az információkat főszabályként a kérelem formájával megegyező formában nyújtja.
(2) Az adatkezelő elősegíti az érintett 79-84. cikk szerinti jogainak gyakorlását.
(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenképpen a kérelem kézhezvételétől számított három hónapon belül írásban tájékoztatja az érintettet a kérelme elbírálásának fejleményeiről.
(4) Az adatkezelő a 79. cikk szerinti információkat, valamint a 80-84. és a 92. cikkek szerinti tájékoztatást, illetve intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, az adatkezelő megtagadhatja a kérelem teljesítését. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(5) Ha az adatkezelőnek megalapozott kétségei vannak a 80. vagy a 82. cikkben említett kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
79. cikk
Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk
(1) Az adatkezelő az érintett rendelkezésére bocsátja legalább a következő információkat:
a) az uniós szerv, hivatal vagy ügynökség megnevezése és elérhetősége;
b) az adatvédelmi tisztviselő elérhetősége;
c) a műveleti vonatkozású személyes adatok tervezett kezelésének célja;
d) az európai adatvédelmi biztosnál való panaszbenyújtási joga és az európai adatvédelmi biztos elérhetőségei;
e) az érintett azon joga, hogy kérheti az adatkezelőtől a rá vonatkozó műveleti vonatkozású személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.
(2) Annak érdekében, hogy az érintett gyakorolni tudja jogait, az adatkezelő az uniós jogban meghatározott konkrét esetekben az (1) bekezdésben említetteken felül tájékoztatja a címzettet:
a) az adatkezelés jogalapjáról;
b) a műveleti vonatkozású személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
c) adott esetben a műveleti vonatkozású személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;
d) szükség esetén további információkról, különösen akkor, ha a műveleti vonatkozású személyes adatok gyűjtésére az érintett tudomása nélkül került sor.
(3) Az adatkezelő az érintett (2) bekezdés szerinti tájékoztatását annyiban és addig késleltetheti, korlátozhatja vagy mellőzheti, amennyiben és ameddig az említett intézkedés - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:
a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;
b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;
c) biztosított legyen a tagállamok közbiztonságának védelme;
d) biztosított legyen a tagállamok nemzetbiztonságának védelme;
e) biztosított legyen mások - például a sértettek és a tanúk - jogainak és szabadságainak védelme.
80. cikk
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy műveleti vonatkozású személyes adatait kezelik-e, és ha igen, az érintett jogosult a műveleti vonatkozású személyes adatokhoz és a következő információkhoz hozzáférni:
a) az adatkezelés céljai és jogalapja;
b) az érintett műveleti vonatkozású személyes adatok kategóriái;
c) azon címzettek vagy a címzettek azon kategóriái, akikkel, illetve amelyekkel a műveleti vonatkozású személyes adatokat közölték, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a műveleti vonatkozású személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérheti az adatkezelőtől a rá vonatkozó műveleti vonatkozású személyes adatok helyesbítését, törlését, vagy kezelésének korlátozását;
f) az európai adatvédelmi biztosnál való panaszbenyújtási joga és az európai adatvédelmi biztos elérhetősége;
g) tájékoztatás az adatkezelés tárgyát képező műveleti vonatkozású személyes adatokról és az azok forrására vonatkozó minden elérhető információ.
8 l. cikk
A hozzáférési jog korlátozása
(1) Az adatkezelő teljesen vagy részlegesen korlátozhatja az érintett hozzáférési jogát annyiban és addig, amennyiben és ameddig e részleges vagy teljes korlátozás - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:
a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;
b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;
c) biztosított legyen a tagállamok közbiztonságának védelme;
d) biztosított legyen a tagállamok nemzetbiztonságának védelme;
e) biztosított legyen mások - például a sértettek és a tanúk - jogainak és szabadságainak védelme.
(2) Az (1) bekezdésben említett esetekben az adatkezelő írásban és indokolatlan késedelem nélkül tájékoztatja az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha annak nyújtása ellentétes lenne az (1) bekezdésben foglalt valamelyik céllal. Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz. Az adatkezelő nyilvántartja a döntés ténybeli vagy jogi indokait. Ezeket az információkat kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.
