Általános adatvédelmi szabályzat
számú RENDELET A természetes személyek személyes adatok feldolgozása során történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 679/27/EK irányelv (Általános Adatvédelmi Rendelet) hatályon kívül helyezéséről szóló, 2016. április 95-i 46.
(31. október 2018-én az aktus a 174/2018.
(25. május 2018-én lásd a 743/16-May-2018 határozat pályázati hivatkozásait) (06. október 2016-án a törvény az 1629/14-Sep-2016 irányelvhez kapcsolódott)
(05. május 2016-én a törvény a 680/27-Apr-2016 irányelvhez kapcsolódott)
(Az EGT-re vonatkozó szöveg)
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre, és különösen annak 16. cikkére,
figyelembe véve az Európai Bizottság javaslatát,
a jogalkotási aktus tervezetének a nemzeti parlamentekhez történő benyújtását követően,
figyelembe véve az Európai Gazdasági és Szociális Bizottság véleményét (1),
(1) HL C 229., 31.7.2012., 90. o.
figyelembe véve a Régiók Bizottsága véleményét (2),
(2) HL C 391., 18.12.2012., 127. o.
a rendes jogalkotási eljárásnak megfelelően [3],
(3) Az Európai Parlament 12. március 2014-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 8. április 2016-i első olvasatbeli álláspontja (a Hivatalos Lapban még nem tették közzé). Az Európai Parlament 14. április 2016-i álláspontja.
mivel:
(1) A természetes személyek személyes adatok kezelésével kapcsolatos védelme alapvető jog. Az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rendelkezik minden személy jogáról a rá vonatkozó személyes adatok.
(2) A természetes személyek személyes adatainak feldolgozása során történő védelmére vonatkozó elveknek és szabályoknak – a természetes személyek állampolgárságától vagy lakóhelyétől függetlenül – tiszteletben kell tartaniuk alapvető jogaikat és szabadságaikat, különösen a védelemhez való jogot. személyes adatok. E rendelet célja, hogy hozzájáruljon a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megvalósításához, a gazdasági és társadalmi fejlődéshez, a gazdaságok belső piacon belüli konszolidációjához és konvergenciájához, valamint a természetes személyek jólétéhez. . (3) A 95/46/EK európai parlamenti és tanácsi irányelv (4) célja a természetes személyek alapvető jogai és szabadságai védelmének szintjének harmonizálása a feldolgozási tevékenységek tekintetében, valamint a személyes adatok szabad mozgásának biztosítása tagállamok . (4) Az Európai Parlament és a Tanács 95. október 46-i 24/1995/EK irányelve a természetes személyeknek a személyes adatok feldolgozása során történő védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 23.11.1995.) , 31. o.).
(4) A személyes adatok feldolgozásának a polgárok szolgálatában kell állnia. A személyes adatok védelméhez való jog nem abszolút jog; azt a társadalomban betöltött funkciójához viszonyítva, más alapjogokkal egyensúlyban kell tartani, az arányosság elvének megfelelően. Ez a rendelet tiszteletben tartja a Chartában elismert valamennyi alapvető jogot és szabadságot és elvet, amelyeket a szerződések rögzítenek, különös tekintettel a magán- és családi életre, a tartózkodásra és a kommunikációra, a személyes adatok védelmére, a gondolat-, lelkiismereti és vallásszabadságra, valamint a véleménynyilvánítás és a tájékoztatás, a kereskedelmi tevékenység végzésének szabadsága, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog, valamint a kulturális, vallási és nyelvi sokszínűség.
(5) A belső piac működéséből adódó gazdasági és társadalmi integráció a személyes adatok határokon átnyúló áramlásának jelentős növekedéséhez vezetett. A személyes adatok köz- és magánszereplők – köztük természetes személyek, egyesületek és vállalkozások – közötti cseréje Unió-szerte felerősödött. Az uniós jog szerint a tagállamok nemzeti hatóságait együttműködésre és személyes adatok cseréjére hívják fel annak érdekében, hogy feladataikat egy másik tagállam hatósága nevében el tudják látni, vagy feladatokat láthassanak el.
(6) A gyors technológiai fejlődés és a globalizáció új kihívásokat támaszt a személyes adatok védelme terén. A személyes adatok gyűjtésének és cseréjének köre jelentősen megnőtt. A technológia lehetővé teszi mind a magáncégek, mind a hatóságok számára a személyes adatok példátlan mértékű felhasználását tevékenységeik során. Egyre több természetes személy tesz közzé személyes adatokat világszerte. A technológia átalakította mind a gazdaságot, mind a társadalmi életet, és tovább kell könnyítenie a személyes adatok Unión belüli szabad mozgását, valamint a harmadik országoknak és nemzetközi szervezeteknek történő továbbítását, ezzel egyidejűleg biztosítva a személyes adatok magas szintű védelmét.
(7) Ezek a fejlemények szilárd és koherensebb uniós adatvédelmi keretet igényelnek, amelyet a szabályok szigorú alkalmazása kísér, figyelembe véve a bizalmi légkör megteremtésének fontosságát, amely lehetővé teszi a digitális gazdaság fejlődését. a belső piac. Az egyéneknek rendelkezniük kell személyes adataik felett, és meg kell erősíteni az egyének, a gazdasági szereplők és a hatóságok jogi és gyakorlati biztonságát.
(8) Ha ez a rendelet előírja szabályainak a nemzeti jog által történő meghatározását vagy korlátozását, a tagállamok, amennyiben ez szükséges a koherencia és annak biztosítására, hogy azok a személyek, akikre vonatkoznak, megértsék a nemzeti rendelkezéseket, e rendelet elemeit beépítik nemzeti jogukba.
(9) A 95/46/EK irányelv célkitűzései és elvei továbbra is szilárdak, de ez nem akadályozta meg az adatvédelem Unión belüli végrehajtásának széttagoltságát, a jogbizonytalanságot vagy azt a széles körben elterjedt közvélekedést, hogy jelentős kockázatok vannak természetes személyek védelme, különösen az online tevékenységgel kapcsolatban. A természetes személyek jogai és szabadságai – különösen a személyes adatok védelméhez való jog – védelmének szintjei közötti különbségek a személyes adatok feldolgozása tekintetében a tagállamokban akadályozhatják a személyes adatok szabad áramlását az Unión belül. . Ezek a különbségek tehát akadályt jelenthetnek az uniós szintű gazdasági tevékenységek végzésében, torzíthatják a versenyt, és megakadályozhatják a hatóságokat az uniós jog szerinti kötelezettségeik teljesítésében. A védelmi szintek közötti különbséget a 95/46/EK irányelv átültetése és alkalmazása tekintetében fennálló különbségek okozzák.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása, valamint a személyes adatok Unión belüli áramlása útjában álló akadályok felszámolása érdekében a természetes személyek jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása tekintetében. minden tagállamban egyenértékűnek kell lennie. Unió-szerte biztosítani kell a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és homogén alkalmazását a személyes adatok kezelése tekintetében. A személyes adatok jogi kötelezettség teljesítése, közérdeket szolgáló vagy az üzemeltetővel megbízott közhatalom gyakorlásából eredő feladat ellátása érdekében a tagállamok számára lehetővé kell tenni, hogy fenntartsák ill. bevezetni a hazai jog rendelkezéseit e rendelet szabályainak alkalmazásának nagyobb mértékű egyértelművé tétele érdekében. A 95/46/EK irányelvet végrehajtó általános és horizontális adatvédelmi jogszabályokkal összefüggésben a tagállamok több speciális ágazati törvényt is alkalmaznak a pontosabb rendelkezéseket igénylő területeken. Ez a rendelet mozgásteret ad a tagállamoknak a szabályok meghatározásában, beleértve a személyes adatok különleges kategóriáinak ("érzékeny adatok") feldolgozását is. Ebben az értelemben ez a szabályozás nem zárja ki azt a tagállami jogot, amely meghatározza az egyes adatkezelési helyzetekkel kapcsolatos körülményeket, ideértve a személyes adatok kezelésének jogszerű feltételeinek pontosabb meghatározását.
(11) A személyes adatok Unió-szerte érvényes hatékony védelme nemcsak az érintettek jogainak, valamint a személyes adatok feldolgozóinak és a kezelésükről döntők kötelezettségeinek egységes szerkezetbe foglalását és részletes megállapítását követeli meg, hanem egyenértékű jogosítványokat is.
a személyes adatok védelmére vonatkozó szabályok és az ezzel egyenértékű bûncselekményekre vonatkozó szankciók betartásának figyelemmel kísérése és biztosítása a tagállamokban.
(12) Az EUMSZ 16. cikkének (2) bekezdése felhatalmazza az Európai Parlamentet és a Tanácsot a természetes személyek személyes adatok feldolgozásával kapcsolatos védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályok megállapítására.
(13) A természetes személyek Unió-szerte egységes védelmének biztosítása, valamint az adatok belső piacon belüli szabad mozgását akadályozó eltérések megelőzése érdekében rendeletre van szükség a gazdasági szereplők jogbiztonságának és átláthatóságának biztosítása érdekében, ideértve a mikrovállalkozásokat, valamint a kis- és középvállalkozásokat is, valamint hogy a természetes személyeknek minden tagállamban azonos szintű, jogilag érvényesíthető jogokat, kötelezettségeket és felelősségeket kínáljanak az üzemeltetők és meghatalmazottjaik számára az adatok koherens nyomon követésének biztosítása érdekében. személyes jellegű feldolgozás, minden tagállamban egyenértékű szankciók, valamint a különböző tagországok felügyeleti hatóságainak hatékony együttműködése. A belső piac megfelelő működéséhez szükséges, hogy a személyes adatok Unión belüli szabad mozgását ne korlátozzák vagy tiltsák a természetes személyek személyes adatok kezelése tekintetében történő védelmével kapcsolatos okok miatt. A mikrovállalkozások, valamint a kis- és középvállalkozások sajátos helyzetének figyelembevétele érdekében ez a rendelet eltérést tartalmaz a 250 főnél kevesebb alkalmazottat foglalkoztató szervezetekre vonatkozóan a nyilvántartás tekintetében. Ezenkívül az Unió és a tagállamok intézményeit és szerveit, valamint felügyeleti hatóságaikat arra ösztönzik, hogy e rendelet alkalmazása során vegyék figyelembe a mikrovállalkozások, valamint a kis- és középvállalkozások sajátos igényeit. A mikrovállalkozások, valamint a kis- és középvállalkozások fogalmának a 2/2003/EK bizottsági ajánlás (361) mellékletének 1. cikkén kell alapulnia. (1) A Bizottság 2003. május 361-i 6/2003/EK ajánlása a mikrovállalkozások, valamint a kis- és középvállalkozások meghatározásáról [C(2003) 1422] (HL L 124., 20.5.2003., 36. o.).
(14) Az e rendelet által biztosított védelemnek személyes adataik feldolgozása tekintetében a természetes személyeket kell érintenie, állampolgárságuktól vagy lakóhelyüktől függetlenül. Jelen szabályozás nem vonatkozik a jogi személyekre és különösen a jogi személyiséggel rendelkező társaságokra vonatkozó személyes adatok kezelésére, ideértve a jogi személy nevét és típusát, valamint a jogi személy elérhetőségét.
(15) A kijátszás jelentős kockázatának megelőzése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie, és nem függhet az alkalmazott technológiáktól. A természetes személyek védelmét a személyes adatok automatizált módon történő feldolgozására, valamint a kézi feldolgozásra is alkalmazni kell, ha a személyes adatot nyilvántartási rendszer tartalmazza, vagy rögzíteni kívánják. A nem meghatározott kritériumok szerint felépített akták vagy iratkészletek, valamint azok borítói nem tartoznak e rendelet hatálya alá.
(16) Ez a rendelet nem vonatkozik az alapvető jogok és szabadságok védelmével vagy a személyes adatok szabad áramlásával kapcsolatos ügyekre, amelyek nem tartoznak az uniós jog hatálya alá, például a nemzetbiztonsággal kapcsolatos tevékenységekhez. Ez a rendelet nem vonatkozik a személyes adatok tagállamok általi kezelésére, amikor az Unió külpolitikájával és közös biztonságával kapcsolatos tevékenységet folytatnak. (17) A 45/2001. Az Európai Parlament és a Tanács 2/45/EK rendelete (2001) vonatkozik a személyes adatoknak az Unió intézményei, szervei és ügynökségei általi feldolgozására. számú (EK) rendelet A 45/2001 rendeletet és a személyes adatok ilyen feldolgozására vonatkozó egyéb uniós jogi aktusokat hozzá kell igazítani az e rendeletben megállapított elvekhez és szabályokhoz, és e rendelettel összhangban kell alkalmazni. Az Unión belüli adatvédelem szilárd és koherens keretének biztosítása érdekében e rendelet elfogadását követően az (EK) sz. XNUMX/XNUMX. számú rendelete alapján a szükséges kiigazításokat, hogy azok e rendelettel együtt alkalmazhatók legyenek.
(2) A 45/2001. Az Európai Parlament és a Tanács 18. december 2000-i 8/12.1.2001 sz. rendelete a természetes személyeknek a személyes adatok közösségi intézmények és szervek általi feldolgozása során történő védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 1., XNUMX.) , XNUMX. o.).
(18) E rendelet nem vonatkozik arra a személyes adatkezelésre, amelyet természetes személy kizárólag személyes vagy belföldi tevékenység keretében végez, és amely így nem kapcsolódik szakmai vagy kereskedelmi tevékenységhez. A személyes vagy otthoni tevékenységek magukban foglalhatják a levelezést és a címjegyzéket vagy a közösségi hálózatokon belüli tevékenységeket, valamint az e tevékenységekkel összefüggésben végzett online tevékenységeket. Ez a szabályozás azonban azokra az üzemeltetőkre vagy az üzemeltetők által felhatalmazott személyekre vonatkozik, akik ilyen személyes vagy belföldi tevékenységekhez biztosítják a személyes adatok feldolgozásának eszközeit.
(19) A természetes személyek védelme a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése vagy büntetőeljárás lefolytatása vagy büntetés végrehajtása céljából történő kezelése tekintetében, beleértve a közbiztonságot fenyegető veszélyek elleni védelmet és azok megelőzését. , valamint ezen adatok szabad áramlása az Unió külön jogi aktusának tárgya. Ezért ez a rendelet nem alkalmazandó az ilyen célú adatfeldolgozási tevékenységekre. A hatóságok által e rendelet értelmében feldolgozott személyes adatokat azonban, amennyiben ezeket a célokat használják fel, egy konkrétabb uniós jogi aktusnak, nevezetesen az (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (1) kell szabályoznia. . A tagállamok megbízhatják az (EU) 2016/680 irányelv értelmében illetékes hatóságokat olyan feladatokkal, amelyeket nem feltétlenül a bűncselekmények megelőzése, kivizsgálása, felderítése vagy üldözése vagy a szankciók végrehajtása céljából hajtanak végre, beleértve a közbiztonságot fenyegető veszélyek elleni védelmet és megakadályozása, hogy a személyes adatok más célból történő kezelése, amennyiben az az uniós jog hatálya alá tartozik, e rendelet hatálya alá tartozzon.
(1) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (27. április 2016.) a természetes személyeknek a személyes adatoknak az illetékes hatóságok általi megelőzés, felderítés, nyomozás vagy büntetőeljárás lefolytatása céljából történő kezelése tekintetében történő védelméről bûncselekményekre vagy azokkal kapcsolatos szankciókra, valamint ezen adatok szabad áramlására, valamint a 2008/977/JAI tanácsi kerethatározat hatályon kívül helyezésére vonatkozóan (lásd e Hivatalos Lap 89. oldalát).
A személyes adatok ezen illetékes hatóságok által az e rendelet hatálya alá tartozó célokból történő feldolgozását illetően a tagállamoknak lehetőséget kell biztosítani arra, hogy részletesebb rendelkezéseket tartsanak fenn vagy vezessenek be e rendelet szabályai alkalmazásának kiigazítása érdekében. Ezek a rendelkezések pontosabban meghatározhatják a személyes adatok illetékes hatóságok általi ezen egyéb célokra történő feldolgozását, figyelembe véve az érintett tagállam alkotmányos, szervezeti és igazgatási felépítését. Ha a személyes adatok magánszervezetek általi kezelése e rendelet hatálya alá tartozik, ennek a rendeletnek lehetővé kell tennie a tagállamok számára, hogy bizonyos feltételek mellett törvényi korlátozásokat írjanak elő bizonyos kötelezettségekre és jogokra, amennyiben az ilyen korlátozások szükségesek és arányosak. intézkedés egy demokratikus társadalomban fontos meghatározott érdekek garantálása érdekében, amelyek között szerepel a közbiztonság, valamint a bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése vagy a büntetés végrehajtása, beleértve a közbiztonságot fenyegető veszélyek elleni védelmet és azok megelőzését. Ez releváns például a pénzmosás elleni küzdelemben vagy a törvényszéki laboratóriumok tevékenységében.
(20) Bár ez a rendelet többek között a bíróságok és más igazságügyi hatóságok tevékenységére is vonatkozik, az uniós vagy a tagállamok joga meghatározhatja a személyes adatok bíróságok és más igazságügyi hatóságok általi feldolgozásával kapcsolatos adatkezelési műveleteket és eljárásokat. . A személyes adatok kezelése nem tartozhat a felügyeleti hatóságok hatáskörébe abban az esetben, ha a bíróságok gyakorolják igazságszolgáltatási jogkörüket annak érdekében, hogy az igazságszolgáltatási rendszer függetlenségét biztosítsák igazságszolgáltatási feladatainak ellátása során, ideértve a döntéshozatalt is. Az ilyen adatkezelési műveletek felügyeletét a tagállam igazságszolgáltatási rendszerén belül meghatározott szervekre kell bízni, amelyeknek különösen biztosítaniuk kell az e rendeletben előírt szabályok betartását, érzékenyíteni kell az igazságszolgáltatási rendszer tagjait azokra a kötelezettségekre vonatkozóan, amelyek e rendelet hatálya alá tartoznak, és az ilyen adatkezelési műveletekkel kapcsolatos panaszok kezelésére.
(21) Ez a rendelet nem érinti a 2000/31/EK európai parlamenti és tanácsi irányelv (2) alkalmazását, különös tekintettel a közvetítő szolgáltatók felelősségére vonatkozó, az említett irányelv 12–15. irányelv. A vonatkozó irányelv célja, hogy hozzájáruljon a belső piac zavartalan működéséhez az információs társadalommal összefüggő szolgáltatások tagállamok közötti szabad mozgásának biztosításával.
(2) Az Európai Parlament és a Tanács 2000/31/EK irányelve (8. június 2000.) a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól (elektronikus kereskedelemről szóló irányelv) (HL L 178., 17.7.2000.) 1, XNUMX. o.
(22) Az üzemeltető irodája vagy az üzemeltető által felhatalmazott személy uniós tevékenysége keretében végzett személyes adatok feldolgozását e rendelettel összhangban kell végrehajtani, függetlenül attól, hogy maga az adatkezelés az Unióban történik-e vagy sem. . A központ egy tevékenység hatékony és valós gyakorlását jelenti, stabil megállapodások keretében. Az ilyen megállapodások jogi formája – fióktelepen vagy jogi személyiséggel rendelkező leányvállalaton keresztül – nem a meghatározó tényező e tekintetben.
(23) Annak biztosítása érdekében, hogy a természetes személyeket ne fossák meg attól a védelemtől, amelyre e rendelet alapján jogosultak, az Unió területén tartózkodó érintett személyek személyes adatainak üzemeltetője vagy arra felhatalmazott személy általi kezelése. az Unióban nem székhellyel rendelkező és az Unióban tartózkodó személynek e rendelet hatálya alá kell tartoznia, ha az adatkezelési tevékenységek az érintettek részére történő áruk vagy szolgáltatások nyújtásához kapcsolódnak, függetlenül attól, hogy azok fizetéshez kapcsolódnak-e vagy sem. Annak megállapításához, hogy az ilyen üzemeltető vagy az üzemeltető által meghatalmazott ilyen személy árut vagy szolgáltatást kínál-e az Unió területén tartózkodó érintetteknek, meg kell állapítani, hogy úgy tűnik, hogy az üzemeltető vagy az üzemeltető által meghatalmazott személy szolgáltatásokat nyújtani az Unió egy vagy több tagállamából származó érintettek számára. Már csak az a tény, hogy elérhető az üzemeltető, az üzemeltető által meghatalmazott személy vagy az Unióban működő közvetítő webhelye, elérhető egy e-mail cím és egyéb elérhetőségi adatok, vagy egy, az üzemeltető által általánosan használt nyelv. harmadik országot használnak, ha az üzemeltető székhelye nem elegendő az ilyen szándék megerősítéséhez, olyan tényezők, mint például egy nyelv vagy egy, egy vagy több tagállamban általánosan használt pénznem használata, az áruk és szolgáltatások ezen a nyelven történő megrendelésének lehetőségével vagy megemlítésével. egyes ügyfelek vagy felhasználók, akik az Unió területén tartózkodnak, arra a következtetésre vezethetnek, hogy az üzemeltető árukat vagy szolgáltatásokat kíván kínálni az Unióban megcélzott személyeknek.
(24) E rendelet hatálya alá kell tartoznia az Unió területén tartózkodó érintettek személyes adatainak olyan üzemeltető vagy az általa meghatalmazott személy által végzett, aki nem az Unióban székhellyel rendelkezik. az ilyen célszemélyek magatartásának nyomon követése, amennyiben ez a magatartás az Unió területén nyilvánul meg. Annak meghatározásához, hogy egy adatkezelési tevékenység az érintettek "viselkedési megfigyelésének" tekinthető-e, meg kell határozni, hogy a természetes személyeket nyomon követik-e az interneten, ideértve a személyes adatfeldolgozási technikák esetleges későbbi alkalmazását is, amely profil létrehozásából áll. természetes személy, különösen a vele kapcsolatos döntések meghozatala vagy személyes preferenciáinak, viselkedésének és attitűdjének elemzése vagy előrejelzése céljából.
(25) Ha a nemzetközi közjog szerint valamely tagállam joga alkalmazandó, ezt a rendeletet olyan gazdasági szereplőre is alkalmazni kell, aki nem az Unióban, hanem például valamely tagállam diplomáciai képviseletén vagy konzuli hivatalán telepedett le. . (26) Az adatvédelem elveit alkalmazni kell minden azonosított vagy azonosítható természetes személyre vonatkozó információra. Azonosítható természetes személyre vonatkozó információnak kell tekinteni az olyan álnevesítésen átesett személyes adatokat, amelyek további információk felhasználása révén természetes személyhez köthetők. Annak megállapítása érdekében, hogy egy természetes személy azonosítható-e, minden olyan eszközt, például az individualizálást, amelyet az adatkezelő vagy egy másik személy ésszerűen felhasználhat azonosítás céljából, közvetlenül vagy közvetve figyelembe kell venni az érintett természetes személyre vonatkozóan. . Annak meghatározása érdekében, hogy ésszerűen valószínű-e a természetes személy azonosítására szolgáló eszközök alkalmazása, mérlegelni kell
figyelembe véve az összes objektív tényezőt, így a költségeket és az azonosításhoz szükséges időintervallumot, figyelembe véve mind a feldolgozás időpontjában rendelkezésre álló technológiát, mind a technológiai fejlődést. Az adatvédelem alapelvei ezért nem vonatkoznak az anonim információkra, azaz azokra az információkra, amelyek nem kapcsolódnak azonosított vagy azonosítható természetes személyhez, vagy olyan személyes adatokhoz, amelyeket úgy anonimizáltak, hogy az érintett személy nem vagy már nem azonosítható. Ezért ez a szabályozás nem vonatkozik az ilyen anonim információk feldolgozására, beleértve azt sem, ha azokat statisztikai vagy kutatási célokra használják fel. (27) E rendelet nem vonatkozik az elhunyt személyekre vonatkozó személyes adatokra. A tagállamok szabályokat állapíthatnak meg az elhunyt személyekre vonatkozó személyes adatok feldolgozására vonatkozóan.