82. cikk
A műveleti vonatkozású személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog
(1) Bármely érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan műveleti vonatkozású személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos műveleti vonatkozású személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.
(2) Az adatkezelő indokolatlan késedelem nélkül törli a műveleti vonatkozású személyes adatokat, az érintett pedig jogosult arra, hogy kérésére a rá vonatkozó műveleti vonatkozású személyes adatokat az adatkezelő indokolatlan késedelem nélkül törölje, ha az adatkezelés sérti a 71. cikket, a 72. cikk (1) bekezdését vagy a 76. cikket, vagy ha a műveleti vonatkozású személyes adatokat az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez törölni kell.
(3) Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:
a) az érintett vitatja a személyes adatok pontosságát, és pontosságuk vagy pontatlanságuk nem állapítható meg egyértelműen; vagy
b) a személyes adatokat bizonyítás céljából meg kell őrizni.
Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.
A zárolt adatokat csak abból a célból lehet kezelni, amely miatt törlésükre nem kerülhetett sor.
(4) Az adatkezelő írásban tájékoztatja az érintettet, ha megtagadja a műveleti vonatkozású személyes adatok helyesbítését, törlését vagy az adatkezelés korlátozását, valamint a megtagadás okairól. Az adatkezelő teljesen vagy részlegesen korlátozhatja az ilyen információk rendelkezésre bocsátását annyiban, amennyiben e korlátozás - kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:
a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;
b) ne szenvedjen sérelmet a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;
c) biztosított legyen a tagállamok közbiztonságának védelme;
d) biztosított legyen a tagállamok nemzetbiztonságának védelme;
e) biztosított legyen mások - például a sértettek és a tanúk - jogainak és szabadságainak védelme.
Az adatkezelő tájékoztatja az érintettet arról, hogy panaszt nyújthat be az európai adatvédelmi biztoshoz, illetve bírósági jogorvoslatért fordulhat a Bírósághoz.
(5) Az adatkezelő tájékoztatja a pontatlan műveleti vonatkozású személyes adatok helyesbítéséről azt az illetékes hatóságot, amelytől a műveleti vonatkozású pontatlan személyes adat származik.
(6) Ha a műveleti vonatkozású személyes adatokat helyesbítették vagy törölték, illetve az adatkezelést korlátozták az (1), a (2) vagy a (3) bekezdés értelmében, az adatkezelő értesíti a címzetteket, és tájékoztatja őket, hogy saját felelősségi körükön belül kell a műveleti vonatkozású személyes adatokat helyesbíteniük vagy törölniük, illetve azok kezelését korlátozniuk.
83. cikk
A hozzáférés joga a bűnügyi nyomozások és büntetőeljárások során
Ha a műveleti vonatkozású személyes adatok illetékes hatóságtól származnak, az uniós szerveknek, hivataloknak és ügynökségeknek az érintett hozzáférési jogáról való döntést megelőzően ellenőrizniük kell az érintett illetékes hatóságnál, hogy az ilyen személyes adatokat az említett illetékes hatóság tagállamában bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy nyilvántartás vagy ügyirat tartalmazza-e. Amennyiben igen, a hozzáférés jogáról való döntést az érintett illetékes hatósággal konzultálva és vele szoros együttműködésben kell meghozni.
84. cikk
Az érintett jogainak gyakorlása és az európai adatvédelmi biztos általi ellenőrzés
(1) A 79. cikk (3) bekezdése, a 81. cikk és a 82. cikk (4) bekezdésében említett esetekben az érintett jogainak gyakorlására az európai adatvédelmi biztos közreműködésével is sor kerülhet.
(2) Az adatkezelő tájékoztatja az érintettet arról, hogy jogait az (1) bekezdés értelmében az európai adatvédelmi biztos közreműködésével is gyakorolhatja.
(3) Az (1) bekezdésben említett jog gyakorlása esetén az európai adatvédelmi biztos az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. Az európai adatvédelmi biztos arról is tájékoztatja az érintettet, hogy joga van bírósági jogorvoslatért a Bírósághoz fordulni.
85. cikk
Beépített és alapértelmezett adatvédelem
(1) Az adatkezelő a tudomány és a technológia állása és a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket - például álnevesítést - hajt végre, amelyek célja az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, valamint az e rendeletben és az adatkezelőt létrehozó jogi aktusban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint csak olyan műveleti vonatkozású személyes adatok kezelésére kerüljön sor, amelyek megfelelőek, relevánsak és nem lépik túl az adatkezelés céljához szükséges mértéket. Ez a kötelezettség vonatkozik a gyűjtött műveleti vonatkozású személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a műveleti vonatkozású személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú természetes személy számára.
86. cikk
Közös adatkezelők
(1) Ha két vagy több adatkezelő vagy egy vagy több adatkezelő egy vagy több uniós intézményektől és szervektől eltérő adatkezelővel közösen határozza meg az adatkezelés céljait és eszközeit, akkor közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti adatvédelmi kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 79. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet, ha és annyiban, amennyiben a felelősségi körnek a közös adatkezelők közötti megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettel szembeni szerepét és a vele való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában vagy mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.
87. cikk
Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek elégséges garanciákat nyújtanak az adatkezelés e rendelet és az adatkezelőt létrehozó jogi aktus követelményeinek való megfelelését és az érintett jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést - az adatkezelés tárgyát, időtartamát, jellegét és célját, a műveleti vonatkozású személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó - olyan szerződésnek vagy olyan uniós vagy a tagállami jog szerinti más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Az említett szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) csak az adatkezelő utasítása alapján jár el;
b) biztosítja azt, hogy a műveleti vonatkozású személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló, megfelelő titoktartási kötelezettség alatt állnak;
c) minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;
d) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden műveleti vonatkozású személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós jog vagy a tagállami jog a műveleti vonatkozású személyes adatok tárolását írja elő;
e) az e cikkben meghatározott kötelezettségek teljesítésének bizonyításához szükséges minden információt az adatkezelő rendelkezésére bocsát;
f) teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) bekezdésben és az e bekezdésben említett feltételeket.
(4) A (3) bekezdésben említett szerződést vagy más jogi aktust írásba - ideértve az elektronikus formátumot is - kell foglalni.
(5) Ha egy adatfeldolgozó e rendeletet vagy az adatkezelőt létrehozó jogi aktust sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor az adatfeldolgozót az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
88. cikk
Naplózás
(1) Az adatkezelő naplót vezet az automatizált adatkezelési rendszerben végrehajtott következő adatkezelési műveletekről: a műveleti vonatkozású személyes adatok gyűjtése, megváltoztatása, az azokat érintő hozzáférés, betekintés, azok közlése - ideértve a továbbítást is -, összekapcsolása és törlése. A betekintésre és a közlésre vonatkozó naplóknak lehetővé kell tenniük e műveletek indokoltságának, dátumának és időpontjának, valamint a műveleti vonatkozású személyes adatba betekintők vagy azt közlők személyazonosságának, illetve - lehetőség szerint - az ilyen műveleti vonatkozású személyes adatok címzettjei személyazonosságának a megállapítását.
(2) A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, a műveleti vonatkozású személyes adatok integritásának és biztonságának biztosítására, valamint büntetőeljárások keretében használhatók fel. Az ilyen naplókat három év elteltével törölni kell, kivéve, ha azokra folyamatban lévő ellenőrzés céljából továbbra is szükség van.
(3) Az adatkezelők kérésre a naplókat saját adatvédelmi tisztviselőjük és az európai adatvédelmi biztos rendelkezésére bocsátják.
89. cikk
Adatvédelmi hatásvizsgálat
(1) Ha az adatkezelés valamely - különösen új technológiákat alkalmazó - típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a műveleti vonatkozású személyes adatok védelmét hogyan érintik.
(2) Az (1) bekezdésben említett hatásvizsgálatnak ki kell terjednie legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelését célzó tervezett intézkedésekre, a műveleti vonatkozású személyes adatok védelmét és az adatvédelmi szabályoknak való megfelelés igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákra, biztonsági intézkedésekre és mechanizmusokra.
90. cikk
Előzetes egyeztetés az európai adatvédelmi biztossal
(1) Az adatkezelő konzultál az európai adatvédelmi biztossal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:
a) a 89. cikk szerinti adatvédelmi hatásvizsgálat azt jelzi, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy
b) az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.