(28) A személyes adatok álnevesítésének alkalmazása csökkentheti az érintett személyek kockázatait, és segítheti az üzemeltetőket és az általuk felhatalmazott személyeket adatvédelmi kötelezettségeik teljesítésében. Az „álnevesítés” fogalmának e rendeletben történő kifejezett bevezetésének célja nem más lehetséges adatvédelmi intézkedések megakadályozása.
(29) Annak érdekében, hogy ösztönözzék az álnevesítés alkalmazását a személyes adatok feldolgozásakor, lehetővé kell tenni az álnevesítést, ugyanakkor lehetővé kell tenni az általános elemzést ugyanazon az üzemeltetőn belül, ha az üzemeltető megtette a szükséges technikai és szervezési intézkedéseket annak biztosítására, hogy rendeletet hajtják végre az adott adatkezelésre vonatkozóan, valamint azt, hogy a személyes adatok adott érintetthez történő hozzárendelésére vonatkozó további információkat külön tárolják. A személyes adatokat feldolgozó üzemeltetőnek meg kell jelölnie a jogosult személyeket ugyanazon az üzemeltetőn belül (30) A természetes személyeket eszközeik, alkalmazásaik, eszközeik és protokolljaik által biztosított online azonosítókkal, például IP-címekkel, cookie-azonosítókkal vagy egyéb azonosítókkal, mint pl. rádiófrekvenciás azonosító címkék. Nyomokat hagyhatnak maguk után, amelyek – különösen egyedi azonosítókkal és a szerverek által kapott egyéb információkkal kombinálva – felhasználhatók természetes személyek profiljának létrehozására és azonosítására.
(31) Azok az állami hatóságok, amelyekkel a személyes adatokat jogszabályi kötelezettségnek megfelelően hatósági feladatuk ellátása érdekében adják át, mint például az adó- és vámhatóságok, a pénzügyi nyomozó egységek, a független közigazgatási hatóságok vagy a pénzügyi piaci hatóságok, amelyek az adóhatóság szabályozásáért és felügyeletéért felelősek. Az értékpapírpiacok nem tekintendők címzettnek, ha olyan személyes adatokat kapnak, amelyek az Unió vagy a tagállamok joga szerint bizonyos közérdekű vizsgálat lefolytatásához szükségesek. A hatóságok által küldött közzétételi kérelmeket mindig írásban, indokolással és alkalmanként kell benyújtani, és nem utalhatnak az iratrendszer egészére, és nem vezethetnek az iratrendszerek összekapcsolásához. A személyes adatoknak az illetékes hatóságok általi feldolgozásának meg kell felelnie a vonatkozó adatvédelmi szabályoknak, összhangban az adatkezelés céljaival.
(32) A hozzájárulást olyan egyértelmű cselekmény útján kell megadni, amely az érintett személyes adatai kezeléséhez való hozzájárulásának szabadon kifejezett, konkrét, tudatos és világos megnyilvánulását jelenti, például írásban tett nyilatkozattal, beleértve az elektronikus vagy szóbeli formátumot is. . Ez magában foglalhatja egy négyzet kipipálását, amikor az érintett felkeres egy webhelyet, az információs társadalommal összefüggő szolgáltatások műszaki paramétereinek megválasztását, vagy bármely más olyan nyilatkozatot vagy intézkedést, amely ebben az összefüggésben egyértelműen jelzi, hogy az érintett elfogadja személyes adatainak javasolt kezelését. Ezért a válasz hiánya, az előre bejelölt négyzetek vagy a cselekvés hiánya nem minősül hozzájárulásnak. A hozzájárulásnak ki kell terjednie az azonos célból vagy ugyanazon célból végzett összes adatfeldolgozási tevékenységre. Ha az adatkezelés több célból történik, a hozzájárulást minden adatkezelési célhoz meg kell adni. Ha az érintett hozzájárulását elektronikus úton megküldött kérelmet követően kell megadni, a kérelemnek egyértelműnek és tömörnek kell lennie, és nem szabad szükségtelenül megzavarnia annak a szolgáltatásnak a használatát, amelyhez a hozzájárulást megadták.
(33) A személyes adatok gyűjtése során gyakran nem lehet teljes mértékben meghatározni a tudományos kutatási célú adatkezelés célját. Emiatt az érintettek megtennék
lehetővé kell tenni számukra, hogy kifejezzék hozzájárulásukat a tudományos kutatás bizonyos területeihez, ha tiszteletben tartják a tudományos kutatás elismert etikai normáit. Az érintetteknek csak bizonyos kutatási területekhez vagy kutatási projektek egyes részeihez kell lehetőséget adni hozzájárulásuk kifejezésére, a tervezett cél által megengedett mértékben.
(34) A genetikai adatot úgy kell meghatározni, mint egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó személyes adatot, amely a szóban forgó természetes személy biológiai anyagának mintájának elemzéséből, különösen kromoszómaelemzésből vagy elemzésből származik. dezoxiribonukleinsav (DNS) vagy ribonukleinsav (RNS) vagy bármely más elem elemzése, amely lehetővé teszi egyenértékű információ megszerzését.
(35) A személyes egészségügyi adatoknak tartalmazniuk kell az érintett egészségével kapcsolatos minden olyan adatot, amely az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy mentális egészségére vonatkozó információkat közöl. Ezek magukban foglalják a természetes személyről az orvosi segítségnyújtási szolgáltatásokra való regisztrációja részeként vagy a szóban forgó természetes személynek nyújtott szolgáltatások részeként gyűjtött információkat, amint az a 2011/24/EU európai parlamenti és hatósági irányelvben szerepel. Tanács (1); a természetes személynek egészségügyi célból egyedi azonosítására rendelt szám, szimbólum vagy megkülönböztető jel; testrész vagy testi anyag vizsgálatából vagy vizsgálatából származó információk, beleértve a genetikai adatokat és a biológiai anyag mintáit; valamint az érintett személy betegségére, fogyatékosságára, betegség kockázatára, kórtörténetére, klinikai kezelésére vagy fiziológiai vagy orvosbiológiai állapotára vonatkozó bármely információ, függetlenül azok forrásától, például orvos vagy más egészségügyi személyzet, kórház , orvostechnikai eszköz vagy in vitro diagnosztikai teszt.
(1) Az Európai Parlament és a Tanács 2011/24/EU irányelve (9. március 2011.) a betegek jogainak a határokon átnyúló egészségügyi ellátásban való alkalmazásáról (HL L 88., 4.4.2011., 45. o.). (36) Az uniós üzemeltető fő székhelye az a hely, ahol központi ügyintézése az Unióban található, kivéve, ha a személyes adatok feldolgozásának céljaira és eszközeire vonatkozó döntéseket az üzemeltető másik uniós székhelyén hozzák meg. Ebben az esetben az utóbbit kell fő létesítménynek tekinteni. Az üzemeltető székhelyét az Unióban objektív kritériumok alapján kell meghatározni, és ennek magában kell foglalnia azon irányítási tevékenységek hatékony és valós gyakorlását, amelyek stabil megállapodásokon belül meghatározzák az adatkezelés céljaira és eszközeire vonatkozó fő döntéseket. Ez a kritérium nem függhet a személyes adatok azon a helyen történő kezelésétől. A technikai eszközök és a személyes adatfeldolgozási technológiák megléte és használata, illetve a feldolgozási tevékenységek nem képezik a központi irodát, ezért e tekintetben nem meghatározó kritériumok. Az üzemeltető által felhatalmazott személy székhelyének azon a helyen kell lennie, ahol központi igazgatása az Unióban található, vagy ha nem rendelkezik központi igazgatással az Unióban, akkor azon a helyen, ahol a fő adatfeldolgozási tevékenységeket az Unióban végzik. . Az üzemeltetőt és az üzemeltető által meghatalmazott személyt egyaránt érintő esetekben az illetékes fő felügyeleti hatóságnak továbbra is annak a tagállamnak a felügyeleti hatósága marad, amelyben az üzemeltető székhelye található, de az üzemeltető által meghatalmazott személy felügyeleti hatósága marad. célzott felügyeleti hatóságnak kell tekinteni, és ennek a felügyeleti hatóságnak részt kell vennie az e rendeletben előírt együttműködési eljárásban. Mindenesetre azon tagállam vagy tagállamok felügyeleti hatóságai, ahol az üzemeltető által felhatalmazott személy egy vagy több irodával rendelkezik, nem tekinthetők érintett felügyeleti hatóságnak, ha a határozattervezet csak az üzemeltetőre vonatkozik. Ha az adatkezelést cégcsoport végzi, a cégcsoport fő székhelyének az irányítást gyakorló társaság székhelyét kell tekinteni, kivéve, ha az adatkezelés céljait és eszközeit egy másik társaság állapítja meg.
(37) A vállalkozáscsoportnak magában kell foglalnia az irányítást gyakorló vállalkozást és az általa ellenőrzött vállalkozásokat, amelyen belül az irányítást gyakorló vállalkozásnak kell lennie annak a vállalkozásnak, amely meghatározó befolyást tud gyakorolni a többi vállalkozás felett, például tulajdonjogán keresztül. a pénzügyi részvétel vagy az azt szabályozó szabályok, vagy a személyes adatok védelmére vonatkozó szabályok végrehajtásának hatásköre. Egy cég, amelyik
ellenőrzi a személyes adatok feldolgozását a kapcsolt vállalkozásaiban, ez utóbbiakkal együtt „vállalatcsoportnak” kell tekinteni.
(38) A gyermekeknek személyes adataik különleges védelmére van szükségük, mivel kevésbé lehetnek tisztában a személyes adatok feldolgozásával kapcsolatos kockázatokkal, következményekkel, garanciákkal és jogaikkal. Ennek a különleges védelemnek különösen a gyermekek személyes adatainak marketingcélú felhasználására vagy személyiség- vagy felhasználói profilok létrehozására, valamint a gyermekek személyes adatainak gyűjtésére kell vonatkoznia a közvetlenül a gyermekek számára kínált szolgáltatások igénybevétele során. A szülői felelősséget gyakorló személy beleegyezése nem szükséges a közvetlenül a gyermekeknek nyújtott megelőzési vagy tanácsadási szolgáltatások keretében.
(39) A személyes adatok feldolgozásának törvényesnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adatokat gyűjtik, felhasználják, betekintést nyernek vagy más módon kezelik, és hogy a személyes adatokat milyen mértékben kezelik vagy fogják feldolgozni. Az átláthatóság elve előírja, hogy az adott személyes adatok feldolgozásával kapcsolatos minden információ és kommunikáció könnyen hozzáférhető és könnyen érthető, valamint egyszerű és világos nyelvezetet kell alkalmazni. Ez az alapelv különösen az érintettek tájékoztatására vonatkozik az üzemeltető személyazonosságára és az adatkezelés céljaira, valamint további információk nyújtására az érintett természetes személyek tekintetében a tisztességes és átlátható adatkezelés biztosítása érdekében, joguk van ahhoz, hogy a rájuk vonatkozó, kezelt személyes adatokat megerősítsék és közöljék velük. Az egyéneket tájékoztatni kell a személyes adatok feldolgozásával kapcsolatos kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy miként gyakorolhatják az adatkezeléssel kapcsolatos jogaikat. Különösen a személyes adatok feldolgozásának konkrét céljainak egyértelműnek és jogszerűnek kell lenniük, és azokat a vonatkozó adatok gyűjtésének időpontjában kell meghatározni. A személyes adatoknak megfelelőnek, relevánsnak kell lenniük, és a kezelésük céljaihoz szükséges mértékre kell korlátozódniuk. Ez megköveteli különösen annak biztosítását, hogy a személyes adatok tárolásának időtartama szigorúan a minimálisra korlátozódjon. Személyes adat csak akkor kezelhető, ha az adatkezelés célja más módon ésszerűen nem teljesíthető. Annak érdekében, hogy a személyes adatokat ne tárolják a szükségesnél hosszabb ideig, az üzemeltetőnek határidőt kell kitűznie a törlésre vagy az időszakos felülvizsgálatra. Minden ésszerű lépést meg kell tenni annak biztosítására, hogy a pontatlan személyes adatokat helyesbítsék vagy töröljék. A személyes adatokat úgy kell kezelni, hogy megfelelően biztosítsák azok biztonságát és bizalmas kezelését, ideértve az azokhoz való jogosulatlan hozzáférés, illetve a személyes adatok és a feldolgozáshoz használt berendezések jogosulatlan felhasználásának megakadályozását is.
(40) Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, azt az érintett hozzájárulása alapján, vagy más törvényben meghatározott jogos indok alapján kell végezni, akár e rendeletben, akár más törvényben meghatározott módon. uniós jog vagy belső jog, az e rendeletben meghatározottak szerint, ideértve az üzemeltetőre vonatkozó jogi kötelezettségek teljesítésének szükségességét, vagy olyan szerződés végrehajtásának szükségességét, amelyben az érintett szerződő fél, vagy a lépéseken át kell menni. a szerződés megkötését megelőzően, az érintett kérelmére.
(41) Ha ez a szabályozás jogalapra vagy jogalkotási intézkedésre hivatkozik, ahhoz nem feltétlenül van szükség parlament által elfogadott jogalkotási aktusra, az adott tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül. Az ilyen jogalapnak vagy jogalkotási intézkedésnek azonban egyértelműnek és pontosnak kell lennie, és alkalmazásának előre láthatónak kell lennie az általa érintett személyek számára, összhangban az Európai Unió Bírósága ("Bíróság") ítélkezési gyakorlatával. ") és az Emberi Jogok Európai Bírósága.
(42) Ha az adatkezelés az érintett hozzájárulásán alapul, az üzemeltetőnek képesnek kell lennie igazolni, hogy az érintett hozzájárulását adta az adatkezelési művelethez. A biztosítékoknak különösen más üggyel kapcsolatos írásbeli nyilatkozattal összefüggésben kell biztosítaniuk, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, és azt, hogy azt milyen mértékben tette meg. A 93/13/EGK tanácsi irányelvvel (1) összhangban az üzemeltető által előzetesen, közérthető formában megfogalmazott hozzájáruló nyilatkozatot kell benyújtani.
könnyen hozzáférhető, világos és egyszerű nyelvezetet használva, és ez a kijelentés nem tartalmazhat visszaélésszerű kitételeket. Ahhoz, hogy a hozzájárulás megadása az ok ismeretében történjen, az érintettnek tisztában kell lennie legalább az üzemeltető kilétével és az adatkezelés céljaival, amelyekre a személyes adatokat szánják. A beleegyezés nem tekinthető szabadon adottnak, ha az érintett személynek nincs tényleges választási szabadsága, vagy nincs abban a helyzetben, hogy sérelme nélkül megtagadja vagy visszavonja a hozzájárulást.
(1) A Tanács 93. április 13-i 5/1993/EGK irányelve a fogyasztói szerződések visszaélésszerű kikötéseiről (HL L 95., 21.4.1993., 29. o.).
(43) A hozzájárulás önkéntes megadásának garantálása érdekében a hozzájárulás nem képezhet érvényes jogalapot a személyes adatok feldolgozásához abban a konkrét esetben, amikor nyilvánvaló egyensúlyhiány áll fenn az érintett és az üzemeltető között, különösen abban az esetben, ha amelynek üzemeltetője hatóság, és ez valószínűtlenné teszi a szabad hozzájárulás megadását az adott helyzethez kapcsolódó összes körülmény között. Nem szabadon adottnak minősül a hozzájárulás, ha az nem teszi lehetővé a különböző személyes adatkezelési műveletekhez külön hozzájárulás megadását, bár ez az adott esetben helyénvaló, vagy ha a szerződés teljesítése, ideértve a szolgáltatás nyújtását is, hozzájárulás feltétele annak ellenére, hogy a szóban forgó hozzájárulás nem szükséges a szerződés teljesítéséhez.
(44) Az adatkezelést akkor kell jogszerűnek tekinteni, ha az szerződésen belül vagy szerződéskötéshez szükséges.
(45) Ha az adatkezelésre az üzemeltető jogszabályi kötelezettségének megfelelően kerül sor, vagy ha az adatkezelés olyan feladat elvégzéséhez szükséges, amely közérdeket szolgál, vagy a közhatalom gyakorlásának részét képezi, az adatkezelésnek rendelkeznie kell az uniós jog vagy a nemzeti jog alapján. Ez a szabályozás nem követeli meg, hogy minden egyes adatkezelésre vonatkozóan külön jogszabály létezzen. Egyetlen jogszabály elegendő lehet több adatkezelési művelet alapjául, amelyet az üzemeltető jogszabályi kötelezettsége alapján hajtanak végre, vagy ha az adatkezelés közérdeket szolgáló vagy a közhatalom gyakorlásának részét képező feladat elvégzéséhez szükséges. . Ezenkívül az adatkezelés célját az uniós jogban vagy a nemzeti jogban kell meghatározni. Ezen túlmenően a vonatkozó jog meghatározhatja e rendelet általános feltételeit, amelyek szabályozzák a személyes adatok kezelésének jogszerűségét, meghatározhatják az üzemeltető létrehozásának feltételeit, az adatkezelés tárgyát képező személyes adatok típusát, az érintett személyeket, a jogalanyokat a személyes adatok nyilvánosságra hozhatók, a céltól függő korlátozások, a tárolás időtartama és a jogszerű és tisztességes adatkezelést garantáló egyéb intézkedések. Az uniós vagy nemzeti jogban azt is meg kell határozni, hogy a közérdeket szolgáló vagy a közhatalom gyakorlásának részét képező feladatot ellátó üzemeltető hatóság vagy más közjogi természetes vagy jogi személy legyen-e, vagy ha ok közérdekű jogalapok ezt magánjogilag indokolják, beleértve az egészségügyi célokat, például a közegészségügy és a szociális védelem, valamint az orvosi segítségnyújtási szolgáltatások irányítását, például szakmai szövetség.
(46) A személyes adatok kezelését akkor is jogszerűnek kell tekinteni, ha az olyan érdek védelmének biztosítása érdekében szükséges, amely az érintett életéhez vagy egy másik természetes személy életéhez elengedhetetlen. Más természetes személy létfontosságú érdekén alapuló személyes adatok kezelése csak akkor történhet, ha az adatkezelés más jogalapon nyilvánvalóan nem alapulhat. Az adatkezelés bizonyos típusai egyaránt szolgálhatnak fontos közérdeket és az érintett létfontosságú érdekeit, például ha az adatkezelés humanitárius célokból szükséges, ideértve a járvány és annak terjedésének nyomon követését, vagy humanitárius vészhelyzetekben, különösen természeti vagy ember okozta katasztrófahelyzetekben.
(47) Az adatkezelés jogalapját az üzemeltető jogos érdekei képezhetik, ideértve az üzemeltetőét is, akivel személyes adatokat közölhetnek, vagy egy harmadik személyét, feltéve, hogy az érintett érdekei vagy alapvető jogai és szabadságai nem érvényesülnek célzottan, szedve
figyelembe véve az érintettek ésszerű elvárásait az üzemeltetővel való kapcsolatuk alapján. Ez a jogos érdek fennállhat például akkor, ha releváns és megfelelő kapcsolat áll fenn az érintett és az üzemeltető között, például amikor az érintett az üzemeltető ügyfele vagy annak szolgálatában áll. Mindenesetre a jogos érdek fennállása körültekintő vizsgálatot igényel, amely azt is megállapítaná, hogy az érintett a személyes adatok gyűjtésének időpontjában és összefüggésében ésszerűen előre látja-e az ilyen célú adatkezelés lehetőségét. Az érintett alapvető érdekei és jogai elsőbbséget élvezhetnek különösen az adatkezelő érdekeivel kapcsolatban, ha a személyes adatok olyan körülmények között kerülnek feldolgozásra, amikor az érintettek ésszerűen nem várják el a további kezelést. Mivel a jogalkotónak kell biztosítania a személyes adatok hatóságok általi feldolgozásának jogalapját, a vonatkozó jogalap nem vonatkozik a hatóságok feladataik ellátása során végzett adatkezelésére. A személyes adatok csalásmegelőzési célból feltétlenül szükséges kezelése is az érintett adatkezelő jogos érdekét képezi. A személyes adatok direkt marketing célú kezelése jogos érdekből végzettnek tekinthető.
(48) A központi szervhez kapcsolódó cég- vagy intézménycsoporthoz tartozó üzemeltetőknek jogos érdekük fűződhet ahhoz, hogy személyes adatokat a cégcsoporton belül belső adminisztratív célból továbbítsanak, ideértve az ügyfelek személyes adatainak feldolgozását, ill. alkalmazottak. A személyes adatok cégcsoporton belüli, harmadik országban található társaság részére történő továbbításának általános elvei változatlanok maradnak.
(49) A személyes adatok olyan mértékű feldolgozása, amely a hálózatok és az információk biztonságának biztosítása érdekében feltétlenül szükséges és arányos, nevezetesen a hálózat vagy az információs rendszer azon képességének biztosítása érdekében, hogy bizonyos szintű bizalommal szembenézzen véletlen eseményekkel vagy cselekvésekkel. illegális vagy rosszindulatú, amely veszélyezteti a tárolt vagy továbbított személyes adatok elérhetőségét, hitelességét, integritását és titkosságát, valamint az e hálózatok és rendszerek által kínált kapcsolódó szolgáltatások biztonságát, vagy rajtuk keresztül elérhető a hatóságok, a számítógépes vészhelyzetek esetén beavatkozó csoportok, az informatikai biztonságot érintő incidensek esetén a beavatkozó csoportok, az elektronikus hírközlő hálózatok és szolgáltatások szolgáltatói, valamint a szolgáltatók és a biztonsági technológiák szolgáltatói. az érintett adatkezelő jogos érdeke. Ez magában foglalhatja például az elektronikus hírközlő hálózatokhoz való jogosulatlan hozzáférés és a rosszindulatú kódok terjesztésének megakadályozását, valamint a "szolgáltatásmegtagadási" támadások megállítását, valamint a számítógépek és elektronikus hírközlő rendszerek károsodásának megelőzését.
(50) A személyes adatok eredeti gyűjtésének céljától eltérő célból történő feldolgozása csak akkor engedélyezhető, ha az adatkezelés összeegyeztethető azzal a céllal, amelyre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól, amely eltér attól, amely alapján a személyes adatok gyűjtését engedélyezték. Ha az adatkezelés olyan feladat elvégzéséhez szükséges, amely közérdeket szolgál, vagy amely az üzemeltetőre ruházott közhatalom gyakorlásából ered, az uniós jog vagy a belső jog megállapíthatja és meghatározhatja azokat a feladatokat és célokat, amelyekre a további adatkezelésre sor kerül. összeegyeztethetőnek és törvényesnek kell tekinteni. A közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célú utólagos feldolgozást összeegyeztethető jogi adatkezelési műveleteknek kell tekinteni. Az uniós jogban vagy a hazai jogban a személyes adatok feldolgozására meghatározott jogalap a további adatkezelés jogalapját is képezheti. Annak megállapítása érdekében, hogy a későbbi adatkezelés célja összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az üzemeltetőnek, miután teljesítette az első adatkezelés jogszerűségére vonatkozó valamennyi követelményt, figyelembe kell vennie többek között: az e célok és a tervezett további feldolgozási célok közötti kapcsolat, a személyes adatok gyűjtésének összefüggése, különösen az érintettek ésszerű elvárásai az üzemeltetővel való kapcsolatuk alapján az adatok későbbi felhasználásával kapcsolatban, a személyes adatokról, a további adatkezelés következményeiről
az érintett személyektől elvárható, valamint a megfelelő garanciák megléte mind az első feldolgozási műveleteken, mind a várható későbbi feldolgozási műveleteken belül.