(2) Az európai adatvédelmi biztos létrehozhat egy listát azokról az adatkezelési műveletekről, amelyek az (1) bekezdés értelmében előzetes konzultáció tárgyát képezik.
(3) Az adatkezelő az európai adatvédelmi biztos rendelkezésére bocsátja a 89. cikkben említett adatvédelmi hatásvizsgálatot, valamint kérésre az összes olyan egyéb információt, amely lehetővé teszi az európai adatvédelmi biztos számára az adatkezelés megfelelőségének, valamint különösen az érintett műveleti vonatkozású személyes adatainak védelmére vonatkozó kockázatoknak és a kapcsolódó garanciáknak a vizsgálatát.
(4) Ha az európai adatvédelmi biztos véleménye szerint az (1) bekezdésben említett tervezett adatkezelés megsértené e rendeletet vagy az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktust - különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette -, az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított legfeljebb hat héten belül írásban tanácsot ad az adatkezelőnek. Ez a határidő - a tervezett adatkezelés összetettségétől függően - egy hónappal meghosszabbítható. Az európai adatvédelmi biztos a konzultáció iránti kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt a meghosszabbításról és a késedelem okairól.
91. cikk
A műveleti vonatkozású személyes adatok kezelésének biztonsága
(1) Az adatkezelő a tudomány és a technológia állása, a megvalósítás költségei, valamint az adatkezelés jellege, hatóköre, körülményei és céljai, továbbá a természetes személyek jogait és szabadságait érintő, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot biztosítson, különösen a műveleti vonatkozású személyes adatok különleges kategóriáinak kezelését illetően.
(2) Az automatizált adatkezelés tekintetében az adatkezelő és az adatfeldolgozó a kockázatok értékelését követően intézkedéseket tesz a következő célok érdekében:
a) a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez ("berendezésekhez való hozzáférés ellenőrzése");
b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása ("adathordozók ellenőrzése");
c) a műveleti vonatkozású személyes adatok jogosulatlan bevitelének, valamint a tárolt műveleti vonatkozású személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása ("tárolás ellenőrzése");
d) az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása "(felhasználók ellenőrzése");
e) annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek csak a hozzáférési engedélyben meghatározott műveleti vonatkozású személyes adatokhoz férjenek hozzá ("az adatokhoz való hozzáférés ellenőrzése");
f) annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a műveleti vonatkozású személyes adatokat adatátvitel útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre ("adatátvitel ellenőrzése");
g) annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely műveleti vonatkozású személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a műveleti vonatkozású személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);
h) a műveleti vonatkozású személyes adatok jogosulatlan leolvasásának, másolásának, módosításának vagy törlésének megakadályozása a műveleti vonatkozású személyes adatok továbbítása vagy az adathordozók szállítása során ("szállítás ellenőrzése");
i) annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók legyenek ("helyreállítás");
j) annak biztosítása, hogy a rendszer teljesítse feladatait, hogy a feladatok során fellépő hibákról jelentés készüljön ("megbízhatóság"), és hogy a tárolt műveleti vonatkozású személyes adatok a rendszer hibás működése esetén ne sérüljenek ("integritás").
92. cikk
Az adatvédelmi incidens bejelentése az európai adatvédelmi biztosnak
(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az európai adatvédelmi biztosnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az európai adatvédelmi biztoshoz való bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett műveleti vonatkozású személyes adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(3) Ha és amennyiben nem lehetséges a (2) bekezdésben említett információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(4) Az adatkezelő nyilvántartja az (1) bekezdésben említett összes adatvédelmi incidenst, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy az európai adatvédelmi biztos ellenőrizze az e cikk követelményeinek való megfelelést.
(5) Ha az adatvédelmi incidens során olyan műveleti vonatkozású személyes adat sérült, amelyet az illetékes hatóságok továbbítottak, vagy amelyet részükre továbbítottak, az adatkezelőnek a (2) bekezdésben említett információkat indokolatlan késedelem nélkül közölnie kell az érintett illetékes hatóságokkal.