Ha az érintett hozzájárulását adta, vagy az adatkezelés uniós jogon vagy nemzeti jogon alapul, ami egy demokratikus társadalomban szükséges és arányos intézkedést jelent különösen fontos általános közérdekű célok védelmében, az üzemeltetőnek lehetőséget kell biztosítani a személyes adatok kezelésének folytatása, függetlenül a célok összeegyeztethetőségétől. Mindenesetre garantálni kell az e rendeletben megállapított elvek alkalmazását, és különösen az érintett tájékoztatását ezen egyéb célokról és jogairól, beleértve a tiltakozáshoz való jogot is. Az üzemeltető által esetlegesen elkövetett bűncselekmények vagy a közbiztonságot fenyegető veszélyek jelzését és a vonatkozó személyes adatoknak az illetékes hatósághoz történő továbbítását egyedi esetekben vagy több esetben ugyanazon bűncselekménnyel vagy azonos közbiztonsági fenyegetéssel kapcsolatosan kell figyelembe venni. az üzemeltető által követett jogos érdek. Az üzemeltető jogos érdekét szolgáló ilyen továbbítást vagy a személyes adatok későbbi feldolgozását azonban meg kell tiltani, ha az adatkezelés nem egyeztethető össze jogi, szakmai vagy egyéb titoktartási kötelezettséggel.
(51) Az alapvető jogok és szabadságok tekintetében természetüknél fogva különösen érzékeny személyes adatok különleges védelmet igényelnek, mivel feldolgozásuk összefüggései jelentős kockázatot jelenthetnek az alapvető jogokra és szabadságokra nézve. E személyes adatoknak tartalmazniuk kell a faji vagy etnikai származást felfedő személyes adatokat, a „faji származás” kifejezés e rendeletben történő használata nem jelenti azt, hogy az Unió elfogadja azokat az elméleteket, amelyek a különálló emberi fajok létezését kívánják megállapítani. A fényképek feldolgozását nem szabad szisztematikusan a személyes adatok különleges kategóriáinak feldolgozásának tekinteni, mivel a fényképek csak olyan esetekben esnek a biometrikus adatok fogalommeghatározása alá, ha azokat speciális technikai eszközökkel dolgozzák fel, amelyek lehetővé teszik egy természetes személy egyedi azonosítását vagy hitelesítését. . Az ilyen személyes adatok nem kezelhetők, kivéve, ha az adatkezelést az e rendeletben meghatározott meghatározott esetekben lehetővé teszi, figyelembe véve azt a tényt, hogy a tagállamok joga az adatvédelemre vonatkozóan külön rendelkezéseket írhat elő az adatvédelmi szabályok alkalmazásának kiigazítása érdekében. törvényi kötelezettség teljesítése, vagy közérdekű, vagy az üzemeltetővel megbízott közhatalom gyakorlásából eredő feladat teljesítése érdekében e rendeletet. Az ilyen adatkezelésre vonatkozó egyedi követelményeken túlmenően az e rendeletben meghatározott általános elveket és egyéb szabályokat kell alkalmazni, különös tekintettel a jogszerű adatkezelés feltételeire. Kifejezetten rendelkezni kell a személyes adatok e különleges kategóriáinak kezelésének általános tilalmától való eltérésről, többek között abban az esetben, ha az érintett kifejezett hozzájárulását adja, vagy különös szükségletekre tekintettel, különösen akkor, ha az adatkezelést bizonyos személyek jogszerű tevékenysége keretében végzik. egyesületek vagy alapítványok, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.
(52) A személyes adatok különleges kategóriáinak feldolgozására vonatkozó tilalomtól való eltérést is engedélyezni kell, ha az uniós jog vagy a nemzeti jog ezt előírja, és megfelelő garanciákat kell biztosítani annak érdekében, hogy a személyes adatok és más alapvető jogok védelmet élvezzenek, amikor közérdekből indokolt, különösen a munkajog, a szociális védelem, ideértve a nyugdíjakat, valamint a biztonsági, felügyeleti és egészségügyi riasztási célú, a fertőző betegségek megelőzése vagy leküzdése érdekében végzett személyes adatok kezelése, ill. egyéb súlyos egészségügyi veszélyek. Ez az eltérés megadható egészségügyi célokra, beleértve a közegészségügyet és az orvosi segítségnyújtási szolgáltatások irányítását, különösen az egészségbiztosítási rendszeren belüli ellátások és szolgáltatások iránti kérelmek megoldására használt eljárások minőségének és költséghatékonyságának biztosítása érdekében, vagy közérdekű archiválási, tudományos vagy történeti kutatási vagy statisztikai célú archiválási célokra. Ezen túlmenően az ilyen személyes adatok feldolgozását eltéréssel engedélyezni kell, ha az valamely jog megállapításához, gyakorlásához vagy bíróság előtti védelméhez szükséges, függetlenül attól, hogy arra a bíróságon belül kerül sor.
bíróság előtt, illetve közigazgatási vagy bíróságon kívüli eljárás keretében.
(53) A magasabb szintű védelmet igénylő személyes adatok különleges kategóriái csak akkor kezelhetők egészséggel összefüggő célból, ha e célok elérése az egyének és általában a társadalom javára, különösen az adatkezeléssel összefüggésben szükséges. egészségügyi vagy szociális segítségnyújtási szolgáltatások és rendszerek, ideértve ezen adatoknak az egészségügy területén az irányító hatóságok és a nemzeti központi hatóságok általi feldolgozását minőség-ellenőrzés, vezetői információk nyújtása, valamint az egészségügyi vagy szociális általános felügyelet céljából. nemzeti és helyi szintű segítségnyújtási rendszer, valamint az orvosi vagy szociális segítségnyújtás és a határokon átnyúló orvosi segítségnyújtás folytonosságának biztosításával összefüggésben vagy biztonsági, megfigyelési és egészségügyi riasztási célból vagy közérdekű archiválási célból, tudományos, ill. történeti kutatási célokra vagy olyan uniós jogon vagy belső jogon alapuló statisztikai célokra, amelyeknek közérdekű célt kell szolgálniuk, valamint a közegészségügy területén végzett közérdekű tanulmányok esetében. Ezért ennek a rendeletnek harmonizált feltételeket kell előírnia a személyes egészségügyi adatok különleges kategóriáinak feldolgozására vonatkozóan, tekintettel az egyedi igényekre, különösen akkor, ha az ilyen adatok feldolgozását bizonyos, egészséggel összefüggő célból olyan személyek végzik, akikre törvény vonatkozik. szakmai titoktartási kötelezettség. Az uniós jognak vagy a nemzeti jognak konkrét és megfelelő intézkedéseket kell előírnia a természetes személyek alapvető jogainak és személyes adatainak védelmére. A tagállamoknak képesnek kell lenniük további feltételek fenntartására vagy bevezetésére, beleértve a korlátozásokat a genetikai adatok, biometrikus adatok vagy egészségügyi adatok feldolgozásával kapcsolatban. Ez azonban nem akadályozhatja a személyes adatok Unión belüli szabad mozgását, amennyiben ezek a feltételek az ilyen adatok határokon átnyúló feldolgozására vonatkoznak.
(54) A személyes adatok különleges kategóriáinak kezelésére a közegészségügy területén közérdekből, az érintett hozzájárulása nélkül is szükség lehet. Az ilyen adatkezelést a természetes személyek jogainak és szabadságainak védelmét szolgáló megfelelő és konkrét intézkedésekhez kell kötni. Ebben az összefüggésben a „közegészségügy” fogalmát a 1338/2008/EK rendeletben meghatározottak szerint kell értelmezni. 1/XNUMX európai parlamenti és tanácsi rendelet (XNUMX), nevezetesen az egészséggel kapcsolatos valamennyi elem, nevezetesen az egészségi állapot, ideértve a morbiditást vagy a fogyatékosságot, az egészségi állapotot befolyásoló meghatározó tényezőket, a az orvosi segítségnyújtás területét, a segély-egészségügyi ellátásra fordított forrásokat, az orvosi segítségnyújtást és az egyetemes hozzáférés biztosítását, valamint az egészségügyi kiadásokat és finanszírozási forrásokat, valamint a halálozási okokat. Az egészségügyi adatok közérdekű feldolgozása nem vezethet ahhoz, hogy ezeket az adatokat harmadik felek, például munkáltatók, biztosítótársaságok és bankok más célból feldolgozzák.
(1) A 1338/2008. Az Európai Parlament és a Tanács 16. december 2008-i 354/31.12.2008/EK rendelete a közegészségügyre, valamint a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikákról (HL L 70., XNUMX., XNUMX. o.).
(55) Ezen túlmenően a hivatalosan elismert vallási egyesületek személyes adatainak közérdekből történő kezelése az alkotmányjogban vagy a nemzetközi közjogban meghatározott célok elérése érdekében.
(56) Ha a választási tevékenység során a demokratikus rendszer működése megköveteli, hogy a politikai pártok az egyének politikai véleményére vonatkozó személyes adatokat gyűjtsenek, az ilyen adatok közérdekből történő kezelése engedélyezhető, feltéve, hogy a megfelelő garanciákat nyújtják.
(57) Ha az üzemeltető által feldolgozott személyes adatok nem teszik lehetővé számára egy természetes személy azonosítását, az adatkezelőnek nem lehet kötelezettsége további információk beszerzésére az érintett azonosítása érdekében, azzal a kizárólagos céllal, hogy a e rendelet rendelkezéseit. Az üzemeltető azonban nem tagadhatja meg az érintett által biztosított további információk átvételét jogai gyakorlásának támogatása érdekében. Az azonosításnak magában kell foglalnia az érintett digitális azonosítását, például az alábbi mechanizmusokon keresztül
hitelesítés, például ugyanazok a hitelesítő adatok, amelyeket az érintett használ az adatkezelő által kínált online szolgáltatások eléréséhez.
(58) Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintett személynek címzett minden információ tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint egyszerű és világos nyelvezetet, valamint adott esetben vizualizációt kell használni. Ezt az információt elektronikus formátumban is meg lehet adni, például a nyilvánossághoz címezve egy weboldalon keresztül. Ez különösen fontos olyan helyzetekben, amikor a szereplők sokasága és a gyakorlat technológiai szempontból összetettsége miatt az érintett számára nehéz tudni és megérteni, hogy a rá vonatkozó személyes adatokat gyűjtik-e kinek és milyen céllal, mint az online hirdetések esetében. Mivel a gyermekek különleges védelmet igényelnek, minden információt és bármilyen kommunikációt, ha a feldolgozás gyermekre irányul, egyszerű és világos nyelvezeten kell kifejezni, hogy a gyermek könnyen megértse.
(59) Olyan módozatokat kell biztosítani, amelyek megkönnyítik az érintett számára az e rendelet által ráruházott jogok gyakorlását, ideértve azokat a mechanizmusokat is, amelyeken keresztül ingyenes hozzáférést kérhet, és szükség esetén hozzájuthat, különösen a személyes adatokhoz való hozzáféréshez. adatok, valamint azok helyesbítése vagy törlése, valamint a tiltakozási jog gyakorlása. Az üzemeltetőnek lehetőséget kell biztosítania a kérelmek elektronikus benyújtására is, különösen, ha a személyes adatokat elektronikus úton dolgozzák fel. Az üzemeltető köteles indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszolni az érintett személyek kérésére, és amennyiben nem kíván eleget tenni a kéréseknek, meg kell indokolnia az elutasítást (60 ) A tisztességes adatkezelés elveinek megfelelően és átláthatóan az érintett tájékoztatást kap az adatkezelési művelet meglétéről és annak céljairól. Az üzemeltetőnek minden további információt meg kell adnia az érintett számára, amely a tisztességes és átlátható adatkezelés biztosításához szükséges, figyelembe véve a konkrét körülményeket és a személyes adatok kezelésének összefüggéseit. Ezenkívül az érintettet tájékoztatni kell a profilok létrehozásáról, valamint annak következményeiről. Amikor személyes adatot gyűjtenek az érintetttől, azt is tájékoztatni kell arról, hogy köteles-e személyes adatot szolgáltatni, és milyen következményekkel jár a visszautasítás. Ez az információ szabványos ikonokkal kombinálva is megadható, hogy jól látható, érthető és jól olvasható módon jelentős áttekintést nyújtson a tervezett feldolgozásról. Ha az ikonok elektronikus formátumban jelennek meg, akkor azokat automatikusan le kell tudni olvasni.
(61) Az érintettre vonatkozó személyes adatok kezelésével kapcsolatos tájékoztatást az érintetttől való gyűjtés időpontjában, vagy ha a személyes adat más forrásból szerezték be, a személyes adatok kezelésétől függően ésszerű határidőn belül kell megadni. az eset körülményei. Ha a személyes adat jogszerűen átadható egy másik címzettnek, az érintettet tájékoztatni kell, amikor a személyes adatot első alkalommal adják át a címzettnek. Ha az üzemeltető a személyes adatokat a gyűjtésük céljától eltérő célból kívánja feldolgozni, az üzemeltetőnek a további feldolgozás előtt tájékoztatnia kell az érintettet az adott másodlagos célról és egyéb szükséges információkról. Ha a személyes adatok eredetét nem lehetett az érintettel közölni, mert különböző forrásokból származtak, általános tájékoztatást kell adni. (62) Nem szükséges azonban tájékoztatási kötelezettséget előírni, ha az érintett már rendelkezik az információval, ha a személyes adatok nyilvántartásba vételét vagy nyilvánosságra hozatalát jogszabály kifejezetten előírja, vagy ha a tájékoztatás az érintettnek bizonyul. lehetetlen vagy aránytalan erőfeszítéssel járna. Ez utóbbi különösen akkor fordulhat elő, ha az adatkezelést közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célból végzik. E tekintetben figyelembe kell venni az érintettek számát, az adatok életkorát és az elfogadott megfelelő biztosítékokat.
(63) Az érintettnek hozzáférési joggal kell rendelkeznie a rá vonatkozó összegyűjtött személyes adatokhoz, és ezt a jogát könnyen és ésszerű időközönként gyakorolnia kell annak érdekében, hogy tájékozódjon az adatkezelésről és ellenőrizze annak jogszerűségét. Ez magában foglalja az érintettek azon jogát, hogy hozzáférjenek egészségügyi adataikhoz, például a nyilvántartásaikból származó adatokhoz
orvosi feljegyzések, amelyek olyan információkat tartalmaznak, mint a diagnózisok, a vizsgálati eredmények, a kezelőorvosok értékelései és az elvégzett kezelések vagy beavatkozások. Ezért minden érintettnek jogosultnak kell lennie arra, hogy megismerje és tájékozódjon különösen az adatok kezelésének céljairól, lehetőség szerint a személyes adatok kezelésének időtartamáról, a személyes adatok címzettjeiről, az automatikus adatkezelés logikájáról. a személyes adatok kezelése, és legalábbis ha az profilkészítésen alapul, az ilyen adatkezelés következményei. Amennyiben ez lehetséges, az adatkezelőnek képesnek kell lennie arra, hogy távoli hozzáférést biztosítson egy biztonságos rendszerhez, amely közvetlen hozzáférést biztosít az érintett számára személyes adataihoz. Ez a jog nem érintheti mások jogait vagy szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverprogramok védelmét biztosító szerzői jogokat. A fenti megfontolások azonban nem eredményezhetik az érintett valamennyi információ megadásának megtagadását. Amikor az üzemeltető nagy mennyiségű információt dolgoz fel az érintettel kapcsolatban, az üzemeltető számára lehetővé kell tenni, hogy kérje, hogy a tájékoztatás megadása előtt az érintett határozza meg azt az információt vagy feldolgozási tevékenységet, amelyre a kérelme vonatkozik. (64) Az üzemeltetőnek minden ésszerű lépést meg kell tennie az adatokhoz való hozzáférést kérő érintett személyazonosságának ellenőrzésére, különösen az online szolgáltatások és az online azonosítók vonatkozásában. Az üzemeltető nem őrizheti meg a személyes adatokat kizárólag abból a célból, hogy válaszolni tudjon az esetleges kérésekre.
(65) Az érintettnek rendelkeznie kell a rá vonatkozó személyes adatok helyesbítéséhez való joggal, valamint a „feledésbe merüléshez való joggal”, ha ezen adatok megőrzése sérti ezt a rendeletet vagy uniós jogot, vagy azt a belső jogot, amelynek hatálya alá az üzemeltető tartozik. Az érintetteknek jogot kell biztosítani különösen ahhoz, hogy személyes adataikat töröljék és ne kezeljék tovább, ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy feldolgozzák, ha az érintettek visszavonták hozzájárulásukat. feldolgozásra, vagy abban az esetben, ha személyes adatainak kezelését ellenzi, vagy abban az esetben, ha személyes adatainak kezelése nem felel meg e rendeletnek. Ez a jog különösen akkor releváns, ha az érintett gyermekkorában adta beleegyezését, és nem volt teljesen tisztában az adatkezeléssel járó kockázatokkal, és később eltávolítani kívánja az ilyen személyes adatokat, különösen az internetről. Az érintett személynek lehetőséget kell biztosítani e jogának gyakorlására annak ellenére, hogy már nem gyermek. A személyes adatok további megőrzésének azonban jogszerűnek kell lennie, ha az a véleménynyilvánítási és információszabadsághoz való jog gyakorlásához, jogszabályi kötelezettségnek való megfeleléshez, közérdeket szolgáló vagy az adatkezelési kötelezettség gyakorlásából eredő feladat teljesítéséhez szükséges. az üzemeltetővel megbízott hatóság közegészségügyi közérdekből, közérdekű archiválási, tudományos vagy történeti kutatási vagy statisztikai célból, vagy megállapítás céljából, jogának gyakorlása vagy védelme a bíróság előtt.
(66) Az „elfeledtetéshez való jog” online környezetben való megerősítése érdekében a törléshez való jogot ki kell terjeszteni oly módon, hogy a személyes adatot nyilvánosságra hozó üzemeltető köteles legyen tájékoztatni az ezen adatokat személyes adatokat feldolgozó üzemeltetőket. a vonatkozó adatokra mutató hivatkozások vagy azok másolatai vagy reprodukciói törlésére. E célból az érintett üzemeltetőnek ésszerű intézkedéseket kell tennie, figyelembe véve a rendelkezésre álló technológiát és a rendelkezésére álló eszközöket, beleértve a technikai intézkedéseket is, hogy tájékoztassa a személyes adatokat feldolgozó üzemeltetőket az érintett kérelméről.
(67) A személyes adatok kezelésének korlátozásának módjai közé tartozhat többek között a kiválasztott személyes adatok ideiglenes áthelyezése egy másik adatfeldolgozó rendszerbe, vagy a felhasználók által a kiválasztott adatokhoz való hozzáférésének megszüntetése vagy az egy webhely. Az automatizált adatrögzítési rendszerek tekintetében az adatkezelés korlátozását elvileg technikai eszközökkel kell biztosítani oly módon, hogy a személyes adatok ne legyenek további feldolgozási műveletek tárgya, és azok megváltoztathatók. A rendszerben egyértelműen jelezni kell, hogy a személyes adatok kezelése korlátozott.
(68) A saját adataik feletti ellenőrzés további fokozása érdekében az érintettnek a személyes adatok automatikus feldolgozása esetén lehetővé kell tenni, hogy megkapja a rá vonatkozó személyes adatokat, amelyeket az üzemeltető rendelkezésére bocsátott. egy jelenleg használt, automatikusan feldolgozott és interoperábilis strukturált formátum, és képes legyen azokat egy másik szolgáltatóhoz továbbítani. Az adatszolgáltatókat ösztönözni kell olyan interoperábilis formátumok kidolgozására, amelyek lehetővé teszik az adatok hordozhatóságát. Ez a jog akkor érvényesül, ha az érintett személyes adatát saját hozzájárulása alapján adta meg, vagy ha az adatkezelés szerződés teljesítéséhez szükséges. Ez a jog nem érvényesül, ha az adatkezelés nem a hozzájáruláson vagy a szerződésen alapul. Ez a jog természeténél fogva nem gyakorolható azokkal az üzemeltetőkkel szemben, akik közfeladataik gyakorlása során személyes adatokat dolgoznak fel. Nem alkalmazható különösen akkor, ha a személyes adatok kezelése az üzemeltetőt terhelő jogi kötelezettség teljesítése érdekében szükséges, vagy olyan feladat ellátása esetén, amely közérdeket szolgál, vagy valamely kötelezettség gyakorlásából ered. hatóság, amelyhez az üzemeltetőt befektették. Az érintettnek a rá vonatkozó személyes adatok továbbításához vagy fogadásához való joga nem kötelezheti az üzemeltetőket arra, hogy műszakilag kompatibilis adatfeldolgozási rendszereket fogadjanak el vagy tartsanak fenn. Ha egy bizonyos személyes adatcsoportban több érintett érintett, a személyes adatokhoz való jog e rendelet értelmében nem érintheti más érintettek jogait és szabadságait. Ez a jog továbbá nem érintheti az érintett azon jogát, hogy kérje a személyes adatok törlését és e jogának e rendeletben meghatározott korlátozásait, és különösen nem vonhatja maga után az érintett személyes adatok törlését. az érintett által a szerződés teljesítése érdekében megadott, olyan mértékben és ameddig az érintett adatok a szerződés teljesítéséhez szükségesek. Az érintettnek jogosultnak kell lennie arra, hogy személyes adatait közvetlenül az egyik üzemeltetőtől a másikhoz továbbítsák, ha ez technikailag megvalósítható.
(69) Azokban az esetekben, amikor a személyes adatok jogszerűen kezelhetők, mert az adatkezelés közérdeket szolgáló feladat elvégzéséhez szükséges, vagy olyan közhatalom gyakorlásából ered, amellyel az üzemeltetőt ruházzák, vagy az üzemeltető jogos érdekén alapul. üzemeltető vagy harmadik fél esetében az érintettnek továbbra is jogában áll tiltakozni a saját helyzetével kapcsolatos személyes adatok kezelése ellen. Az üzemeltető felelőssége annak bizonyítása, hogy jogos és kényszerítő érdekei elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.
(70) Ha a személyes adatokat direkt marketing célból dolgozzák fel, az érintettnek jogában áll tiltakozni az ilyen adatkezelés ellen, ideértve a profilok létrehozását, amennyiben az a direkt marketinghez kapcsolódik, függetlenül attól, hogy a szóban forgó adatkezelés az első vagy egy későbbi, bármikor és ingyenesen. Erre a jogra kifejezetten fel kell hívni az érintett figyelmét, és világosan és minden egyéb információtól elkülönítve kell bemutatni.
(71) Az érintettnek jogában kell állnia ahhoz, hogy ne kerüljön olyan döntés hatálya alá, amely olyan intézkedést is tartalmazhat, amely az érintett személyes szempontjait értékeli, és amely kizárólag
automatikus feldolgozás, és amely az érintettet érintő vagy őt hasonlóan jelentős mértékben érintő joghatásokat vált ki, mint például az online hiteligénylés automatikus elutasítása vagy elektronikus toborzási gyakorlat, emberi beavatkozás nélkül. Az ilyen feldolgozás magában foglalja a „profilozást”, amely a személyes adatok automatikus feldolgozásának bármely formáját jelenti
a természetes személlyel kapcsolatos személyes szempontok értékelésével, különös tekintettel az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődésére, megbízhatóságára vagy magatartására vonatkozó egyes szempontok elemzésére vagy előrejelzésére,
a helyszín vagy a mozgások, ha ez az érintett személyt érintő joghatásokat vált ki, vagy őt hasonló módon jelentős mértékben érinti. Az ilyen adatfeldolgozáson alapuló döntéshozatalt azonban engedélyezni kell, beleértve a profilalkotást is, ha azt az uniós jog vagy az üzemeltetőre alkalmazandó nemzeti jog kifejezetten engedélyezi, ideértve a célt is.
a csalás és adóelkerülés ellenőrzése és megelőzése az előírásoknak megfelelően,
az uniós intézmények vagy nemzeti felügyeleti szervek szabványai és ajánlásai, valamint az üzemeltető által kínált szolgáltatás biztonságának és megbízhatóságának biztosítása érdekében, vagy abban az esetben, ha az
az érintett és az üzemeltető közötti szerződés megkötéséhez vagy végrehajtásához szükséges, vagy ha az érintett ehhez kifejezetten hozzájárult. Az ilyen adatkezelésre minden esetben megfelelő garanciákat kell kötni, amelyeknek tartalmazniuk kell az érintett konkrét tájékoztatását és az emberi beavatkozáshoz való jogát.
véleményének kifejezésére, hogy magyarázatot kapjon az ilyen értékelést követően hozott döntésre vonatkozóan,
valamint a határozat ellen fellebbezés joga. Az ilyen intézkedés nem vonatkozhat gyermekre.
Az érintett vonatkozásában a tisztességes és átlátható adatkezelés biztosítása érdekében
tekintettel a személyes adatok feldolgozásának sajátos körülményeire és kontextusára, az üzemeltetőnek megfelelő matematikai vagy statisztikai eljárásokat kell alkalmaznia a profilok létrehozásához, és megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítására, hogy a személyes adatok pontatlanságához vezető tényezők természetét kijavítják, és a hibák kockázatát is
minimálisra csökkenteni, valamint a személyes adatok védelmét oly módon biztosítani, hogy figyelembe vegyék az érintett érdekeit és jogait fenyegető lehetséges veszélyeket, és megakadályozzák többek között az embereket faji vagy etnikai hovatartozáson alapuló megkülönböztető hatásokat. származás, vélemények politika, vallás
vagy meggyőződés, szakszervezeti tagság, genetikai jellemzők, egészségi állapot vagy szexuális irányultság vagy olyan feldolgozás, amely ilyen hatású intézkedésekhez vezet. Engedélyezni kell a személyes adatok különleges kategóriáin alapuló automatizált döntéshozatalt és profilalkotást
csak meghatározott feltételek mellett.
(23. május 2018-án, (71.)
) 1. május 23-i Helyesbítés 2018. pontjával javítva )
(72) A profilok létrehozására e rendeletnek a személyes adatok kezelését szabályozó szabályai, így az adatkezelés jogalapjai vagy az adatvédelem elvei vonatkoznak. Az e rendelettel létrehozott Európai Adatvédelmi Testületnek (a továbbiakban: a Testület) képesnek kell lennie arra, hogy iránymutatásokat adjon ki ezzel összefüggésben.
(73) Az uniós jog vagy a belső jog korlátozásokat írhat elő meghatározott elvekre vonatkozóan, a tájékoztatáshoz való jog, a személyes adatokhoz való hozzáférés és azok helyesbítésének vagy törlésének joga, az adathordozhatósághoz való jog, a tiltakozás joga, valamint az adatokon alapuló döntések tekintetében. profilok létrehozása, valamint a személyes adatok biztonságának megsértésének az érintettel való közlése és az üzemeltetők egyes ezzel kapcsolatos kötelezettségei, amennyiben ez egy demokratikus társadalomban a közbiztonság érdekében szükséges és arányos garantált, ideértve az emberi élet védelmét, különösen a természeti vagy ember okozta katasztrófák esetén, a bűncselekmények megelőzését, kivizsgálását és üldözését vagy a büntetés-végrehajtást, beleértve a közbiztonságot fenyegető veszélyekkel vagy az etikai megsértésekkel szembeni védelmet is. szabályozott szakmák és azok megelőzése, az Unió vagy egy tagállam egyéb fontos általános közérdekű céljai, különösen az Unió vagy egy tagállam fontos gazdasági vagy pénzügyi érdeke, nyilvános nyilvántartások vezetése általános közérdekből , az archivált személyes adatok későbbi feldolgozása a volt totalitárius államok rezsimjei alatti politikai magatartással, az érintettek védelmével vagy harmadik felek jogaival és szabadságaival kapcsolatos konkrét információk továbbítása érdekében, beleértve a szociális védelmet, a közegészségügyet és a humanitárius célokat. Ezeknek a korlátozásoknak meg kell felelniük a Chartában és az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben foglalt követelményeknek.
(74) Meg kell állapítani az üzemeltető felelősségét és felelősségét a személyes adatok általa vagy a nevében végzett bármely feldolgozásért. Az üzemeltetőt különösen arra kell kötelezni, hogy megfelelő és hatékony intézkedéseket hajtson végre, és képesnek kell lennie bizonyítani az adatfeldolgozási tevékenységek e rendeletnek való megfelelését, beleértve az intézkedések hatékonyságát is. Ezeknek az intézkedéseknek figyelembe kell venniük az adatkezelés jellegét, hatályát, összefüggéseit és céljait, valamint a természetes személyek jogait és szabadságait fenyegető kockázatot.
(75) A természetes személyek jogaira és szabadságaira vonatkozó, a megvalósulás valószínűségének és súlyosságának különböző fokát mutató kockázat a személyes adatok olyan kezeléséből fakadhat, amely fizikai, anyagi vagy erkölcsi károkat okozhat, különösen olyan esetekben, amelyben: a feldolgozás diszkriminációhoz, személyazonosság-lopáshoz vagy csaláshoz, anyagi veszteséghez, kompromittáláshoz vezethet
jó hírnév, a szakmai titoktartással védett személyes adatok bizalmasságának elvesztése, az álnevek jogosulatlan visszavonása vagy bármely más jelentős gazdasági vagy társadalmi jellegű hátrány; az érintetteket megfoszthatják jogaiktól és szabadságaiktól, vagy megakadályozhatják személyes adataik feletti ellenőrzés gyakorlását; a kezelt személyes adatok olyan adatok, amelyek faji vagy etnikai származásra, politikai véleményre, vallásra vagy filozófiai meggyőződésre, szakszervezeti tagságra utalnak; genetikai adatok, egészségügyi adatok vagy szexuális életre vonatkozó adatok vagy büntetőítéletek és bűncselekmények vagy kapcsolódó biztonsági intézkedések feldolgozása történik; személyes jellegű szempontok értékelése, különösen a munkahelyi teljesítmény, a gazdasági helyzet, az egészségi állapot, a személyes preferenciák vagy érdeklődési körök, a megbízhatóság vagy a viselkedés, a hely vagy az utazás szempontjainak elemzése vagy előrejelzése személyes profilok létrehozása vagy felhasználása érdekében ; a kiszolgáltatott személyek, különösen a gyermekek személyes adatait kezelik; vagy az adatkezelés nagy mennyiségű személyes adatot érint, és nagyszámú érintettet érint.
(76) A megvalósulás valószínűségét és az érintett jogaira és szabadságaira vonatkozó kockázat súlyosságát a személyes adatok kezelésének jellegétől, terjedelmétől, összefüggésétől és céljaitól függően kell meghatározni. A kockázatot objektív értékelés alapján kell értékelni, amely alapján megállapítható, hogy az adatkezelési műveletek kockázatot vagy magas kockázatot jelentenek-e. (77) Útmutató a megfelelő intézkedések végrehajtásához és az üzemeltető vagy az általa meghatalmazott személy általi megfelelőség bizonyításához, különös tekintettel a feldolgozáshoz kapcsolódó kockázat azonosítására, annak eredet, jellege szempontjából történő értékelésére. , a megvalósulás valószínűsége és súlyossága, valamint a kockázat mérséklésére szolgáló bevált gyakorlatok azonosítása biztosítható különösen jóváhagyott magatartási kódexeken, jóváhagyott tanúsítványokon, bizottsági iránymutatásokon vagy adatvédelmi tisztviselő által biztosított jelzéseken keresztül. A bizottság iránymutatást adhat ki azokra az adatfeldolgozási műveletekre vonatkozóan is, amelyek valószínűleg nem jelentenek nagy kockázatot a természetes személyek jogaira és szabadságaira, és megjelölheti azokat az intézkedéseket, amelyek ilyen esetekben elegendőek lehetnek az ilyen kockázat kezelésére.
(78) A természetes személyek jogainak és szabadságainak védelme a személyes adatok feldolgozásával kapcsolatban megfelelő technikai és szervezési intézkedések elfogadását teszi szükségessé e rendelet követelményeinek teljesítése érdekében. Az e rendeletnek való megfelelés bizonyítása érdekében az üzemeltetőnek olyan belső szabályzatokat kell elfogadnia és intézkedéseket kell hoznia, amelyek tiszteletben tartják különösen az adatvédelem elvét a fogantatás pillanatától kezdve és az implicit adatvédelem elvét. Az ilyen intézkedések magukban foglalhatják többek között a személyes adatok feldolgozásának minimalizálását, ezen adatok mielőbbi álnevesítését, a személyes adatok funkcióinak és feldolgozásának átláthatóságát, az érintettek felhatalmazását az adatkezelés nyomon követésére, lehetővé téve az üzemeltető számára, hogy biztonsági elemeket hozzon létre. és javítani őket. Az olyan alkalmazások, szolgáltatások és termékek fejlesztése, tervezése, kiválasztása és használata során, amelyek személyes adatok feldolgozására támaszkodnak, vagy amelyek feladataik ellátása érdekében személyes adatokat dolgoznak fel, e termékek gyártóit és e szolgáltatások és alkalmazások szolgáltatóit ösztönözni kell arra, hogy az ilyen termékek, szolgáltatások és alkalmazások fejlesztése és tervezése során figyelembe kell venni az adatvédelemhez való jogot, és a fejlesztés jelenlegi szakaszát figyelembe véve biztosítani, hogy az üzemeltetők és az üzemeltetők által felhatalmazott személyek teljesíteni tudják kötelezettségeiket. adatvédelemmel kapcsolatban. Az adatvédelem elvét a fogantatás pillanatától kezdve és az implicit adatvédelem elvét a nyilvános pályázatok kapcsán is figyelembe kell venni.
(79) Az érintettek jogainak és szabadságainak védelme, valamint az üzemeltetők és az üzemeltető által felhatalmazott személyek felelőssége és felelőssége, ideértve a felügyeleti hatóságok általi ellenőrzést és az általuk elfogadott intézkedéseket, egyértelmű hozzárendelést igényel. az e rendelet szerinti felelősségi körökről, beleértve azt is, ha egy üzemeltető más üzemeltetőkkel együtt határozza meg az adatfeldolgozás céljait és eszközeit, vagy ha egy feldolgozási műveletet egy szolgáltató nevében hajtanak végre.
(80) Ha az Unióban nem letelepedett üzemeltető vagy az üzemeltető által meghatalmazott személy az Unió területén tartózkodó érintettek személyes adatait kezeli, és
adatkezelési tevékenységei az érintettek Unión belüli áruk vagy szolgáltatások nyújtásához kapcsolódnak, függetlenül attól, hogy az érintett fizetést kér-e vagy sem, vagy az érintettek magatartásának nyomon követéséhez, ha az Unión belül történik. értelmében az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek képviselőt kell kijelölnie, kivéve, ha az adatkezelés eseti jellegű, nem terjed ki a személyes adatok különleges kategóriáinak nagyarányú feldolgozására, sem büntetőjogi ítéletekkel és bűncselekményekkel kapcsolatos adatok kezelésére. , és nem valószínű, hogy kockázatot jelentene a természetes személyek jogaira és szabadságaira nézve, figyelembe véve az adatkezelés jellegét, összefüggéseit, hatályát és céljait, valamint azt az esetet, amikor az üzemeltető hatóság vagy köztestület. A képviselőnek az üzemeltető vagy az üzemeltető által meghatalmazott személy nevében kell eljárnia, és bármely felügyeleti hatóság kapcsolatba léphet vele. A képviselőt az üzemeltető vagy az üzemeltető által meghatalmazott személy írásbeli meghatalmazásával kifejezetten ki kell jelölni, hogy a nevében eljárjon az e rendelet szerinti kötelezettségeik tekintetében. Ilyen képviselő kijelölése nem érinti az üzemeltető vagy az üzemeltető által meghatalmazott személy felelősségét vagy felelősségét jelen rendelet alapján. Az ilyen képviselőnek az üzemeltetőtől vagy az üzemeltető által meghatalmazott személytől kapott megbízásnak megfelelően kell ellátnia feladatait, ideértve az illetékes felügyeleti hatóságokkal való együttműködést az e rendeletnek való megfelelés biztosítása érdekében hozott intézkedések tekintetében. A kijelölt képviselőt olyan eljárásoknak kell alávetni, amelyek biztosítják a jogszabályok betartását abban az esetben, ha az üzemeltető vagy az üzemeltető által meghatalmazott személy nem tartja be e rendeletet.
(81) Az e rendelet által az üzemeltető által meghatalmazott személy által az üzemeltető nevében végrehajtandó adatkezelésre vonatkozó követelményeknek való megfelelés érdekében, amikor az adatkezelési tevékenységet az üzemeltető által meghatalmazott személyre ruházza át, az utóbbi csak olyan felhatalmazott személyeket alkalmazhat, akik kellő garanciát nyújtanak – különösen a szaktudás, a megbízhatóság és az erőforrások tekintetében – az e rendeletben előírt követelményeknek megfelelő műszaki és szervezési intézkedések végrehajtására, beleértve a feldolgozás biztonságát is. Az üzemeltető által felhatalmazott személy által jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz való ragaszkodás az üzemeltető kötelezettségeinek való megfelelés bizonyítására szolgál. Az adatkezelésnek az üzemeltető által meghatalmazott személy általi végrehajtását uniós jogon vagy nemzeti jogon alapuló szerződésnek vagy más típusú jogi aktusnak kell szabályoznia, amely kötelezettségeket ír elő az üzemeltető által meghatalmazott személy számára az üzemeltetővel kapcsolatban, amely meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintett személyek kategóriáit, és figyelembe kell vennie az üzemeltető által ezzel összefüggésben meghatalmazott személy konkrét feladatait és felelősségét. az elvégzendő adatkezelésről, valamint az érintett személy jogaira és szabadságaira vonatkozó kockázatról. Az üzemeltető és az üzemeltető által felhatalmazott személy dönthet úgy, hogy egyedi szerződést vagy általános szerződési feltételeket alkalmaz, amelyeket vagy közvetlenül a Bizottság, vagy egy felügyeleti hatóság fogad el a következetességi mechanizmusnak megfelelően, majd a Bizottság fogad el. Az üzemeltető nevében végzett adatkezelést követően az üzemeltető által meghatalmazott személynek – az üzemeltető választása szerint – vissza kell küldenie vagy törölnie kell a személyes adatokat, kivéve, ha az uniós jog vagy az azt megállapító belső jog előírja a személyes adatok tárolását. az üzemeltető által meghatalmazott személy kötelezettségeit.
(82) Az e rendeletnek való megfelelés bizonyítása érdekében az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek nyilvántartást kell vezetnie a felelőssége alá tartozó adatfeldolgozási tevékenységekről. Minden üzemeltetőnek és az üzemeltető által felhatalmazott személynek kötelessége együttműködni a felügyeleti hatósággal, és kérésre rendelkezésére bocsátani ezeket a nyilvántartásokat, hogy azok felhasználhatók legyenek a vonatkozó adatkezelési műveletek nyomon követésére. (83) A biztonság fenntartása és az e rendeletet sértő feldolgozás megelőzése érdekében az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek fel kell mérnie a feldolgozásban rejlő kockázatokat, és intézkedéseket kell hoznia e kockázatok csökkentésére, például titkosítást. Ezeknek az intézkedéseknek megfelelő szintű biztonságot kell biztosítaniuk, beleértve a bizalmas kezelést is, figyelembe véve a fejlesztés jelenlegi állását és a végrehajtás költségeit a kockázatokkal és az adatok természetével összefüggésben.
személyes jellem, amelynek védelmét biztosítani kell. A személyes adatok biztonságát fenyegető kockázat értékelése során figyelmet kell fordítani az adatkezeléssel járó kockázatokra, mint például a továbbított, tárolt vagy más módon kezelt személyes adatok megsemmisülése, elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala, vagy azokhoz való jogosulatlan hozzáférés. jogellenesen, ami különösen fizikai, anyagi vagy erkölcsi károkhoz vezethet.
(84) Az e rendelet rendelkezéseinek való megfelelés elősegítése érdekében azokban az esetekben, amikor az adatfeldolgozási műveletek nagy valószínűséggel magas kockázatot jelentenek a természetes személyek jogaira és szabadságaira nézve, az üzemeltetőnek kell felelnie az adatvédelemre vonatkozó hatásvizsgálat elvégzéséért, amely különösen e kockázat eredetét, jellegét, specifikusságát és súlyosságát becsüli meg. Az értékelés eredményét figyelembe kell venni a megfelelő intézkedések meghatározásakor annak bizonyítására, hogy a személyes adatok kezelése megfelel e rendeletnek. Ha az adatvédelemre gyakorolt hatás értékelése azt mutatja, hogy az adatkezelési műveletek magas kockázattal járnak, amelyet az üzemeltető a rendelkezésre álló technológia és a végrehajtási költségek tekintetében nem tud megfelelő intézkedésekkel mérsékelni, az adatvédelmi hatósággal konzultálni kell feldolgozás előtt.
(85) Ha azt nem oldják meg időben és megfelelő módon, a személyes adatok biztonságának megsértése a természetes személyeknek fizikai, anyagi vagy erkölcsi károkat okozhat, például a személyes adataik feletti ellenőrzés elvesztését vagy korlátozását. jogaik megsértése, megkülönböztetés, személyazonosság-lopás vagy csalás, anyagi veszteség, az álnevek jogosulatlan visszavonása, a hírnév megsértése, a szakmai titoktartással védett személyes adatok bizalmasságának elvesztése vagy bármely más jelentős gazdasági vagy társadalmi jellegű hátrány az érintett természetes személy számára. Ezért az üzemeltetőnek, amint tudomást szerzett a személyes adatok biztonságának megsértéséről, haladéktalanul, de lehetőség szerint legkésőbb 72 órán belül be kell jelentenie a felügyeleti hatóságnak, kivéve, ha az üzemeltető a felelősség elvével összhangban bizonyítani tudja, hogy a személyes adatok biztonságának megsértése valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentést 72 órán belül nem lehet megtenni, akkor a késedelem okait tartalmaznia kell, és a tájékoztatás fokozatosan, további késedelem nélkül adható.
(86) Az üzemeltetőnek indokolatlan késedelem nélkül közölnie kell az érintettel a személyes adatok biztonságának megsértését, ha az incidens valószínűleg magas kockázatot jelent a természetes személy jogaira és szabadságaira nézve, hogy lehetővé tegye számára a személyes adatok biztonságának megsértését. szükséges óvintézkedéseket. A közleménynek ismertetnie kell a személyes adatok biztonságának megsértésének természetét, és ajánlásokat kell tartalmaznia az érintett természetes személy számára az esetleges negatív hatások mérséklése érdekében. Az érintettekkel való kommunikációt a lehető leghamarabb és a felügyeleti hatósággal szorosan együttműködve kell megtenni, tiszteletben tartva a felügyeleti hatóság vagy más illetékes hatóságok, például a bűnüldöző hatóságok által adott iránymutatásokat. Például az azonnali kárveszély mérséklésének szükségessége az érintettekkel való azonnali közlést követel meg, míg a személyes adatok biztonságának további megsértése vagy a személyes adatok biztonságának hasonló megsértése elleni megfelelő intézkedések végrehajtása hosszabb közlési határidőt indokolhat. (87) Meg kell állapítani, hogy végrehajtottak-e minden megfelelő technológiai védelmi és szervezési intézkedést annak érdekében, hogy azonnal megállapítsák, ha a személyes adatok biztonsága megsértése történt-e, és haladéktalanul értesíteni lehessen a felügyeleti hatóságot és a megcélzott személyt. Azt, hogy a bejelentést indokolatlan késedelem nélkül tették-e meg, figyelembe kell venni különösen a személyes adatok biztonságának megsértése természetére és súlyosságára, valamint annak az érintettre gyakorolt következményeire és negatív hatásaira. Ez a bejelentés a felügyeleti hatóság beavatkozását vonhatja maga után, az e rendeletben meghatározott feladat- és hatáskörben.
(88) A személyes adatok biztonságának megsértéséről szóló értesítés formátumára és eljárásaira vonatkozó részletes szabályok megállapításakor kellő figyelmet kell fordítani a megsértés körülményeire, beleértve annak megállapítását, hogy a személyes adatok védelme biztosított-e.
személyi biztonságát megfelelő technikai védelmi intézkedésekkel biztosították vagy nem, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés egyéb formáinak valószínűségét. Ezenkívül az ilyen szabályoknak és eljárásoknak figyelembe kell venniük a bűnüldöző hatóságok jogos érdekeit azokban az esetekben, amikor a korai közzététel szükségtelenül megnehezítheti a személyes adatok megsértése körülményeinek kivizsgálását.
(89) A 95/46/EK irányelv általános kötelezettséget írt elő a személyes adatok feldolgozásáról a felügyeleti hatóságok felé. Bár a vonatkozó kötelezettség adminisztratív és pénzügyi terheket generál, nem mindig járult hozzá a személyes adatok védelmének javításához. Ezért az ilyen általános, differenciálatlan bejelentési kötelezettségeket hatályon kívül kell helyezni, és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek ehelyett azokra a feldolgozási műveletekre összpontosítanak, amelyek természetüknél fogva nagy kockázatot jelentenek a természetes személyek jogaira és szabadságaira nézve, hatókörüknél fogva. összefüggéseik és céljaik szerint. Ilyen típusú adatkezelési műveletek lehetnek azok, amelyek különösen új technológiák alkalmazását feltételezik, vagy olyan új típusú műveleteket jelentenek, amelyekre vonatkozóan az üzemeltető korábban nem végzett adatvédelmi hatásvizsgálatot, vagy amelyek az adatkezelés időpontjában válnak szükségessé. az első feldolgozás óta eltelt időszak.
(90) Ilyen esetekben az üzemeltetőnek a feldolgozás előtt értékelnie kell az adatvédelemre gyakorolt hatást annak érdekében, hogy felmérje a magas kockázat megvalósulásának konkrét mértékét és súlyosságát, figyelembe véve a kockázat jellegét, terjedelmét. , az adatkezelés összefüggései és céljai, valamint a kockázati források. A vonatkozó hatásvizsgálatnak tartalmaznia kell különösen azokat az intézkedéseket, garanciákat és mechanizmusokat, amelyeket az adott kockázat mérséklésére, a személyes adatok védelmének biztosítására és az e rendeletnek való megfelelés igazolására tekintettek.
(91) Ennek különösen azokra a nagyszabású adatfeldolgozási műveletekre kell vonatkoznia, amelyek jelentős mennyiségű személyes adat feldolgozását célozzák regionális, nemzeti vagy nemzetek feletti szinten, és amelyek nagyszámú megcélzott személyt érinthetnek, és amelyek valószínűleg magas kockázatot jelentenek például érzékenységük miatt, ha az elért technológiai tudásszintnek megfelelően új technológiát nagyarányúan alkalmaznak, valamint egyéb olyan feldolgozási műveleteket, amelyek magas kockázatot jelentenek a jogok, ill. az érintettek szabadságjogait, különösen akkor, ha az érintett műveletek korlátozzák az érintettek jogaik gyakorlásának lehetőségét. Az adatvédelemre gyakorolt hatás értékelését olyan helyzetekben is el kell végezni, amikor a személyes adatokat bizonyos természetes személyeket megcélzó döntések meghozatala céljából dolgoznak fel, a természetes személyekkel kapcsolatos személyes vonatkozások szisztematikus és átfogó értékelését követően, a személyes adatok létrehozása alapján. profilok az adott adatokhoz, vagy a személyes adatok, biometrikus adatok vagy büntetőítéletekre és bűncselekményekre vagy kapcsolódó biztonsági intézkedésekre vonatkozó adatok különleges kategóriáinak feldolgozását követően. Az adatvédelemre gyakorolt hatás felmérése ugyanúgy szükséges a nyilvánosság számára hozzáférhető területek nagyarányú nyomon követéséhez, különösen optoelektronikai eszközök használata vagy bármely más olyan művelet esetében, ahol az illetékes felügyeleti hatóság úgy ítéli meg, hogy a feldolgozás valószínű. magas kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, különösen azért, mert megakadályozzák az érintetteket valamely jog gyakorlásában vagy szolgáltatás vagy szerződés igénybevételében, vagy mert ezeket rendszeresen, nagy léptékben hajtják végre. A személyes adatok kezelése nem tekinthető nagyarányúnak, ha az adatkezelés betegektől vagy ügyfelektől származó személyes adatokra vonatkozik egy adott orvos, más egészségügyi szakember vagy ügyvéd által. Ezekben az esetekben az adatvédelmi hatásvizsgálat nem lehet kötelező.