93. cikk
Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 92. cikk (2) bekezdésének b), c) és d) pontjában előírt információkat és ajánlásokat.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett műveleti vonatkozású személyes adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - például a titkosítást -, amelyek a műveleti vonatkozású személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogait és szabadságait érintő, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, az európai adatvédelmi biztos, miután mérlegelte annak valószínűségét, hogy az adatvédelmi incidens magas kockázattal jár, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.
(5) Az érintettnek az e cikk (1) bekezdésében említett tájékoztatása a 79. cikk (3) bekezdésében említett feltételekkel és okokból késleltethető, korlátozható vagy elhagyható.
94. cikk
Műveleti vonatkozású személyes adatok továbbítása harmadik országoknak és nemzetközi szervezeteknek
(1) Az uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktusban megállapított korlátozások és feltételek mellett az adatkezelő továbbíthat műveleti vonatkozású személyes adatokat egy harmadik országbeli hatóságnak vagy egy nemzetközi szervezetnek, amennyiben e továbbítás az adatkezelő feladatainak ellátásához szükséges, és csak akkor, ha az e cikkben rögzített következő feltételek teljesülnek:
a) a Bizottság az (EU) 2016/680 irányelv 36. cikkének (3) bekezdésével összhangban megfelelőségi határozatot fogadott el arról, hogy a harmadik ország vagy a harmadik országon belüli terület vagy adatkezelő ágazat, vagy az érintett nemzetközi szervezet megfelelő szintű védelmet biztosít;
b) a Bizottság a) pont szerinti megfelelőségi határozatának hiányában az Unió és a harmadik ország vagy nemzetközi szervezet által az EUMSZ 218. cikke értelmében nemzetközi megállapodás jött létre, amely megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme tekintetében;
c) a Bizottság a) pont szerinti megfelelőségi határozatának vagy a b) pont szerinti nemzetközi megállapodásnak hiányában együttműködési megállapodást kötöttek meg, amely lehetővé teszi a műveleti vonatkozású személyes adatok cseréjét az adott uniós szerv, hivatal vagy ügynökség és az érintett harmadik ország között az érintett uniós szervet, hivatalt vagy ügynökséget létrehozó jogi aktus alkalmazásának kezdőnapja előtt;
(2) Az uniós szerveket, hivatalokat és ügynökségeket létrehozó jogi aktus fenntarthatja a műveleti vonatkozású személyes adatok nemzetközi továbbításának feltételeire vonatkozó rendelkezéseket, vagy részletesebb rendelkezéseket vezethet be, különösen a személyes adatok továbbítására vonatkozóan megfelelő garanciák és a konkrét helyzetekre vonatkozó eltérések bevezetésével.
(3) Az adatkezelő a honlapján olyan jegyzéket tesz közzé és tart naprakészen, amely tartalmazza az (1) bekezdés a) pontjában említett megfelelőségi határozatokat, a megállapodásokat, az igazgatási megállapodásokat, valamint a műveleti vonatkozású személyes adatoknak az (1) bekezdéssel összhangban történő továbbítására vonatkozó egyéb jogi eszközöket.
(4) Az adatkezelő részletesen dokumentálja az ezen cikk értelmében végzett összes adattovábbítást.
95. cikk
Az igazságügyi vizsgálatok és a büntetőeljárások titkossága
Az uniós szerveket, hivatalokat vagy ügynökségeket létrehozó jogi aktusok az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése tekintetében előírhatják az európai adatvédelmi biztos számára, hogy felügyeleti hatáskörének gyakorlása során az uniós vagy tagállami joggal összhangban a lehető legnagyobb mértékben vegye figyelembe az igazságügyi vizsgálatok és a büntetőeljárások titkosságát.
X. FEJEZET
VÉGREHAJTÁSI JOGI AKTUSOK
96. cikk
A bizottsági eljárás
(1) A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
XI. FEJEZET
FELÜLVIZSGÁLAT
97. cikk
Felülvizsgálatra vonatkozó rendelkezés
A Bizottság legkésőbb 2022. április 30-ig, és azt követően ötévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet alkalmazásáról, szükség esetén megfelelő jogalkotási javaslatokkal együtt.