(92) Bizonyos körülmények között ésszerű és gazdaságilag hasznos lehet, ha az adatvédelmi hatásvizsgálat tágabb perspektívával rendelkezik, mint egyetlen projekté, például ha a hatóságok vagy állami szervek közös alkalmazási vagy feldolgozási platformot kívánnak létrehozni, vagy több szereplő közös alkalmazást vagy közös feldolgozási környezetet kíván bevezetni egy ipari ágazaton vagy szegmensen belül, vagy egy nagy léptékű horizontális tevékenységhez.
(93) A hatósági vagy köztestületi feladatellátás alapjául szolgáló, a szóban forgó műveletet vagy adatkezelési műveletsort szabályozó nemzeti jogszabály elfogadásával összefüggésben a tagállamok szükségesnek ítélhetik a feldolgozási tevékenységek elvégzése előtt végezzen ilyen értékelést.
(94) Ha az adatvédelemre vonatkozó hatásvizsgálat azt mutatja, hogy a feldolgozás garanciák, biztonsági intézkedések és kockázatcsökkentő mechanizmusok hiányában magas kockázatot jelentene a természetes személyek jogaira és szabadságaira nézve, és az üzemeltető úgy ítéli meg, hogy a kockázat Az elérhető technológiák és megvalósítási költségek tekintetében ésszerű eszközökkel nem mérsékelhető, a feldolgozási tevékenység megkezdése előtt konzultálni kell a felügyeleti hatósággal. Valószínűleg ilyen magas kockázatot generálnak bizonyos típusú adatkezelések, valamint az adatkezelés mértéke és gyakorisága, amely szintén károkhoz vezethet, vagy érintheti a természetes személyek jogait és szabadságait. A felügyeleti hatóságnak bizonyos határidőn belül válaszolnia kell a konzultáció iránti kérelemre. A felügyeleti hatóság adott határidőn belüli reakciójának hiánya azonban nem érintheti a felügyeleti hatóságnak az e rendeletben meghatározott feladatainak és hatásköreinek – ideértve az adatfeldolgozási műveletek megtiltására vonatkozó jogát is – szerinti beavatkozását. E konzultációs folyamat részeként a szóban forgó adatkezeléssel kapcsolatban elvégzett adatvédelmi hatásvizsgálat eredményét továbbíthatják a felügyeleti hatóságnak, különös tekintettel a természetes személyek jogait és szabadságait veszélyeztető kockázat csökkentésére tervezett intézkedésekre.
(95) Az üzemeltető által meghatalmazott személynek szükség esetén és kérésre segítenie kell az üzemeltetőt az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek betartásában.
(96) A személyes adatok kezelését előíró jogalkotási vagy szabályozási intézkedés kidolgozása során a felügyeleti hatósággal is konzultálni kell annak érdekében, hogy garantálható legyen a vizsgált adatkezelés e rendeletnek, és különösen annak a kockázatnak a csökkentése érdekében, amelynek az érintett személy ki van téve.
(97) Ha az adatfeldolgozást hatóság végzi, kivéve a bíróságokat vagy a független igazságügyi hatóságokat, amikor bírói minőségükben járnak el, ha a magánszektorban az adatkezelést olyan szereplő végzi, akinek fő tevékenysége olyan adatkezelési műveletek, amelyek az érintettek rendszeres és szisztematikus, nagyarányú megfigyelését igénylik, vagy ha az üzemeltető vagy az üzemeltető által meghatalmazott személy fő tevékenysége különleges kategóriájú személyes adatok és bűnügyi adatok nagyarányú kezelése elítélések és jogsértések esetén az adatvédelemre vonatkozó jogszabályokat és gyakorlatokat speciális ismeretekkel rendelkező személynek segítenie kell az üzemeltetőt vagy az üzemeltető által felhatalmazott személyt az e rendelet betartásának belső ellenőrzésében. A magánszektorban az üzemeltető fő tevékenységei az alaptevékenységekre vonatkoznak, nem pedig a személyes adatok feldolgozására, mint kiegészítő tevékenységeire. A szükséges szakismereti szintet különösen az elvégzett adatkezelési műveletektől és az üzemeltető vagy az üzemeltető által meghatalmazott személy által feldolgozott személyes adatok védelmének szintjétől függően kell megállapítani. Ezeknek az adatvédelmi tisztviselőknek függetlenül attól, hogy az üzemeltető alkalmazottai-e vagy sem, képesnek kell lenniük feladataik és feladataik önálló ellátására.
(98) Az üzemeltetők kategóriáit vagy az üzemeltetők által felhatalmazott személyeket képviselő szövetségeket vagy egyéb testületeket ösztönözni kell magatartási kódexek kidolgozására e rendelet korlátain belül, hogy megkönnyítsék e rendelet hatékony alkalmazását, figyelembe véve az üzemeltetők sajátos jellemzőit. az egyes ágazatokban végzett feldolgozások, valamint a mikrovállalkozások, valamint a kis- és középvállalkozások sajátos igényei. Az ilyen magatartási kódexek különösen az üzemeltetők és az üzemeltetők által felhatalmazott személyek kötelezettségeit módosíthatják, figyelembe véve az adatkezeléssel kapcsolatos, a természetes személyek jogaira és szabadságaira nézve valószínűleg felmerülő kockázatot.
(99) Amikor magatartási kódexet dolgoznak ki, vagy módosítanak vagy kiterjesztenek egy ilyen kódexet, az általuk felhatalmazott gazdasági szereplők vagy személyek kategóriáit képviselő egyesületek és egyéb szervek.
az üzemeltetőknek konzultálniuk kell az érintett felekkel, beleértve az érintetteket is, ha lehetséges, és figyelembe kell venniük a benyújtott hozzászólásokat és az ilyen konzultációkon kifejtett véleményeket. (100) Az átláthatóság és az e rendeletnek való megfelelés javítása érdekében ösztönözni kell a tanúsítási mechanizmusok, valamint az adatvédelmi pecsétek és jelölések létrehozását, amelyek lehetővé teszik az érintettek számára, hogy gyorsan felmérhessék az érintett termékekhez és szolgáltatásokhoz kapcsolódó adatvédelmi adatok szintjét.
(101) Az Unión kívüli országokba és nemzetközi szervezetekbe irányuló személyes adatok áramlása szükséges a nemzetközi kereskedelem és a nemzetközi együttműködés fejlesztéséhez. Ezen áramlások növekedése új kihívásokat és aggályokat generált a személyes adatok védelmével kapcsolatban. Ha azonban személyes adatot továbbítanak az Unióból harmadik országokból vagy nemzetközi szervezetekből származó üzemeltetőknek, üzemeltetők által felhatalmazott személyeknek vagy egyéb címzetteknek, a természetes személyeknek az Unióban e rendelet által biztosított védelmi szintje nem csökkenhet, beleértve a a személyes adatok későbbi továbbítása harmadik országból vagy nemzetközi szervezetből üzemeltetőknek, azonos vagy másik harmadik országbeli vagy nemzetközi szervezet üzemeltetői által felhatalmazott személyeknek. Mindenesetre a harmadik országokba és nemzetközi szervezetekbe történő továbbítás csak e rendelet teljes körű betartása mellett hajtható végre. Adattovábbításra csak akkor kerülhet sor, ha az üzemeltető vagy az üzemeltető által meghatalmazott személy a jelen rendelet egyéb rendelkezéseinek betartása mellett teljesíti a személyes adatok harmadik országba vagy nemzetközi szervezetek részére történő továbbítására vonatkozó, e rendelet rendelkezései által előírt feltételeket. .
(102) Ez a rendelet nem érinti az Unió és harmadik országok között a személyes adatok továbbításának szabályozása érdekében kötött nemzetközi megállapodásokat, beleértve az érintett személyekre vonatkozó megfelelő garanciákat. A tagállamok nemzetközi megállapodásokat köthetnek személyes adatok harmadik országoknak vagy nemzetközi szervezeteknek történő továbbításáról, amennyiben az ilyen megállapodások nem érintik ezt a rendeletet vagy az uniós jog egyéb rendelkezéseit, és az érintett személyek alapvető jogainak megfelelő szintű védelmét tartalmazzák.
(103) A Bizottság az Unió egészére kiterjedő hatállyal határozhat úgy, hogy egy harmadik ország, egy harmadik ország területe vagy egy bizonyos ágazata vagy egy nemzetközi szervezet megfelelő szintű adatvédelmet kínál-e, ezzel biztosítva a jogbiztonságot és az egységességet az Unióban. azzal a harmadik országgal vagy nemzetközi szervezettel kapcsolatban, amelyről úgy vélik, hogy ilyen szintű védelmet biztosít. Ezekben az esetekben a személyes adatok továbbítása az adott harmadik országba vagy nemzetközi szervezetbe további engedélyek megszerzése nélkül is megtörténhet. A Bizottság a harmadik országnak vagy nemzetközi szervezetnek szóló értesítés és teljes indoklás elküldése után dönthet úgy is, hogy visszavonja az ilyen határozatot.
(104) Az Unió alapját képező alapvető értékekkel, különösen az emberi jogok védelmével összhangban a Bizottságnak a harmadik országra vagy egy harmadik ország meghatározott területére vagy ágazatára vonatkozó értékelése során figyelembe kell vennie a figyelembe veszi, hogyan tartja tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való hozzáférést, valamint a nemzetközi emberi jogi normákat és szabványokat, valamint általános és ágazati jogszabályait, beleértve a közbiztonsági, védelmi és nemzetbiztonsági jogszabályokat, valamint a közrendet és a büntetőjogot. A harmadik ország meghatározott területére vagy ágazatára vonatkozó védelmi szint megfelelőségéről szóló döntés meghozatalakor figyelembe kell venni az egyértelmű és objektív kritériumokat, például a konkrét adatfeldolgozási tevékenységeket, valamint az alkalmazandó jogi normák és jogszabályok hatályát az adott országban. harmadik ország. A harmadik országnak olyan garanciákat kell kínálnia, amelyek megfelelő szintű védelmet biztosítanak, lényegében az Unión belül biztosítottal egyenértékű védelmet, különösen akkor, ha a személyes adatokat egy vagy több meghatározott ágazatban dolgozzák fel. A harmadik országnak különösen hatékony független adatvédelmi felügyeletet kell biztosítania, és együttműködési mechanizmusokat kell biztosítania a tagállamok adatvédelmi hatóságaival, az érintettek pedig hatékony és érvényesíthető jogokat, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségeket élveznek.
(105) A harmadik ország vagy nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottságnak figyelembe kell vennie a harmadik országnak vagy nemzetközi szervezetnek a többoldalú vagy regionális rendszerekben való részvételéből eredő kötelezettségeket, különösen az adatvédelem tekintetében. -vel
személyes jellegét, valamint az ilyen kötelezettségek végrehajtását. Különösen figyelembe kell venni a harmadik ország csatlakozását az Európa Tanács 28. január 1981-i, a személyes adatok automatizált feldolgozása tekintetében az egyének védelméről szóló egyezményéhez és a kiegészítő jegyzőkönyvhöz. A Bizottságnak konzultálnia kell a bizottsággal, amikor értékeli a védelem szintjét harmadik országokban vagy nemzetközi szervezetekben.
(106) A Bizottságnak nyomon kell követnie a védelem szintjére vonatkozó határozatok végrehajtását egy harmadik országban vagy egy harmadik ország területén vagy egy meghatározott ágazatában, vagy egy nemzetközi szervezetben, és figyelemmel kell kísérnie a 25. cikk (6) bekezdése alapján elfogadott határozatok működését. ) vagy a 26/4/EK irányelv 95. cikke (46) bekezdésének megfelelően. A védelem szintjének megfelelőségére vonatkozó határozataiban a Bizottságnak rendelkeznie kell egy mechanizmusról ezek működésének időszakos felülvizsgálatára. Ezt az időszakos felülvizsgálatot az érintett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és figyelembe kell venni a harmadik országban vagy nemzetközi szervezetben végbemenő összes lényeges fejleményt. Az időszakos felülvizsgálatok nyomon követése és végrehajtása céljából a Bizottságnak figyelembe kell vennie az Európai Parlament és a Tanács, valamint más releváns szervek és források véleményét és megállapításait. A Bizottságnak ésszerű időn belül értékelnie kell a múltban hozott határozatok működését, és minden lényeges megállapításról jelentést kell tennie a bizottságnak, az (EU) rendelet értelmében. Az Európai Parlament és a Tanács 182/2011/EK rendelete (1) az e rendelet alapján megállapított, az Európai Parlament és a Tanács XNUMX/XNUMX.
(1) A 182/2011. Az Európai Parlament és a Tanács 16. február 2011-i 55/28.2.2011 sz. rendelete a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 13., XNUMX., XNUMX. o. ).
(107) A Bizottság elismerheti azt a tényt, hogy egy harmadik ország, egy harmadik ország területe vagy meghatározott ágazata vagy egy nemzetközi szervezet már nem biztosítja az adatvédelem megfelelő szintjét. Következésképpen meg kell tiltani a személyes adatoknak az érintett harmadik országnak vagy nemzetközi szervezetnek történő továbbítását, kivéve, ha az e rendeletben az átvitelre vonatkozóan meghatározott követelmények megfelelő biztosítékok mellett teljesülnek, ideértve a kötelező vállalati szabályokat és a különleges helyzetektől való eltéréseket. Ebben az esetben rendelkezni kell a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkról. A Bizottságnak kellő időben tájékoztatnia kell a harmadik országot vagy a nemzetközi szervezetet ezekről az okokról, és konzultációkat kell kezdeményeznie vele a helyzet orvoslása érdekében.
(108) A védelem szintjének megfelelőségére vonatkozó határozat hiányában az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek intézkedéseket kell hoznia a harmadik országokban fennálló adatvédelem hiányának kompenzálására az adatokra vonatkozó megfelelő garanciák révén. téma. Az ilyen megfelelő biztosítékok magukban foglalhatják a kötelező vállalati szabályok, a Bizottság által elfogadott szabványos adatvédelmi záradékok, a felügyeleti hatóság által elfogadott szabványos adatvédelmi záradékok vagy a felügyeleti hatóság által engedélyezett szerződéses záradékok alkalmazását. E garanciáknak biztosítaniuk kell az adatvédelmi követelményeknek és az érintettek uniós adatkezelésnek megfelelő jogainak betartását, ideértve az érintettek kifogásolható jogainak és hatékony jogorvoslati lehetőségeinek elérhetőségét, beleértve a hatékony jóvátételhez való hozzáférés jogát közigazgatási vagy bírósági úton. valamint kártérítés kérésének joga az Unióban vagy egy harmadik országban. Ezeknek különösen a személyes adatok feldolgozásával kapcsolatos általános elvek betartására kell vonatkozniuk: az adatvédelem elve a fogantatás pillanatától kezdve és az implicit adatvédelem elve. Az átruházást hatóságok vagy köztestületek is végrehajthatják harmadik országok hatóságaival vagy közintézményeivel, vagy megfelelő hatáskörrel és feladatkörrel rendelkező nemzetközi szervezetekkel, többek között olyan rendelkezések alapján, amelyek ellentétes és hatékony jogokat biztosítanak az érintett személyek számára, amelyeket az adminisztratív megállapodásokban, például egyetértési nyilatkozatban. Az illetékes felügyeleti hatóság engedélyét kell beszerezni, ha nem jogilag kötelező erejű közigazgatási megállapodások alapján kínálnak garanciákat.
(109) Az a lehetőség, hogy az üzemeltető vagy az üzemeltető által felhatalmazott személy a Bizottság vagy egy felügyeleti hatóság által elfogadott szabványzáradékokat alkalmazzon az adatvédelem területén, nem akadályozhatja meg az üzemeltetőket vagy az általuk felhatalmazott személyeket a szabvány felvételében. záradékok az ügyben
nagyobb szerződésben, például az üzemeltető által meghatalmazott személy és az üzemeltető által meghatalmazott másik személy között létrejött szerződésben, sem egyéb kikötések vagy kiegészítő garanciák kiegészítése, mindaddig, amíg azok sem közvetlenül, sem közvetve nem sértik a szerződéses a Bizottság vagy egy felügyeleti hatóság által elfogadott szabványokat zárja ki, vagy nem sérti az érintett személyek jogait vagy alapvető szabadságait. Az üzemeltetőket és az üzemeltetők által felhatalmazott személyeket arra kell ösztönözni, hogy olyan szerződéses kötelezettségvállalások révén nyújtsanak további garanciákat, amelyek kiegészítik a szabványos védelmi záradékokat.
(110) Egy közös gazdasági tevékenységet folytató vállalkozáscsoportnak vagy vállalkozáscsoportnak képesnek kell lennie arra, hogy az Unióból az ugyanazon a vállalkozáscsoporton vagy a vállalkozáscsoporton belüli szervezetek számára jóváhagyott kötelező társasági szabályokat alkalmazza. közös gazdasági tevékenység, feltéve, hogy az ilyen társasági szabályok minden alapvető elvet és kifogásolható jogot tartalmaznak a személyes adatok továbbítására vagy továbbítási kategóriáira vonatkozó megfelelő biztosítékok biztosítása érdekében.
(111) Gondoskodni kell arról, hogy bizonyos körülmények között továbbításra kerüljön sor, ha az érintett kifejezett hozzájárulását adta, ha az továbbítás eseti és szerződéssel vagy jogi lépéssel összefüggésben szükséges, függetlenül attól, hogy ez a bírósági eljárás vagy közigazgatási vagy bíróságon kívüli eljárás keretében, beleértve a szabályozó szervekhez benyújtott eljárásokat is. Rendelkezni kell továbbá az átadások végrehajtásának lehetőségéről, ha az uniós jogban vagy a nemzeti jogban megállapított fontos közérdekű okok ezt megkövetelik, vagy ha az átvitelt törvény által létrehozott nyilvántartásból hajtják végre, és a nyilvánosság számára kívánják megtekinteni, vagy olyan személyek, akiknek jogos érdekük fűződik. Utóbbi esetben az ilyen továbbítás nem érintheti a személyes adatok összességét vagy a nyilvántartásban szereplő adatok összes kategóriáját, és ha a nyilvántartásba jogos érdekkel rendelkező személyek kívánnak betekinteni, az átvitelt végre kell hajtani. csak az érintett személyek kérésére, vagy ha ők a címzettek, az érintett érdekeit és alapvető jogait maradéktalanul figyelembe véve.
(112) Ezeket a mentességeket különösen a fontos közérdekű okokból kért és szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- vagy vámigazgatási szervek közötti, pénzügyi felügyeleti hatóságok, illetékes hatóságok közötti nemzetközi adatcsere esetén. társadalombiztosítási vagy közegészségügyi szolgáltatások, például a fertőző betegségek kapcsolati pontjainak felderítése vagy a sportban előforduló dopping visszaszorítása és/vagy megszüntetése esetén. A személyes adatok továbbítását akkor is jogszerűnek kell tekinteni, ha az az érintett vagy más személy létfontosságú érdekei szempontjából lényeges érdek védelme érdekében szükséges, ideértve az érintett személy testi épségét vagy életét. nem képes beleegyezését adni. A védelem szintjének megfelelőségére vonatkozó határozat hiányában az uniós jog vagy a nemzeti jog fontos közérdekű okokból kifejezetten korlátozhatja az adatok meghatározott kategóriáinak harmadik országba vagy nemzetközi szervezetbe történő továbbítását. A tagállamoknak értesíteniük kell a Bizottságot ezekről a rendelkezésekről. A hozzájárulásra fizikailag vagy jogilag képtelen érintett személyes adatainak bármely nemzetközi humanitárius szervezetnek történő továbbítása a genfi egyezményekből eredő feladat teljesítése vagy a fegyveres konfliktusokban alkalmazandó nemzetközi humanitárius jog betartása érdekében, fontos közérdekből, vagy azért, mert ez az érintett létfontosságú érdeke.
(113) A nem ismétlődőnek tekinthető továbbítások, amelyek csak korlátozott számú érintettre vonatkoznak, az üzemeltető által követett jogos érdekek elérése érdekében is végrehajthatók, ha ezek az érdekek nem érvényesülnek, vagy a jogok nem érvényesülnek. és ha az üzemeltető értékelte az adattovábbítással kapcsolatos összes körülményt. Az üzemeltetőnek különös figyelmet kell fordítania a személyes adatok természetére, a javasolt adatkezelési művelet vagy műveletek céljára és időtartamára, valamint a származási országban, a harmadik országban és a végső célországban fennálló helyzetre, és gondoskodnia kell a megfelelő garanciák a természetes személyek alapvető jogainak és szabadságainak védelmére, miben
személyes adataik kezelésével kapcsolatban. Az ilyen átruházások csak olyan fennmaradó esetekben lehetségesek, amikor az átruházás egyéb indokai közül egyik sem alkalmazható. A tudományos vagy történelmi kutatási, illetve statisztikai célokat tekintve figyelembe kell venni a társadalom tudásszint-növekedéssel kapcsolatos jogos elvárásait. Az üzemeltetőnek tájékoztatnia kell a felügyeleti hatóságot és az érintettet az adattovábbításról.
(114) Mindenesetre, ha a Bizottság nem hozott döntést az adatvédelem megfelelő szintjéről egy harmadik országban, az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek olyan megoldásokat kell alkalmaznia, amelyek ellentmondható és hatékony jogokat kínálnak az érintettek számára a az adatok továbbítását követően az Unióban, annak érdekében, hogy az érintett személyek továbbra is részesüljenek alapvető jogokból és garanciákból.
(115) Egyes harmadik országok törvényeket, rendeleteket és egyéb jogi aktusokat fogadtak el, amelyek célja a tagállamok joghatósága alá tartozó természetes és jogi személyek adatkezelési tevékenységeinek közvetlen szabályozása. Ide tartozhatnak harmadik országok bírósági végzései vagy közigazgatási hatóságainak határozatai, amelyek megkövetelik az üzemeltetőtől vagy az üzemeltető által felhatalmazott személytől személyes adatok továbbítását vagy nyilvánosságra hozatalát, és amelyek nem alapulnak hatályos nemzetközi megállapodáson, például a kölcsönös jogsegélyről szóló szerződésen. a megkereső harmadik ország és az Unió vagy egy tagállam között. E törvények, rendeletek és egyéb jogi aktusok területen kívüli alkalmazása sértheti a nemzetközi jogot, és akadályozhatja a természetes személyek e rendelet által az Unióban biztosított védelmét. Az átvitel csak akkor engedélyezhető, ha az e rendeletben meghatározott feltételek teljesülnek a harmadik országokba történő továbbításra vonatkozóan. Ez többek között akkor fordulhat elő, ha a közzétételre az uniós jogban vagy az üzemeltetőre vonatkozó belső jogban elismert fontos közérdekű ok miatt van szükség.
(116) A személyes adatok Unión kívüli, határokon átnyúló áramlása fokozott kockázatnak teheti ki a természetes személyek azon képességét, hogy gyakorolják adatvédelmi jogaikat, különösen az ezen információk jogellenes felhasználása vagy nyilvánosságra hozatala elleni védelmük biztosítása érdekében. A felügyeleti hatóságok ugyanakkor azt tapasztalhatják, hogy a határaikon kívül végzett tevékenységekkel kapcsolatban nem tudják kezelni a panaszokat, illetve nem tudnak vizsgálatot folytatni. A határokon átnyúló együttműködésre irányuló erőfeszítéseiket hátráltathatja a megelőzési vagy a jogorvoslati hatáskör elégtelensége, a jogi rendszerek heterogén természete és a gyakorlati akadályok, például az erőforrások korlátai is. Ezért elő kell mozdítani az adatvédelmi felügyeleti hatóságok közötti szorosabb együttműködést annak érdekében, hogy nemzetközi megfelelőikkel együtt tudjanak információt cserélni és vizsgálatokat lefolytatni. A személyes adatok védelmére vonatkozó jogszabályok alkalmazásának biztosítását elősegítő és kölcsönös nemzetközi segítségnyújtást célzó nemzetközi együttműködési mechanizmusok kialakítása érdekében a Bizottságnak és a felügyeleti hatóságoknak információt kell cserélniük és együttműködniük kell a hatáskörük gyakorlásával kapcsolatos tevékenységekben az illetékesekkel. harmadik országok hatóságai, viszonosság alapján és e rendelettel összhangban.
(117) Felügyeleti hatóságok felállítása a tagállamokban, amelyek felhatalmazást kapnak arra, hogy teljesen függetlenül végezzék el feladataikat és gyakorolják hatásköreiket, lényeges eleme a természetes személyek védelmének személyes adataik kezelése tekintetében. A tagállamoknak képesnek kell lenniük több felügyeleti hatóság létrehozására, amelyek tükrözik alkotmányos, szervezeti és igazgatási struktúrájukat.
(118) A felügyeleti hatóságok függetlensége nem jelentheti azt, hogy a felügyeleti hatóságok ne tartozhatnának a kiadásaikra vonatkozó ellenőrzési vagy felügyeleti mechanizmusok vagy joghatósági ellenőrzés alá.
(119) Ha egy tagállam több felügyeleti hatóságot hoz létre, akkor törvényi úton mechanizmusokat kell létrehoznia, amelyek biztosítják az érintett felügyeleti hatóságok hatékony részvételét a koherencia biztosítását szolgáló mechanizmusban. Az érintett tagállamnak ki kell jelölnie különösen azt a felügyeleti hatóságot, amely egyetlen kapcsolattartó funkciót lát el e hatóságoknak a mechanizmusban való hatékony részvétele érdekében, hogy biztosítsa a gyors és harmonikus együttműködést más felügyeleti hatóságokkal, bizottsággal és a Bizottsággal.
(120) Minden felügyeleti hatóságnak rendelkeznie kell a feladatai hatékony ellátásához szükséges pénzügyi és emberi erőforrásokkal, helyiségekkel és infrastruktúrával, beleértve a kölcsönös segítségnyújtáshoz és a más felügyeleti hatóságokkal való együttműködéshez kapcsolódókat az Unió egész területén. Minden felügyeleti hatóságnak külön éves költségvetéssel kell rendelkeznie, amely az általános állami vagy nemzeti költségvetés része lehet.
(121) A felügyeleti hatóság tagjára vagy tagjaira vonatkozó általános feltételeket minden tagállamban törvényben kell megállapítani, és különösen elő kell írniuk, hogy az érintett tagokat átlátható eljárás keretében nevezze ki vagy a parlament, a kormány vagy a a tagállam államfője a kormány, a kormánytag, az országgyűlés vagy az országgyűlési kamara, illetve a hazai jog által felhatalmazott független szerv javaslata alapján. A felügyeleti hatóság függetlenségének biztosítása érdekében tagjának vagy tagjainak feddhetetlenül kell eljárniuk, nem tehetnek a feladataikkal összeegyeztethetetlen intézkedéseket, és megbízatása alatt nem végezhetnek összeférhetetlen tevékenységet, függetlenül attól, hogy fizetik vagy nem. A felügyeleti hatóságnak saját személyzettel kell rendelkeznie, akiket a felügyeleti hatóság vagy a nemzeti jog alapján létrehozott független testület választ ki, és amely kizárólag a felügyeleti hatóság tagjának vagy tagjainak van alárendelve.
(122) Valamennyi felügyeleti hatóságot azon tagállam területén, amelyhez tartozik, hozzá kell rendelni ahhoz, hogy gyakorolja azokat a hatásköröket és teljesítse azokat a feladatokat, amelyek e rendelettel összhangban rá vannak ruházva.
Ide tartozik különösen az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek a saját tagállam területén belüli székhelye tevékenységével összefüggésben végzett adatkezelés, valamint a személyes adatoknak a hatóságok vagy a tagállamban eljáró magánszervezetek által végzett kezelése. a közérdek, a területéről származó érintetteket érintő adatkezelés, vagy az Unió területén lakóhellyel nem rendelkező üzemeltető vagy az üzemeltető által meghatalmazott személy által végzett adatkezelés. Ennek ki kell terjednie az érintett által benyújtott panaszok kezelésére, e rendelet alkalmazásával kapcsolatos vizsgálatok lefolytatására, valamint a nyilvánosság tájékoztatásának előmozdítására a személyes adatok feldolgozásával kapcsolatos kockázatokról, szabályokról, garanciákról és jogokról.
(123) A felügyeleti hatóságoknak nyomon kell követniük e rendelet rendelkezéseinek alkalmazását, és hozzá kell járulniuk annak következetes alkalmazásához az egész Unióban annak érdekében, hogy biztosítsák a természetes személyek védelmét személyes adataik feldolgozása során, és elősegítsék a szabad mozgást. a személyes adatok belső piacon belüli Ebben az értelemben a felügyeleti hatóságoknak együtt kell működniük egymással, valamint a Bizottsággal, anélkül, hogy a kölcsönös segítségnyújtásról vagy az együttműködésről a tagállamoknak megállapodásra lenne szükségük.
(124) Ha a személyes adatok kezelése az üzemeltető vagy az üzemeltető által meghatalmazott személy uniós irodájának tevékenysége keretében történik, és az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek több tagállamban is van irodája, vagy amelyben az üzemeltető vagy az üzemeltető által felhatalmazott személy egyetlen uniós irodájának tevékenységével összefüggésben megvalósuló adatkezelés több tagállam érintettjeit érinti vagy várhatóan jelentősen érinti, a fő felügyeleti hatóság fő hatóságként az üzemeltető vagy az üzemeltető által meghatalmazott személy irodája, vagy az üzemeltető vagy az üzemeltető által meghatalmazott személy kizárólagos székhelye jár el. Együtt kell működnie a többi érintett hatósággal, mert az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek a tagállama területén van irodája, mert a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintettek, vagy bejelentésre kerültek. egy panasz. Továbbá, ha az érintett tagállamban lakóhellyel nem rendelkező érintett nyújtott be panaszt, a panaszt benyújtó felügyeleti hatóságnak is érintett felügyeleti hatóságnak kell lennie. Az e rendelet végrehajtásával kapcsolatos bármely kérdésben iránymutatás kiadására vonatkozó feladatai részeként a bizottságnak képesnek kell lennie arra, hogy iránymutatást adjon ki különösen azokról a kritériumokról, amelyeket figyelembe kell venni annak meghatározásához, hogy
a szóban forgó adatkezelés jelentős mértékben érinti több tagállam érintettjeit, valamint a releváns és indokolt kifogás tartalmát illetően.
(125) A fő hatóságot fel kell hatalmazni arra, hogy kötelező erejű határozatokat fogadjon el az e rendelettel összhangban ráruházott hatáskörök alkalmazására vonatkozó intézkedésekről. Főhatóságként a felügyeleti hatóságnak szorosan be kell vonnia és koordinálnia kell az érintett felügyeleti hatóságok tevékenységét a döntéshozatali folyamatba. Azokban az esetekben, amikor a határozat az érintett személy panaszának részleges vagy teljes elutasítása, az ilyen határozatot annak a felügyeleti hatóságnak kell meghoznia, amelyhez a panaszt benyújtották. (126) A határozatban a fő felügyeleti hatóságnak és az érintett felügyeleti hatóságoknak közösen kell megállapodniuk, és az üzemeltető vagy az üzemeltető által meghatalmazott személy központi irodájára vagy egyetlen irodájára kell vonatkoznia, és kötelező érvényűnek kell lennie az üzemeltetőre és az általa meghatalmazott személyre nézve. az üzemeltető. Az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek meg kell tennie a szükséges intézkedéseket e rendelet betartása, valamint az üzemeltető székhelye szerinti fő felügyeleti hatóság vagy az üzemeltető által meghatalmazott személy által közölt határozat végrehajtása érdekében. feldolgozási tevékenységek az Unióban .
(127) Minden olyan felügyeleti hatóságnak, amely nem jár el fő felügyeleti hatóságként, hatáskörrel kell rendelkeznie olyan helyi esetek kezelésére, amelyekben az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek több tagállamban is van irodája, de az érintett adatkezelés tárgya aggályos. csak egyetlen tagállamban végzett adatkezelés, amely csak az adott tagállam érintettjeit érinti, például ha a tárgy a munkavállalók személyes adatainak feldolgozása a munkaerővel kapcsolatos konkrét összefüggésben tagállamból. Ilyen esetekben a felügyeleti hatóságnak haladéktalanul tájékoztatnia kell az ügyről a vezető felügyeleti hatóságot. Tájékoztatást követően a vezető felügyeleti hatóságnak el kell döntenie, hogy a vezető felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti együttműködésről szóló rendelkezés (az „egyablakos ügyintézés” mechanizmus) értelmében maga foglalkozik-e az üggyel, vagy ha a felügyeleti hatóság, amely arról tájékoztatta, neki helyi szinten kell foglalkoznia az üggyel. Az ügy kezelésének eldöntésekor a vezető felügyeleti hatóságnak figyelembe kell vennie, hogy az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek van-e telephelye a bejelentő felügyeleti hatóság tagállamában annak érdekében, hogy garantálni lehessen a szabályok hatékony betartását. az üzemeltetőre vagy az üzemeltető által meghatalmazott személyre vonatkozó döntéseket. Ha a fő felügyeleti hatóság úgy dönt, hogy foglalkozik az üggyel, az őt tájékoztató felügyeleti hatóságnak lehetőséget kell biztosítani határozattervezet előterjesztésére, amelyet a fő felügyeleti hatóságnak lehetőség szerint figyelembe kell vennie a határozattervezet elkészítésekor a megfelelő egyablakos ügyintézési mechanizmuson belül.
(128) A fő felügyeleti hatóságra és az egyablakos mechanizmusra vonatkozó szabályokat nem kell alkalmazni, ha az adatkezelést közérdekű hatóságok vagy magánszervezetek végzik. Ilyen esetekben az egyetlen olyan felügyeleti hatóság, amely az e rendelettel összhangban ráruházott hatáskörök gyakorlására illetékes, annak a tagállamnak a felügyeleti hatósága lehet, amelyben a hatóság vagy magánszervezet székhelye található.
(129) E rendelet nyomon követésének és alkalmazásának Unió-szerte következetességének biztosítása érdekében a felügyeleti hatóságoknak minden tagállamban azonos hatékony feladatokkal és hatáskörökkel kell rendelkezniük, beleértve a vizsgálati hatásköröket, a korrekciós jogköröket és a szankciókat, valamint az engedélyezést. felhatalmazást és tanácsadást, különösen természetes személyek által benyújtott panaszok esetén, valamint a büntetőeljárási hatóságok hazai jogon alapuló jogkörének sérelme nélkül felhívni az igazságügyi hatóságok figyelmét e rendelet megsértésének eseteire. és hogy részt vegyenek a bírósági eljárásokban. E hatásköröknek ki kell terjedniük az adatfeldolgozás ideiglenes vagy végleges korlátozására, ideértve a tilalmat is. A tagállamok a személyes adatok e rendelet szerinti védelmével kapcsolatos egyéb kötelezettségeket is megállapíthatnak. A felügyeleti hatóságok hatásköreit az uniós és a nemzeti jogban előírt megfelelő eljárási garanciákkal összhangban, pártatlanul, tisztességesen és ésszerű időn belül kell gyakorolni. Minden intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie annak érdekében, hogy a
az egyes esetek körülményeinek figyelembevételével biztosítsa e rendelet rendelkezéseinek betartását, hogy tiszteletben tartsa bármely személy meghallgatáshoz való jogát, mielőtt bármilyen egyedi intézkedést meghozna, amely őt érintheti, és elkerülje a szükségtelen költségeket és túlzott kellemetlenségeket az érintett személyek számára. kérdés . A helyiségekbe való bejutással kapcsolatos vizsgálati jogköröket a nemzeti eljárásjog sajátos követelményeivel összhangban kell gyakorolni, mint például az előzetes bírósági engedély megszerzésének kötelezettsége. A felügyeleti hatóság által hozott minden jogilag kötelező intézkedést írásban kell bemutatni, világosnak és egyértelműnek kell lennie, fel kell tüntetni az intézkedést kibocsátó felügyeleti hatóságot, az intézkedés kibocsátásának időpontját, rajta kell lennie a felügyeleti hatóság vezetőjének vagy arra felhatalmazott tagjának aláírásával. az intézkedés meghozatalának okait, és hivatkozzon a hatékony jogorvoslathoz való jogra. Ez nem zárhatja ki a nemzeti eljárásjog szerinti további követelményeket. Az ilyen jogilag kötelező erejű határozatok meghozatala magában foglalja azt a tényt, hogy a határozatot meghozó felügyeleti hatóság tagállamában joghatósági ellenőrzés keletkezhet.
(130) Ha az a felügyeleti hatóság, amelyhez a panaszt benyújtották, nem a fő felügyeleti hatóság, a fő felügyeleti hatóságnak szorosan együtt kell működnie azzal a felügyeleti hatósággal, amelyhez a panaszt benyújtották, összhangban az együttműködésre és a következetességre vonatkozó jelen e rendeletben meghatározott rendelkezésekkel. szabályozás. Ilyen esetekben a vezető felügyeleti hatóságnak a joghatások kiváltására irányuló intézkedések meghozatalakor, beleértve a közigazgatási bírság kiszabását, a lehető legnagyobb mértékben figyelembe kell vennie annak a felügyeleti hatóságnak a véleményét, amelyhez a panaszt benyújtották, és amelynek fenn kell tartania hatásköre a fő felügyeleti hatósággal együttműködve saját tagállama területén bármilyen vizsgálatot lefolytatni.
(131) Azokban az esetekben, amikor az üzemeltető vagy az üzemeltető által meghatalmazott személy adatkezelési tevékenységeinek fő felügyeleti hatóságaként más felügyeleti hatóság jár el, de a panasz konkrét tárgya vagy az esetleges jogsértés csak az üzemeltető adatkezelési tevékenységét érinti. vagy az üzemeltető által abban a tagállamban meghatalmazott személy, ahol a panaszt benyújtották, vagy az esetleges jogsértést észlelték, és az ügy más tagállamból származó érintetteket érdemben nem érint, vagy nem valószínű, hogy érdemben érinti, az a felügyeleti hatóság, amelyhez a bejelentést megkapta panaszt, észlelt, vagy egyéb módon tájékoztatták a jelen előírás esetleges megsértésének helyzetéről, meg kell próbálnia békés megoldást találni az üzemeltetővel, és ha ez nem sikerül, gyakorolnia kell a teljes jogkörét. Ennek magában kell foglalnia a felügyelő hatóság tagállamának területén vagy az adott tagállam területéről származó érintettek vonatkozásában végzett konkrét adatkezelési tevékenységeket, olyan adatkezelési tevékenységeket, amelyekre kifejezetten az áruk vagy szolgáltatások ajánlatával összefüggésben kerül sor. a felügyeleti hatóság tagállamának területére megcélzott személyekre vagy olyan adatfeldolgozási tevékenységekre, amelyeket a hazai jog szerinti vonatkozó jogi kötelezettségek figyelembevételével kell értékelni.
(132) A felügyeleti hatóságok által a nyilvánosság számára szervezett figyelemfelkeltő tevékenységeknek konkrét intézkedéseket kell tartalmazniuk az üzemeltetőkre és az üzemeltetők által felhatalmazott személyekre, ideértve a mikro-, kis- és középvállalkozásokat, valamint a természetes személyeket, különösen oktatási vonatkozásban.
(133) A felügyeleti hatóságoknak segítséget kell nyújtaniuk egymásnak feladataik teljesítésében annak érdekében, hogy biztosítsák e rendelet alkalmazásának koherenciáját a belső piacon. A kölcsönös segítségnyújtást kérő felügyeleti hatóság ideiglenes intézkedést hozhat, ha nem kap választ a kölcsönös segítségnyújtás iránti megkeresésre a kérelem másik felügyeleti hatóság általi kézhezvételétől számított egy hónapon belül.
(134) Minden felügyeleti hatóságnak adott esetben részt kell vennie a felügyeleti hatóságok közös műveleteiben. Azt a felügyeleti hatóságot, amelyhez a megkeresést címezték, köteles egy bizonyos határidőn belül válaszolni a megkeresésre.
(135) E rendelet Unió-szerte következetes alkalmazásának biztosítása érdekében létre kell hozni egy olyan mechanizmust, amely biztosítja a következetességet, amelyen belül a felügyeleti hatóságok
együttműködik. Ezt a mechanizmust különösen akkor kell alkalmazni, ha a felügyeleti hatóság olyan intézkedést szándékozik elfogadni, amelynek célja, hogy joghatásokat váltson ki olyan adatfeldolgozási műveletek tekintetében, amelyek jelentős számú érintettet jelentős mértékben érintenek egynél több tagállamból. A mechanizmust akkor is alkalmazni kell, ha egy érintett felügyeleti hatóság vagy a Bizottság azt kéri, hogy az adott szemponttal a koherencia mechanizmuson belül foglalkozzanak. Ez a mechanizmus nem érintheti azokat az intézkedéseket, amelyeket a Bizottság a Szerződések szerinti hatáskörének gyakorlása során fogadhat el.
(136) A koherenciát biztosító mechanizmus alkalmazása során a bizottságnak bizonyos időn belül véleményt kell kiadnia, ha tagjai többsége így dönt, vagy ha bármely érintett felügyeleti hatóság vagy a Bizottság ezt kéri. A bizottságot arra is fel kell hatalmazni, hogy jogilag kötelező erejű határozatokat fogadjon el a felügyeleti hatóságok közötti viták esetén. Ennek érdekében elvileg tagjainak kétharmados többségével jogilag kötelező erejű határozatokat kell hoznia, jól körülhatárolt esetekben, ha a felügyeleti hatóságok között eltérnek a vélemények, különösen az együttműködési mechanizmus keretében. a fő felügyeleti hatóság és az érintett felügyeleti hatóságok az ügy érdemében, különös tekintettel e rendelet megsértésének fennállására vagy sem. (137) Elképzelhető, hogy sürgős intézkedésre van szükség az érintettek jogai és szabadságai védelmének biztosítása érdekében, különösen akkor, ha fennáll annak a veszélye, hogy az érintett jogainak gyakorlását jelentősen akadályozzák. Ezért a felügyeleti hatóságnak képesnek kell lennie arra, hogy a területén megfelelően indokolt ideiglenes intézkedéseket fogadjon el, amelyek érvényességi ideje nem haladhatja meg a három hónapot.
(138) Egy ilyen mechanizmus alkalmazásának feltételét kell képeznie a felügyeleti hatóság által hozott, joghatást kiváltó intézkedés jogszerűségének olyan esetekben, amikor annak alkalmazása kötelező. A határokon átnyúló jelentőségű egyéb esetekben a fő felügyeleti hatóság és a megcélzott felügyeleti hatóságok közötti együttműködési mechanizmust kell megvalósítani, és a megcélzott felügyeleti hatóságok két- vagy többoldalú alapon kölcsönösen segítséget nyújthatnak, és közös műveleteket folytathatnak koherenciát biztosító mechanizmus.
(139) E rendelet következetes alkalmazásának előmozdítása érdekében a bizottságot független uniós szervként kell létrehozni. Céljai teljesítése érdekében a bizottságnak jogi személyiséggel kell rendelkeznie. A bizottságot elnökének kell képviselnie. Ennek fel kell váltania a 95/46/EK irányelvvel létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoportot. Ennek az egyes tagállamok felügyeleti hatóságainak vezetőiből és az Európai Adatvédelmi Hatóság vezetőiből vagy azok képviselőiből kell állnia. A Bizottságnak szavazati jog nélkül kell részt vennie a bizottság tevékenységében, az Európai Adatvédelmi Hatóságnak pedig különleges szavazati joggal kell rendelkeznie. A bizottságnak hozzá kell járulnia e rendelet következetes alkalmazásához az Unió egészében, többek között azáltal, hogy tanácsokat ad a Bizottságnak, különösen a harmadik országokban és a nemzetközi szervezeteken belüli védelem szintjével kapcsolatban, valamint a felügyeleti hatóságok együttműködésének előmozdításával az egész Unióban. A bizottság feladatai ellátása során függetlenül járjon el. (140) A bizottságot az Európai Adatvédelmi Hatóság által biztosított titkárságnak kell segítenie. Az Európai Adatvédelmi Hatóságnak az e rendelet alapján a bizottságra ruházott feladatok ellátásában részt vevő alkalmazottai feladataikat kizárólag a bizottság elnökének utasításai szerint látják el, és neki kell beszámolniuk.
(141) Minden érintettnek rendelkeznie kell azzal a joggal, hogy panaszt nyújtson be egyetlen felügyeleti hatósághoz, különösen abban a tagállamban, ahol szokásos tartózkodási helye van, valamint jogot kell biztosítani a hatékony jogorvoslathoz a Charta 47. cikkével összhangban, ha az érintett úgy ítéli meg, hogy e rendelet szerinti jogait megsértették, vagy ha a felügyeleti hatóság a panaszra nem reagál, a panaszt részben vagy egészben elutasítja vagy elutasítja, vagy nem cselekszik, amikor ilyen intézkedés szükséges az érintett jogait. A panaszt követő vizsgálatot bírósági ellenőrzés mellett, az esettől függően szükséges mértékben kell lefolytatni. A felügyeleti hatóságnak tájékoztatnia kell
az érintettet a panasz alakulásáról és ésszerű határidőn belüli megoldásáról. Abban az esetben, ha az ügy további vizsgálatot vagy más felügyeleti hatósággal való egyeztetést igényel, közbenső tájékoztatást kell nyújtani az érintettnek. A panaszok benyújtásának megkönnyítése érdekében minden felügyeleti hatóságnak intézkedéseket kell hoznia, például elérhetővé kell tennie a panaszbenyújtási formanyomtatványt, amely elektronikus formában is kitölthető, más kommunikációs eszközök kizárása nélkül.
(142) Ha az érintett úgy ítéli meg, hogy sérülnek e rendelet szerinti jogai, jogosultnak kell lennie arra, hogy a belső jogszabályoknak megfelelően létrehozott nonprofit szervezetet, szervezetet vagy egyesületet megbízzon, amelynek (amelynek) törvényi céljai közérdekből, és amely tevékenységét a személyes adatok védelmének biztosítása terén fejti ki, nevében panasszal élhet a felügyeleti hatóságnál, gyakorolhatja a nevében az érintettekhez benyújtott fellebbezési jogot, ill. a nemzeti jogban előírt esetben gyakorolhatja a kártérítéshez való jogát az érintettek nevében. A tagállam rendelkezhet úgy, hogy az ilyen testület, szervezet vagy egyesület jogosult panaszt benyújtani az adott tagállamban, függetlenül az érintett által adott megbízástól, és joga van hatékony jogorvoslathoz, ha indokolt mérlegelni. hogy a személyes adatok e rendeletet sértő kezelése következtében megsértették az érintett jogait. Az érintett szerv, szervezet vagy egyesület az érintett nevében kártérítést nem követelhet, függetlenül az érintett által adott megbízástól. (143) Az EUMSZ 263. cikkében meghatározott feltételeknek megfelelően bármely természetes vagy jogi személynek jogában áll megsemmisítési keresetet benyújtani a Bírósághoz a bizottság határozatai ellen. E határozatok címzettjeiként az azokat megtámadni kívánó érintett felügyeleti hatóságoknak az EUMSZ 263. cikkével összhangban az értesítéstől számított két hónapon belül keresetet kell indítaniuk a vonatkozó határozatok ellen. Ha a bizottság határozatai közvetlenül és egyénileg egy üzemeltetőt, az üzemeltető által meghatalmazott személyt vagy a panaszost céloznak, az utóbbi a bizottság honlapján való közzétételtől számított két hónapon belül keresetet nyújthat be a vonatkozó határozatok megsemmisítése iránt, a Ptk 263. az EUMSZ. Az EUMSZ 263. cikke szerinti e jog sérelme nélkül minden természetes vagy jogi személynek joga van hatékony bírósági jogorvoslathoz az illetékes nemzeti bíróság előtt a felügyeleti hatóság azon határozata ellen, amely az adott személyre nézve joghatásokat vált ki. Az ilyen határozat különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési jogkörének gyakorlására, illetve a panaszok elutasítására vagy elutasítására vonatkozik. A hatékony bírósági jogorvoslathoz való jog azonban nem foglalja magában a felügyeleti hatóságok jogilag nem kötelező intézkedéseit, például a felügyeleti hatóság által kiadott véleményeket vagy az általa adott tanácsokat. A felügyeleti hatósággal szembeni kereseteket annak a tagállamnak a bíróságai előtt kell megindítani, amelyben a felügyeleti hatóság letelepedett, és azokat az adott tagállam eljárási jogával összhangban kell lefolytatni. Ezeknek a bíróságoknak teljes joghatóságot kell gyakorolniuk, amely magában foglalja az előttük folyamatban lévő jogvita szempontjából releváns összes ténybeli vagy jogi kérdés vizsgálatának hatáskörét.