98. cikk
Uniós jogi aktusok felülvizsgálata
(1) A Bizottság 2022. április 30-ig felülvizsgálja azokat a Szerződések alapján elfogadott jogi aktusokat, amelyek a műveleti vonatkozású személyes adatoknak az uniós szervek, hivatalok vagy ügynökségek által az EUMSZ harmadik része V. címe 4. vagy 5. fejezetének hatálya alá tartozó tevékenységek végzése során történő kezelését szabályozzák annak érdekében, hogy
a) értékelje az (EU) 2016/680 irányelvvel és e rendelet IX. fejezetével való egységességet;
b) azonosítsa azokat az eltéréseket, amelyek akadályozhatják a műveleti vonatkozású személyes adatoknak az adott területhez tartozó tevékenységeket végző uniós szervek, hivatalok vagy ügynökségek és az illetékes hatóságok közötti cseréjét; és
c) azonosítsa azokat az eltéréseket, amelyek az uniós adatvédelmi jogszabályok széttagoltságát okozhatják.
(2) E felülvizsgálat alapján a természetes személyeknek az adatkezelés tekintetében történő egységes és következetes védelme érdekében a Bizottság, különösen e rendelet IX. fejezetének az Europolra és az Európai Ügyészségre való alkalmazása - ideértve e rendelet IX. fejezetének szükség szerinti kiigazítását is - érdekében megfelelő jogalkotási javaslatokat terjeszthet elő.
XII. FEJEZET
ZÁRÓ RENDELKEZÉSEK
99. cikk
A 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezése
A 45/2001/EK rendelet és az 1247/2002/EK határozat 2018. december 11-ével kezdődően hatályát veszti. A hatályon kívül helyezett rendeletre és határozatra való hivatkozásokat erre a rendeletre történő hivatkozásnak kell tekinteni.
100. cikk
Átmeneti intézkedések
(1) Ez a rendelet nem érinti a 2014/886/EU európai parlamenti és tanácsi határozatot ( 6 ), valamint az európai adatvédelmi biztos és a helyettes biztos jelenlegi megbízatását.
(2) A helyettes biztos a javadalmazás, a juttatások, az öregségi nyugdíj és a javadalmazás helyett nyújtott más díjazások meghatározása tekintetében a Bíróság hivatalvezetőjével egyenrangúnak tekintendő.
(3) A jelenlegi helyettes biztosra e rendelet 53. cikkének (4), (5) és (7) bekezdését, valamint 55. és 56. cikkét hivatali ideje végéig kell alkalmazni.
(4) A helyettes biztos a jelenlegi helyettes biztos hivatali idejének lejártáig segíti az európai adatvédelmi biztost a feladatai ellátásában, és helyettesíti az európai adatvédelmi biztost a távolléte vagy akadályoztatása esetén.
101. cikk
Hatálybalépés és alkalmazás
(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2) E rendelet azonban 2019. december 12. [a pe-cons 37/2018 dokumentumban található rendelet alkalmazásának időpontja] -tól/-től alkalmazandó a személyes adatok Eurojust által végzett kezelésére.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
( ) Az Európai Parlament és a Tanács (EU) 2016/794 rendelete (2016. május 11.) a Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, a 2009/934/IB, a 2009/935/IB, a 2009/936/IB és a 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről (HL L 135., 2016.5.24., 53. o.).
( ) A Tanács (EU) 2017/1939 rendelete (2017. október 12.) az Európai Ügyészség létrehozására vonatkozó megerősített együttműködés bevezetéséről (HL L 283., 2017.10.31., 1. o.).
( ) Az Európai Parlament és a Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.).
( ) A Bizottság 2008/63/EK irányelve (2008. június 20.) a távközlési végberendezések piacán folyó versenyről (HL L 162., 2008.6.21., 20. o.).
( ) A Tanács 2009/917/IB határozata (2009. november 30.) az információs technológia vámügyi alkalmazásáról (HL L 323., 2009.12.10., 20. o.).
( ) Az Európai Parlament és a Tanács 2014/886/EU határozata (2014. december 4.) az európai adatvédelmi biztos és a helyettes biztos kinevezéséről (HL L 351., 2014.12.9., 9. o.).
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32018R1725 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32018R1725&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02018R1725-20181121 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02018R1725-20181121&locale=hu