Ha a panaszt a felügyeleti hatóság elutasította vagy elutasította, a panaszos keresetet nyújthat be ugyanazon tagállam bíróságaihoz. Az e rendelet alkalmazásával kapcsolatos bírósági fellebbezésekkel összefüggésben azon nemzeti bíróságok, amelyek a szóban forgó ügyben határozatot szükségesnek ítélnek ahhoz, hogy határozatot tudjanak hozni, kérhetik, vagy az EUMSZ 267. cikkében meghatározott esetben kérhetik a Bíróságot, hogy hozzon előzetes határozatot az uniós jog értelmezésével kapcsolatban, beleértve e rendeletet is. Ezen túlmenően, ha a felügyeleti hatóságnak a bizottság határozatát végrehajtó határozatát megtámadják egy nemzeti bíróság előtt, és a bizottság határozatának érvényessége kérdéses, ez a nemzeti bíróság nem jogosult a bizottság határozatát semmisnek nyilvánítani, de az érvényesség kérdését a Bíróság elé kell terjesztenie az EUMSZ 267. cikkének megfelelően, a Bíróság által értelmezett módon, amikor a nemzeti bíróság a határozatot semmisnek tekinti. A nemzeti bíróság azonban nem terjeszthet elő kérdést a bizottság határozatának érvényességére vonatkozóan személy kérésére
természetes vagy jogi személyek, akiknek lehetőségük volt e határozat ellen megsemmisítés iránti keresetet benyújtani, különösen akkor, ha a szóban forgó határozat közvetlenül és személyében érintette őket, de ezt nem tették meg az EUMSZ 263. cikkében meghatározott határidőn belül.
(144) Ha a felügyeleti hatóság határozata ellen eljárást indított bíróságnak okkal feltételezhető, hogy ugyanazon adatkezeléssel, például ugyanazzal az adatkezelés tárgyával kapcsolatban egy másik tagállam illetékes bírósága előtt eljárás indult. üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek, vagy ugyanazon okból, az illetékes bíróságnak fel kell vennie a kapcsolatot a második bírósággal az ilyen kapcsolódó eljárások meglétének megerősítése érdekében. Ha ezek a kapcsolódó eljárások egy másik tagállam bírósága előtt vannak folyamatban, az eredetileg említett bíróság kivételével bármely bíróság felfüggesztheti eljárását, vagy a felek egyikének kérésére joghatóságát eredetileg az említett bíróság javára tagadhatja meg, feltéve, hogy hogy ez utóbbi rendelkezik hatáskörrel a szóban forgó eljárások rendezésére, és a rá alkalmazott jog lehetővé teszi ezen összefüggő eljárások összevonását. Az eljárások akkor minősülnek összefüggőnek, ha olyan szorosan kapcsolódnak egymáshoz, hogy célszerű azokat egyidejűleg végrehajtani és elbírálni, nehogy külön elbírálás esetén az összeegyeztethetetlen határozatok kihirdetése veszélye elkerülhető legyen.
(145) Az üzemeltető vagy az üzemeltető által meghatalmazott személy ellen indított keresetek tekintetében a felperesnek lehetőséget kell biztosítani arra, hogy keresetet indítson azon tagállam bíróságai előtt, ahol az üzemeltető vagy az üzemeltető által meghatalmazott személy székhelye vagy székhelye található. ahol az alany lakóhelye található, kivéve, ha az üzemeltető valamely tagállam hatósága, amely közhatalmi jogkörének gyakorlása során jár el.
(146) Az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek kártérítést kell fizetnie minden olyan kárért, amelyet egy személy az e rendeletet sértő feldolgozás eredményeként szenvedhet el. Az üzemeltető vagy az üzemeltető által meghatalmazott személy mentesül a felelősség alól, ha bizonyítja, hogy a kárért semmilyen felelősséget nem vállal. A kár fogalmát tág értelemben kell értelmezni, a Bíróság ítélkezési gyakorlatának szemszögéből, úgy, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez a rendelkezés nem érinti az uniós jog vagy a nemzeti jog egyéb szabályainak megsértéséből eredő kártérítési igényeket. E rendeletet sértő adatkezelésnek minősül az e rendelettel összhangban elfogadott felhatalmazáson alapuló és végrehajtási jogi aktusokat, valamint az e rendelet szabályait meghatározó hazai jogot sértő adatkezelés is. Az érintett személyeknek teljes és hatékony kártérítést kell kapniuk az őket ért kárért. Ha az üzemeltetők vagy az üzemeltetők által felhatalmazott személyek ugyanabban a feldolgozásban vesznek részt, minden egyes üzemeltető vagy az üzemeltető által felhatalmazott személy felelős a teljes kárért. Ha azonban az őket érintő jogi eljárások összekapcsolódnak, a nemzeti joggal összhangban a kártérítés az egyes üzemeltetők vagy az üzemeltető által felhatalmazott személyek felelőssége szerint osztható fel, feltéve, hogy az érintett személy teljes és tényleges kártalanítása biztosította a kárt. Bármely üzemeltető vagy az üzemeltető által meghatalmazott személy, aki teljes kártérítést fizetett, a későbbiekben jogorvoslati keresetet indíthat más üzemeltetőkkel vagy az üzemeltetők által meghatalmazott személyekkel szemben, akik ugyanabban a feldolgozásban részt vesznek.
(147) Abban az esetben, ha ez a rendelet különös szabályokat tartalmaz a bírósági joghatóságra vonatkozóan, különösen az üzemeltető vagy az üzemeltető által meghatalmazott személy elleni bírósági fellebbezések, ideértve a kártérítési kereseteket, a bírósági joghatóságra vonatkozó általános szabályok, például az (EU) rendeletben foglaltak. ) nem. Az Európai Parlament és a Tanács 1215/2012/EK rendelete (1) nem érintheti az ilyen különös szabályok alkalmazását.
(1) A 1215/2012. Az Európai Parlament és a Tanács 12. december 2012-i 351/20.12.2012 sz. határozata a polgári és kereskedelmi ügyekben az igazságszolgáltatási hatáskörről, a határozatok elismeréséről és végrehajtásáról (HL L 1., XNUMX., XNUMX. o.).
(148) Az e rendeletben előírt szabályok alkalmazásának megerősítése érdekében e rendelet megsértése esetén szankciókat kell kiszabni, beleértve a közigazgatási bírságokat is, a felügyeleti hatóság által a rendeletben meghatározott megfelelő intézkedések mellett vagy helyett. ezt a rendeletet. Kisebb szabálysértés esetén, vagy abban az esetben, ha a kiszabható bírság megtörténne
aránytalan terhet jelent a természetes személy számára, pénzbírság helyett figyelmeztetés adható. Mindazonáltal kellő figyelmet kell fordítani a jogsértés természetére, súlyosságára és időtartamára, a jogsértés szándékos jellegére, az okozott kár enyhítésére tett intézkedésekre, a felelősség mértékére vagy bármely releváns korábbi jogsértésre, valamint a jogsértés módjára. a felügyeleti hatóság tudomására jutott, az üzemeltetővel vagy az üzemeltető által meghatalmazott személlyel szemben hozott intézkedések betartása, magatartási kódex betartása és egyéb súlyosító vagy enyhítő körülmény. A szankciók – beleértve a közigazgatási bírságokat is – kiszabását az uniós jog és a Charta általános elveivel összhangban megfelelő eljárási garanciákhoz kell kötni, ideértve a hatékony bírói védelmet és a tisztességes eljárást.
(149) A tagállamok számára lehetővé kell tenni az e rendelet megsértése esetén alkalmazandó büntetőjogi szankciókra vonatkozó szabályokat, ideértve az e rendelet alapján és korlátain belül elfogadott nemzeti jog megsértését is. A vonatkozó büntetőjogi szankciók lehetővé tehetik e rendelet megszegésével szerzett haszon megvonását is. A nemzeti jog ilyen szabályainak megsértése esetén kiszabott büntetőjogi szankciók és közigazgatási szankciók azonban nem vezethetnek a Bíróság által értelmezett ne bis in idem elv megsértéséhez.
(150) Az e rendelet megsértése esetén kiszabott közigazgatási szankciók egységesítése és harmonizálása érdekében minden felügyeleti hatóságnak hatáskörrel kell rendelkeznie közigazgatási bírság kiszabására. Ebben a rendeletben meg kell jelölni a szabálysértéseket, valamint az ezzel kapcsolatos közigazgatási bírság kiszabásának felső határát és kritériumait, amelyeket az illetékes felügyeleti hatóságnak minden esetben egyedi esetben kell megállapítania, figyelembe véve az adott helyzet összes lényeges körülményét, figyelembe véve kellő figyelemmel különösen a jogsértés jellegére, súlyára és időtartamára, valamint következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítására, valamint a jogsértés következményeinek megelőzése vagy enyhítése érdekében hozott intézkedésekre. Ha egy vállalkozásra közigazgatási bírságot szabnak ki, a vállalkozást e célból az EUMSZ 101. és 102. cikke szerinti vállalkozásnak kell tekinteni. Ha közigazgatási bírságot szabnak ki olyan személyekre, akik nem vállalkozók, a felügyeleti hatóságnak figyelembe kell vennie az adott tagállamból származó bevételek általános szintjét, valamint a személy gazdasági helyzetét a bírság megfelelő összegének becslésekor. A következetesség-mechanizmus a közigazgatási bírságok következetes alkalmazásának elősegítésére is használható. A tagállamok hatáskörébe kell tartoznia annak meghatározásának, hogy a hatóságokat közigazgatási bírsággal kell-e kiszabni, és ha igen, milyen mértékben. A közigazgatási bírság kiszabása vagy a figyelmeztetés kiküldése nem érinti a felügyeleti hatóság egyéb jogosítványainak vagy egyéb szankciók e rendelet szerinti alkalmazását. (151) Dánia és Észtország jogrendszere nem teszi lehetővé az e rendeletben előírt közigazgatási bírságok kiszabását. A közigazgatási bírságra vonatkozó szabályokat úgy lehet alkalmazni, hogy Dániában a bírságot az illetékes nemzeti bíróságok szabják ki büntetőjogi szankcióként, Észtországban pedig a felügyeleti hatóság szabja ki károkozási eljárásban, feltéve, hogy az az adott tagállamban a felügyeleti hatóságok által kiszabott közigazgatási bírságokkal azonos hatású szabályokat. Ezért az illetékes nemzeti bíróságoknak figyelembe kell venniük a bírságot kezdeményező felügyeleti hatóság ajánlását. A kiszabott bírságoknak mindenesetre hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. (152) Ha ez a rendelet nem harmonizálja a közigazgatási szankciókat, vagy más esetekben, például e rendelet súlyos megsértése esetén, a tagállamoknak hatékony, arányos és visszatartó erejű szankciókat kell alkalmazniuk. Az ilyen szankciók jellegét, legyenek azok büntetőjogi vagy közigazgatási szankciók, a hazai jognak kell meghatároznia.
(153) A tagállami jognak egyensúlyt kell teremtenie a véleménynyilvánítás és az információszabadság – ideértve az újságírói, tudományos, művészeti és/vagy irodalmi véleménynyilvánítást is – irányadó szabályok, valamint a személyes adatok védelméhez való e rendelet szerinti jog között. A személyes adatok kizárólag újságírói, illetve tudományos, művészi vagy irodalmi kifejezési célú feldolgozását mentesíteni kell az alól.
e rendelet egyes rendelkezései arra az esetre, ha egyensúlyt kell teremteni a személyes adatok védelméhez való jog, valamint a véleménynyilvánításhoz és a tájékoztatáshoz való jog között, a Charta 11. cikkében foglaltak szerint. Ez különösen érvényes a személyes adatok audiovizuális területen, valamint hírarchívumokban és újságkönyvtárakban történő feldolgozására. Ezért a tagállamoknak olyan jogalkotási intézkedéseket kell elfogadniuk, amelyek biztosítják a szükséges kivételeket és eltéréseket, hogy biztosítsák ezen alapvető jogok közötti egyensúlyt. A tagállamoknak ilyen kivételeket és eltéréseket kell elfogadniuk az általános elvek, az érintettek jogai, az üzemeltető és az üzemeltető által meghatalmazott személy, a személyes adatok harmadik országoknak vagy nemzetközi szervezeteknek történő továbbítása, a független felügyeleti hatóságok, az együttműködés és a koherencia tekintetében. , valamint konkrét adatkezelési helyzetekre vonatkozóan. Ha ezek a kivételek vagy mentességek tagállamonként eltérőek, akkor annak a tagállamnak a jogát kell alkalmazni, amelynek hatálya alá az üzemeltető tartozik. Annak érdekében, hogy minden demokratikus társadalomban figyelembe lehessen venni a szólásszabadsághoz való jog fontosságát, szükséges, hogy az e szabadsággal kapcsolatos fogalmakat, például az újságírást tág értelemben értelmezzük.
(154) Ez a rendelet lehetővé teszi a hivatalos dokumentumokhoz való nyilvános hozzáférés elvének figyelembevételét e rendelet alkalmazása során. A hivatalos dokumentumokhoz való nyilvános hozzáférés közérdeknek tekinthető. A hatóság vagy köztestület birtokában lévő dokumentumokból származó személyes adatokat az adott hatóság vagy szerv számára lehetővé kell tenni , ha az uniós jog vagy a belső jog , amelynek hatálya alá a hatóság vagy köztestület tartozik , ezt előírja . Az uniós jognak és a nemzeti jognak egyensúlyt kell biztosítania egyrészt a hivatalos dokumentumokhoz való nyilvános hozzáférés és a közszféra információinak további felhasználása, másrészt a személyes adatok védelméhez való jog között, és ezért biztosítania kell a szükséges egyensúlyt teremt a személyes adatok védelméhez e rendelet szerinti joggal. A hatóságokra és szervekre való hivatkozásnak ebben az összefüggésben ki kell terjednie minden olyan hatóságra vagy egyéb szervre, amelyet a nemzeti jog szabályoz a dokumentumokhoz való nyilvános hozzáférés tekintetében. A 2003/98/EK európai parlamenti és tanácsi irányelv (1) érintetlenül hagyja, és semmilyen módon nem érinti a természetes személyek védelmének szintjét a személyes adatok uniós és belső joggal összhangban történő kezelése tekintetében, így különösen nem módosítja az e rendeletben biztosított jogokat és kötelezettségeket. A fent említett irányelv különösen nem vonatkozik azokra a dokumentumokra, amelyekhez a hozzáférés a személyes adatok védelmével kapcsolatos okokból a hozzáférési szabályok értelmében kizárt vagy korlátozva van, sem pedig az ezen rendszerek alapján hozzáférhető dokumentumok azon részeire, amelyek személyes adatokat tartalmaznak, amelyek újrafelhasználását megállapították. törvény szerint összeegyeztethetetlen a személyes adatok kezelése tekintetében a természetes személyek védelmére vonatkozó törvénnyel.
(1) Az Európai Parlament és a Tanács 2003. november 98-i 17/2003/EK irányelve a közszféra információinak újrafelhasználásáról (HL L 345., 31.12.2003., 90. o.).
(155) A belső jog vagy a kollektív szerződések, ideértve a „munkaszerződéseket” is, különleges szabályokat írhatnak elő a munkavállalók személyes adatainak foglalkoztatással összefüggésben történő kezelésének szabályozására, különösen azon feltételek tekintetében, amelyek mellett a személyes adatok a munkahelyi foglalkoztatással összefüggésben alkalmazhatók. a munkavállaló hozzájárulása alapján, a toborzás, a munkaszerződésben foglaltak betartása, ideértve a törvényben vagy kollektív szerződésben meghatározott kötelezettségek teljesítése, vezetése, vezetése, a munka tervezése és szervezése, a munkahelyi egyenlőség és sokszínűség, a munkahelyi egészség és biztonság biztosítása, valamint a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és gyakorlása, valamint az azokból való részesülés céljából, a munkaviszony megszüntetéséről.
(156) A személyes adatok közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célú feldolgozását az érintett személy e rendelet szerinti jogaira és szabadságaira vonatkozó megfelelő garanciákhoz kell kötni. A megfelelő garanciáknak biztosítaniuk kell, hogy meghozzák a szükséges technikai és szervezési intézkedéseket különösen az adatminimalizálás elvének biztosítására. A személyes adatok utólagos közérdekű archiválási, tudományos vagy történeti kutatási vagy statisztikai célú feldolgozására akkor kerül sor, ha az üzemeltető értékelte a teljesíthetőséget.
ezeket a célokat olyan személyes adatok feldolgozásával, amelyek nem teszik lehetővé vagy már nem teszik lehetővé az érintettek azonosítását, feltéve, hogy megfelelő garanciák vannak (például a személyes adatok álnevesítése). A tagállamoknak megfelelő garanciákat kell nyújtaniuk a személyes adatok közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célú feldolgozására. A tagállamokat fel kell hatalmazni arra, hogy bizonyos feltételek mellett és az érintettek számára megfelelő garanciák mellett pontosításokat és felmentéseket biztosítsanak az információkérésekkel és a helyesbítéshez való joggal, a törléshez való joggal, az elfelejtéshez való joggal és az adatkezelés korlátozásához való joggal kapcsolatban. , az adathordozhatósághoz való jog, valamint a személyes adatok közérdekű archiválási, tudományos vagy történeti kutatási vagy statisztikai célú kezelése esetén a tiltakozás joga. A szóban forgó feltételek és garanciák speciális eljárásokat generálhatnak annak érdekében, hogy az érintettek gyakorolják jogaikat, ha ez az adott adatkezelés céljával összefüggésben helyénvaló, valamint technikai és szervezési intézkedések a személyes adatok kezelésének minimalizálására. , az arányosság és a szükségesség elvének megfelelően. A személyes adatok tudományos célú feldolgozásának meg kell felelnie más vonatkozó jogszabályoknak is, például a klinikai vizsgálatokra vonatkozó jogszabályoknak.
(157) A regiszterekből származó információk kombinálásával a kutatók értékes új ismeretekre tehetnek szert az olyan széles körben elterjedt betegségekről, mint a szív- és érrendszeri betegségek, a rák és a depresszió. A regiszterek alapján a kutatási eredmények erősíthetők, hiszen nagyobb populáción alapulnak. A társadalomtudományokban a regiszter alapú kutatások lehetővé teszik a kutatók számára, hogy lényeges információkat szerezzenek egy sor társadalmi körülmény, például a munkanélküliség vagy az iskolai végzettség és más életkörülmények közötti hosszú távú összefüggésről. A regiszterek alapján nyert kutatási eredmények szilárd, magas színvonalú tudást adnak, amely megalapozhatja a tudásalapú politikák kialakítását és megvalósítását, és amely számos ember életminőségét, társadalmi hatékonyságát javíthatja. szolgáltatások. A tudományos kutatás megkönnyítése érdekében a személyes adatok tudományos kutatási célból feldolgozhatók, az uniós jogban vagy a nemzeti jogban megállapított feltételek és megfelelő garanciák betartása mellett.
(158) Ha a személyes adatokat archiválási célból dolgozzák fel, e rendeletet az ilyen adatkezelésre is alkalmazni kell, figyelembe véve azt a tényt, hogy ez a rendelet nem vonatkozik elhunyt személyekre. A közérdekű nyilvántartásokat őrző hatóságokat vagy állami vagy magánszervezeteket az uniós jog vagy a nemzeti jog értelmében jogi kötelezettség terheli a tartós értékű nyilvántartások megszerzésére, megőrzésére, értékelésére, előkészítésére, leírására, közlésére, népszerűsítésére, terjesztésére és az azokhoz való hozzáférés biztosítására. általános közérdekű. A tagállamok számára lehetővé kell tenni a személyes adatok archiválási célú további feldolgozását is, például konkrét információk nyújtása érdekében a korábbi totalitárius állami rezsimek idején, a népirtások, az emberiesség elleni bűncselekmények – különösen a holokauszt – vagy háborús bűnök során.
(159) Ha a személyes adatokat tudományos kutatási célból dolgozzák fel, e rendeletet az ilyen adatkezelésre is alkalmazni kell. E rendelet alkalmazásában a személyes adatok tudományos kutatási célú feldolgozását tág értelemben kell értelmezni, ideértve például a technológiafejlesztési és demonstrációs tevékenységeket, az alapkutatást, az alkalmazott kutatást és a magánforrásokból finanszírozott kutatást. Ezenkívül figyelembe kell venni az EUMSZ 179. cikkének (1) bekezdésében említett, az Európai Kutatási Térség létrehozására irányuló uniós célkitűzést. A tudományos kutatás céljai között szerepelnie kell a közérdekű kutatásoknak is a közegészségügy területén. A személyes adatok tudományos kutatási célú feldolgozásának sajátos jellemzőinek teljesítése érdekében különleges feltételeket kell alkalmazni, különösen a személyes adatok tudományos kutatási célokkal összefüggésben történő közzététele vagy más módon történő közzététele tekintetében. Ha a tudományos kutatás eredménye – különösen egészségügyi vonatkozásban – az érintett érdekében további intézkedések meghozatalára ad okot, ezen intézkedések figyelembevételével kell e rendelet általános szabályait alkalmazni.
(160) Ha a személyes adatokat történeti kutatási célból dolgozzák fel, e rendeletet erre a feldolgozásra is alkalmazni kell. Ennek ki kell terjednie a történeti kutatásokra és a genealógiai célú kutatásokra is, szem előtt tartva, hogy ez a szabályozás nem vonatkozik elhunyt személyekre.
(161) A klinikai vizsgálatokon belüli tudományos kutatási tevékenységben való részvételhez való hozzájárulás megadása érdekében az (EU) sz. Az Európai Parlament és a Tanács 536/2014.
(1) A 536/2014. Az Európai Parlament és a Tanács 16. április 2014-i 2001/20/EK rendelete az emberi felhasználásra szánt gyógyszerek intervenciós klinikai vizsgálatairól és a 158/27.5.2014/EK irányelv hatályon kívül helyezéséről (HL L 1., XNUMX., XNUMX. o.).
(162) Ha a személyes adatokat statisztikai célból dolgozzák fel, erre a feldolgozásra ezt a rendeletet kell alkalmazni. Az uniós jognak vagy a nemzeti jognak e rendelet korlátain belül meg kell határoznia a statisztikai tartalmat, a hozzáférés-ellenőrzést, a személyes adatok statisztikai célú feldolgozására vonatkozó előírásokat, valamint az érintettek jogainak és szabadságainak védelmét, valamint a titoktartást biztosító megfelelő intézkedéseket. statisztikai adatokból. Ezeket a statisztikai eredményeket később különböző célokra, így tudományos kutatási célokra is fel lehet használni. Statisztikai cél a statisztikai felmérésekhez vagy statisztikai eredmények előállításához szükséges személyes adatok gyűjtésének és feldolgozásának bármely művelete. A statisztikai célok feltételezik, hogy a statisztikai célú adatkezelés eredménye nem személyes adat, hanem összesített adat, és ezt az eredményt vagy személyes adatokat nem egy bizonyos természetes személyre vonatkozó intézkedések vagy döntések alátámasztására használják fel.
(163) Védeni kell azokat a bizalmas információkat, amelyeket az uniós és nemzeti szintű statisztikai hatóságok hivatalos európai és nemzeti statisztikák összeállítása céljából gyűjtenek. Az európai statisztikákat az EUMSz. 338. cikkének (2) bekezdésében meghatározott statisztikai elvekkel összhangban kell megtervezni, fejleszteni és terjeszteni, miközben a nemzeti statisztikáknak is összhangban kell lenniük a nemzeti joggal. számú (EK) rendelet A 223/2009/EK európai parlamenti és tanácsi rendelet (2) további előírásokat ír elő az európai statisztikákhoz használt statisztikai adatok bizalmas kezelésére vonatkozóan.
(2) A 223/2009. Az Európai Parlament és a Tanács 11. március 2009-i 1101/2008. Az Európai Parlament és a Tanács 322/97/EK rendelete a bizalmas statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról. a közösségi statisztikákról szóló 89/382. sz. tanácsi határozat és az Európai Közösségek statisztikai programjaival foglalkozó bizottság létrehozásáról szóló 87/31.3.2009/EGK, Euratom tanácsi határozat (HL L 164., XNUMX., XNUMX. o.).
(164) A felügyeleti hatóságok azon jogkörét illetően, hogy az üzemeltetőtől vagy az üzemeltető által meghatalmazott személytől hozzáférést szerezzenek a személyes adatokhoz, és bejussanak épületeikbe, a tagállamok jogszabály útján és az e rendelet által meghatározott korlátok között elfogadhatják a a szakmai titok védelmére vagy más azzal egyenértékű kötelezettségekre vonatkozó különös szabályokat, amennyiben ez a személyes adatok védelméhez való jog és a szakmai titoktartási kötelezettség közötti egyensúly biztosításához szükséges. Ez nem érinti a tagállamok azon meglévő kötelezettségeit, hogy az uniós jog által megkövetelt helyzetekben a szakmai titoktartásra vonatkozó szabályokat fogadjanak el.
(165) Ez a rendelet tiszteletben tartja és nem érinti a tagállamok egyházak és vallási egyesületek vagy közösségek státuszát, amelyet az EUMSZ 17. cikkében elismernek, a hatályos alkotmányjog alapján.
(166) E rendelet céljainak teljesítése érdekében, nevezetesen a természetes személyek alapvető jogainak és szabadságainak, és különösen a személyes adatok védelméhez való jogának védelmében, valamint a személyes adatok szabad áramlásának garantálása érdekében a területen. Az EUMSZ 290. cikkével összhangban jogi aktusok elfogadására vonatkozó hatáskört a Bizottságra kell ruházni. Felhatalmazáson alapuló jogi aktusokat kell elfogadni különösen a tanúsítási mechanizmusokra vonatkozó kritériumok és követelmények, a szabványos piktogramok által bemutatandó információk és az ilyen piktogramok biztosítására vonatkozó eljárások tekintetében. Különösen fontos, hogy belül
előkészítő tevékenységei során a Bizottságot, hogy megfelelő konzultációkat szervezzen, többek között szakértői szinten. A felhatalmazáson alapuló jogi aktusok előkészítése és szövegezése során a Bizottságnak biztosítania kell a vonatkozó dokumentumok egyidejű, időben történő és megfelelő továbbítását az Európai Parlament és a Tanács számára.
(167) E rendelet végrehajtásának egységes feltételeinek biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni az e rendeletben meghatározott helyzetekben. A vonatkozó hatásköröket a(z) 182. sz. (EU) rendelettel összhangban kell gyakorolni. 2011/XNUMX. Ezzel összefüggésben a Bizottságnak fontolóra kell vennie a mikrovállalkozások, valamint a kis- és középvállalkozások számára konkrét intézkedéseket.
(168) A vizsgálóbizottsági eljárást kell alkalmazni a következőkre vonatkozó végrehajtási jogi aktusok elfogadására: az üzemeltetők és az üzemeltetők által felhatalmazott személyek, valamint az üzemeltetők által felhatalmazott személyek közötti szerződéses általános feltételek; magatartási kódexek; műszaki szabványok és tanúsítási mechanizmusok; a megfelelő szintű védelem, amelyet egy harmadik ország, egy terület vagy egy adott feldolgozási ágazat az adott harmadik országban, vagy egy nemzetközi szervezet kínál; szabványos adatvédelmi záradékok; az üzemeltetők, az üzemeltetők által felhatalmazott személyek és a felügyeleti hatóságok közötti, kötelező vállalati szabályokra vonatkozó elektronikus információcsere formátumai és eljárásai; kölcsönös segítségnyújtás; valamint a felügyeleti hatóságok közötti, valamint a felügyeleti hatóságok és a bizottság közötti elektronikus információcsere módozatait.
(169) A Bizottságnak azonnal alkalmazandó végrehajtási jogi aktusokat kell elfogadnia, ha a rendelkezésre álló bizonyítékok azt mutatják, hogy egy harmadik ország, egy terület vagy egy adott feldolgozási ágazat az adott harmadik országban, vagy egy nemzetközi szervezet nem biztosítja a megfelelő szintű védelmet, valamint kényszerítő sürgősségi okok miatt.
(170) Mivel e rendelet célját, nevezetesen a természetes személyek azonos szintű védelmének biztosítását és a személyes adatok szabad áramlását az Unió egészében, a tagállamok nem tudják kielégítően megvalósítani, de figyelembe véve az intézkedés hatályát vagy hatásait, Uniós szinten jobban megvalósítható, intézkedéseket fogadhat el az Európai Unióról szóló szerződés (EU-Szerződés) 5. cikkében meghatározott szubszidiaritás elvével összhangban. A vonatkozó cikkben meghatározott arányosság elvének megfelelően ez a szabályozás nem lépi túl a kitűzött célok eléréséhez szükséges mértéket.
(171) A 95/46/EK irányelvet ezzel a rendelettel hatályon kívül kell helyezni. Az e rendelet alkalmazásának időpontjában folyamatban lévő feldolgozást e rendelet hatálybalépésétől számított két éven belül összhangba kell hozni e rendelettel. Ha az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul, az érintettnek nem szükséges újból beleegyeznie, ha a hozzájárulás megadásának módja összhangban van e rendelet feltételeivel, így az üzemeltető folytathatja az ilyen adatkezelést e rendelet alkalmazásának időpontja után. A Bizottság által elfogadott határozatok és a 95/46/EK irányelv alapján kiadott felügyeleti hatóságok engedélyei azok módosításáig, újbóli kiváltásáig vagy hatályon kívül helyezéséig hatályban maradnak.
(172) Az Európai Adatvédelmi Hatósággal a 28/2/EK rendelet 45. cikkének (2001) bekezdése szerint konzultáltak. 7/2012, és 1. március XNUMX-én véleményt nyilvánított (XNUMX).
(1) HL C 192., 30.6.2012., 7. o.
(173) Ezt a rendeletet a személyes adatok feldolgozásával kapcsolatos jogok és alapvető szabadságok védelmével kapcsolatos minden olyan szempontra alkalmazni kell, amelyekre nem vonatkoznak a 2002/58/EK irányelvben meghatározottakkal azonos célú különleges kötelezettségek. (2), beleértve az üzemeltetővel kapcsolatos kötelezettségeket és a természetes személyek jogait. Az e rendelet és a 2002/58/EK irányelv közötti kapcsolat tisztázása érdekében az említett irányelvet ennek megfelelően módosítani kell. E rendelet elfogadását követően a 2002/58/EK irányelvet felül kell vizsgálni, különösen az e rendelettel való összhang biztosítása érdekében,
(2) Az Európai Parlament és a Tanács 2002. július 58-i 12/2002/EK irányelve a személyes adatok feldolgozásáról és a bizalmas adatok védelméről a nyilvános hírközlési ágazatban (a titoktartásról és az elektronikus hírközlésről szóló irányelv) (HL L 201., 31.7.2002., 37. o.
ELFOGADJA EZEKET A SZABÁLYZATOKAT:
-****-
I. FEJEZET: Általános rendelkezések
1. cikk: Cél és célkitűzések
(1) E rendelet a személyes adatok kezelése tekintetében a természetes személyek védelmére, valamint a személyes adatok szabad áramlására vonatkozó szabályokat állapítja meg.
(2) E rendelet biztosítja a természetes személyek alapvető jogainak és szabadságainak védelmét, különös tekintettel a személyes adatok védelméhez való jogára.
(3) A személyes adatok Unión belüli szabad áramlását a személyes adatok kezelése tekintetében a természetes személyek védelmével összefüggő okokból nem lehet korlátozni vagy megtiltani.
2. cikk: Anyag hatálya
(1) E rendelet a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint az adatrögzítő rendszer részét képező vagy a szándékolt személyes adatok nem automatizált módon történő kezelésére vonatkozik. hogy egy adatrögzítő rendszer része legyen.
(2) E rendelet nem vonatkozik a személyes adatok kezelésére:
a) olyan tevékenységen belül, amely nem tartozik az uniós jog hatálya alá;
b) a tagállamok az EU-Szerződés V. címének 2. fejezetébe tartozó tevékenységek végzése során;
c) természetes személy kizárólag személyes vagy háztartási tevékenységben;
d) az illetékes hatóságok által a bűncselekmények megelőzése, kivizsgálása, felderítése vagy üldözése, illetve büntetőjogi szankciók végrehajtása céljából, ideértve a közbiztonságot fenyegető veszélyek elleni védelmet és azok megelőzését.
(3) A személyes adatoknak az Unió intézményei, szervei, hivatalai és ügynökségei általi kezeléséhez a 45/2001. 45/2001. számú (EK) rendelet A 98/XNUMX és a személyes adatok ilyen feldolgozására vonatkozó egyéb uniós jogi aktusokat a XNUMX. cikkel összhangban e rendelet elveivel és szabályaival igazítják.
(4) Ez a rendelet nem érinti a 2000/31/EK irányelv alkalmazását, különös tekintettel az említett irányelv 12–15. cikkében előírt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokra.
3. cikk: Területi hatály
(1) E rendelet az üzemeltető székhelye vagy az üzemeltető által az Unió területén meghatalmazott személy tevékenysége keretében végzett személyes adatok kezelésére vonatkozik, függetlenül attól, hogy az adatkezelés az Unió területén történik-e vagy sem.
(2) Ezt a rendeletet az Unió területén tartózkodó érintettek személyes adatainak az Unióban nem letelepedett üzemeltető vagy az üzemeltető által meghatalmazott személy általi kezelésére kell alkalmazni, ha az adatkezelési tevékenység az alábbiakhoz kapcsolódik:
a) áruk vagy szolgáltatások felajánlása az érintett személyeknek az Unióban, függetlenül attól, hogy az érintett személy fizetést kér-e vagy sem; vagy
b) figyelemmel kíséri magatartásukat, ha az az Unión belül megnyilvánul.
(3) E rendelet a személyes adatoknak az Unióban nem letelepedett, de a nemzetközi közjogon alapuló hazai jog alkalmazási helyén végzett üzemeltető általi kezelésére vonatkozik.
4. cikk: Fogalommeghatározások
E rendelet alkalmazásában:
1. „személyes adat”: bármely azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó információ; azonosítható természetes személy az a személy, aki lehet
közvetlenül vagy közvetve azonosítva, különösen egy azonosító elemre, például névre, azonosító számra, helyadatokra, online azonosítóra, vagy egy vagy több meghatározott elemre, saját fizikai, fiziológiai azonosságára, genetikai, pszichológiai identitására hivatkozva, gazdasági, kulturális vagy társadalmi; 2. „feldolgozás”: a személyes adatokon vagy személyes adatok készletein végzett bármely művelet vagy műveletek sorozata, automatizált eszközök használatával vagy anélkül, mint például gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, adaptáció vagy módosítás, kinyerés, konzultáció , felhasználása, nyilvánosságra hozatala továbbítással, terjesztéssel vagy más módon történő hozzáférhetővé tétellel, összehangolással vagy kombinációval, korlátozással, törléssel vagy megsemmisítéssel 3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése a jövőbeni feldolgozás korlátozása céljából;
4. „profilalkotás”: a személyes adatok automatikus feldolgozásának bármely formája, amely abból áll, hogy a személyes adatokat egy természetes személlyel kapcsolatos bizonyos személyes szempontok értékelésére, különösen a munkahelyi teljesítmény, a gazdasági helyzet szempontjainak elemzésére vagy előrejelzésére használják fel. , egészségi állapot, személyes preferenciák, érdeklődési körök, megbízhatóság, viselkedés, az adott természetes személy tartózkodási helye vagy mozgása;
5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amely további információk felhasználása nélkül többé nem tulajdonítható egy konkrét érintett személyhez, feltéve, hogy ezeket a kiegészítő információkat elkülönítve tárolják, és bizonyos technikai és szervezési intézkedések hatálya alá tartoznak. biztosítja, hogy a vonatkozó személyes adatok ne legyenek azonosított vagy azonosítható természetes személyhez rendelve;
6. „adatnyilvántartási rendszer”: a személyes adatok bármely strukturált halmaza, amely meghatározott kritériumok szerint hozzáférhető, legyen az centralizált, decentralizált vagy funkcionális vagy földrajzi kritériumok szerint elosztott;
7. „üzemeltető”: az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, amely egyedül vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és eszközeit; ha az adatkezelés céljait és eszközeit uniós jog vagy nemzeti jog állapítja meg, az üzemeltetőről vagy a kijelölésének konkrét kritériumairól uniós jog vagy nemzeti jog rendelkezhet;
8. „az üzemeltető által meghatalmazott személy”: az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, amely az üzemeltető nevében személyes adatokat dolgoz fel; 9. „címzett”: az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, akivel (akivel) a személyes adatot közölték, függetlenül attól, hogy harmadik fél-e vagy sem. Mindazonáltal nem minősülnek címzettnek azok a hatóságok, amelyekkel az uniós joggal vagy a belső joggal összhangban személyes adatokat közölhetnek egy bizonyos vizsgálat keretében; ezen adatoknak az illetékes hatóságok általi feldolgozása megfelel a vonatkozó adatvédelmi szabályoknak, összhangban az adatkezelés céljaival;
10. „harmadik fél”: az érintetten, az üzemeltetőn, az üzemeltető által meghatalmazott személyen és azon személyeken kívüli természetes vagy jogi személy, hatóság, ügynökség vagy szerv az üzemeltető jogosult személyes adatok kezelésére;
11. az érintett „beleegyezése”: az érintett szabad, konkrét, tájékozott és egyértelmű akaratának minden olyan megnyilvánulása, amellyel nyilatkozattal vagy egyértelmű cselekvéssel elfogadja, hogy a rá vonatkozó személyes adatokat kezeljék; 12. „a személyes adatok biztonságának megsértése”: olyan biztonsági megsértés, amely véletlenül vagy jogellenesen a továbbított, tárolt vagy más módon feldolgozott személyes adatok megsemmisüléséhez, elvesztéséhez, módosításához vagy jogosulatlan nyilvánosságra hozatalához, vagy azokhoz való jogosulatlan hozzáféréshez vezet;
13. „genetikai adatok”: egy természetes személy öröklött vagy szerzett genetikai jellemzőire vonatkozó személyes adatok, amelyek egyedi információt szolgáltatnak az adott személy fiziológiájáról vagy egészségi állapotáról, és amelyek különösen a begyűjtött biológiai anyag mintájának elemzéséből származnak. a szóban forgó személynek;
14. „biometrikus adat”: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőihez kapcsolódó, meghatározott feldolgozási technikákból származó személyes adat, amely lehetővé teszi vagy megerősíti az adott személy egyedi azonosítását, például arcképek vagy daktiloszkópiai adatok;
15. „egészségügyi adat”: a természetes személy testi vagy mentális egészségével – ideértve az orvosi segítségnyújtási szolgáltatásokkal – kapcsolatos személyes adat, amely az egészségi állapotára vonatkozó információkat közöl;
16. "székhely":
a) legalább két tagállamban székhellyel rendelkező üzemeltető esetében az a hely, ahol központi ügyintézése az Unióban található, kivéve, ha a személyes adatok kezelésének céljaira és módjaira vonatkozó döntéseket a hatóság másik székhelyén hozzák meg. e határozatok végrehajtásának elrendelésére hatáskörrel rendelkező uniós üzemeltető, amely esetben a vonatkozó határozatokat meghozó székhely minősül fő székhelynek;
b) az üzemeltető által meghatalmazott, legalább két tagállamban székhellyel rendelkező személy esetén az a hely, ahol központi ügyintézése az Unióban található, vagy ha az üzemeltető által meghatalmazott személy nem rendelkezik központi ügyintézéssel az Unió, az üzemeltető által felhatalmazott személy Unióból származó székhelye, ahol a fő adatfeldolgozási tevékenységekre sor kerül, az üzemeltető által felhatalmazott személy irodájának tevékenységeivel összefüggésben, amennyiben az adott az e rendelet szerinti kötelezettségek;
17. „képviselő”: az üzemeltető vagy az üzemeltető által a 27. cikk szerint meghatalmazott személy által írásban kijelölt, az Unióban letelepedett természetes vagy jogi személy, aki az üzemeltetőt vagy a meghatalmazott személyt képviseli az e szerinti kötelezettségeik tekintetében. előírások;
18. „vállalkozás”: olyan természetes vagy jogi személy, amely gazdasági tevékenységet folytat, függetlenül annak jogi formájától, beleértve a rendszeresen gazdasági tevékenységet folytató társaságokat vagy társulásokat is;
19. „vállalkozáscsoport”: az ellenőrzést gyakorló vállalkozás és az általa irányított vállalkozások;
20. „kötelező vállalati szabályok”: azok a személyes adatok védelmére vonatkozó politikák, amelyeket az üzemeltetőnek vagy az üzemeltető által felhatalmazott személynek be kell tartania a valamely tagállam területén letelepedett személy részére történő személyes jellegű adattovábbítás vagy adattovábbítás tekintetében. üzemeltető vagy az üzemeltető által egy vagy több harmadik országban meghatalmazott személy egy közös gazdasági tevékenységet folytató vállalatcsoporton vagy cégcsoporton belül;
21. „felügyeleti hatóság”: egy tagállam által az 51. cikk alapján létrehozott független hatóság;
22. „célzott felügyeleti hatóság”: olyan felügyeleti hatóság, amelyet a személyes adatok kezelése céloz, mert:
a) az üzemeltető vagy az üzemeltető által meghatalmazott személy az adott felügyeleti hatóság tagállamának területén letelepedett;
b) az érintett felügyeleti hatóság székhelye szerinti tagállamban lakó érintetteket az adatkezelés jelentősen érinti vagy valószínűleg jelentős mértékben érinti; vagy
c) panaszt nyújtottak be az illetékes felügyeleti hatósághoz;
23. "határokon átnyúló feldolgozás":
a) vagy olyan személyes adatok kezelése, amely egy üzemeltető vagy az üzemeltető által az Unió területén meghatalmazott személy székhelyének több tagállamban folytatott tevékenységével összefüggésben történik, ha az üzemeltető vagy az általa meghatalmazott személy az üzemeltetőnek legalább két tagállamban van központja; vagy
b) a személyes adatok olyan feldolgozása, amely egy üzemeltető egyetlen irodájának vagy az üzemeltető által az Unió területén meghatalmazott személynek a tevékenységével összefüggésben történik, de érinti a
jelentősen vagy valószínűleg jelentősen érinti legalább két tagállam érintettjeit;
24. „releváns és indokolt kifogás”: határozattervezettel szembeni kifogás annak megállapítása érdekében, hogy megsértették-e e rendeletet, vagy hogy az üzemeltetővel vagy az üzemeltető által meghatalmazott személlyel szemben tervezett intézkedések megfelelnek-e ennek a rendeletnek, egyértelműen bemutatja a határozattervezet által az érintett személyek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására vonatkozó kockázatok fontosságát;
25. „információs társadalmi szolgáltatások”: az 1. cikkben meghatározott szolgáltatás
a 1/2015/EK európai parlamenti és tanácsi irányelv (1535) (1) bekezdésének b) pontja;
(1) Az Európai Parlament és a Tanács (EU) 2015/1535 irányelve (9. szeptember 2015.) az információs társadalommal összefüggő szolgáltatásokra vonatkozó műszaki előírások és szabályok terén történő tájékoztatási eljárásról (HL L 241., 17.9.2015., 1. o.) XNUMX ).
(23. május 2018-i állapot I. fejezet 4. cikk 25. pontja 2. május 23-i helyesbítés 2018. pontjával helyesbített)
26. „nemzetközi szervezet”: a nemzetközi közjog által szabályozott szervezet és annak alárendelt szervei vagy bármely más olyan testület, amelyet két vagy több ország között kötött megállapodással vagy ilyen megállapodás alapján hoztak létre.
II. FEJEZET: Alapelvek
5. cikk: A személyes adatok feldolgozásával kapcsolatos elvek
(1) A személyes adatok a következők:
a) a feldolgozás jogszerűen, tisztességesen és az érintett számára átláthatóan történik ("jogszerűség, tisztesség és átláthatóság");
b) meghatározott, kifejezett és jogszerű célból gyűjtik, és a későbbiekben nem dolgozzák fel e célokkal össze nem egyeztethető módon; A közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célú későbbi feldolgozás a 89. cikk (1) bekezdése értelmében nem tekinthető összeegyeztethetetlennek az eredeti célokkal ("cél korlátozások");
c) megfelelőek, relevánsak és a feldolgozásuk céljaihoz szükségesre korlátozódnak ("adatminimalizálás");
d) pontos és szükség esetén aktualizálandó; minden szükséges intézkedést meg kell tenni annak biztosítására, hogy a pontatlan személyes adatokat, tekintettel a feldolgozás céljaira, haladéktalanul töröljék vagy helyesbítsék ("pontosság");
e) olyan formában kell megőrizni, amely lehetővé teszi az érintettek azonosítását olyan ideig, amely nem haladja meg az adatkezelés céljainak megvalósításához szükséges időtartamot; a személyes adatok hosszabb ideig tárolhatók, amennyiben azokat kizárólag közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célból dolgozzák fel a 89. cikk (1) bekezdésével összhangban, a végrehajtás függvényében. az érintett jogainak és szabadságainak biztosítása érdekében az e rendeletben előírt megfelelő technikai és szervezési intézkedésekről („tárolással kapcsolatos korlátozások”);
f) a személyes adatok megfelelő biztonságát biztosító módon kell feldolgozni, ideértve a jogosulatlan vagy illegális feldolgozás, valamint a véletlen elvesztés, megsemmisülés vagy sérülés elleni védelmet is, megfelelő technikai vagy szervezési intézkedések megtételével („sértetlenség és titoktartás”).
(2) Az üzemeltető felelős az (1) bekezdésben foglaltak betartásáért, és ezt igazolni tudja ("felelősség").
6. cikk: A feldolgozás jogszerűsége
(1) Az adatkezelés csak akkor és olyan mértékben jogszerű, ha az alábbi feltételek közül legalább egy teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több meghatározott célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelynek az érintett szerződő fele, vagy az érintett kérésére, a szerződés megkötése előtt lépések megtételéhez;
c) az adatkezelés az üzemeltetőt terhelő jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében szükséges;
e) az adatkezelés közérdekű, vagy az üzemeltetővel megbízott közhatalom gyakorlásából eredő feladat ellátásához szükséges;
f) az adatkezelésre az üzemeltető vagy harmadik fél által követett jogos érdekek érdekében van szükség, kivéve, ha az érintett érdekei vagy alapvető jogai és szabadságai elsőbbséget élveznek, amelyek megkövetelik a személyes adatok védelmét, különösen akkor, ha az érintett egy gyerek.
Az első bekezdés f) pontja nem vonatkozik a hatóságok által feladataik ellátása során végzett adatfeldolgozásra.
(2) A tagállamok az (1) bekezdés c) és e) pontjában foglaltaknak való megfelelés érdekében fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket e rendelet adatkezelésre vonatkozó szabályai alkalmazásának kiigazítására azáltal, hogy pontosabb különleges követelményeket határoznak meg a feldolgozásra és a feldolgozásra vonatkozóan. egyéb intézkedések a jogszerű és tisztességes adatkezelés biztosítására, beleértve az egyéb konkrét adatkezelési helyzeteket is, a IX. fejezetben foglaltak szerint.
(3) Az (1) bekezdés c) és e) pontjában említett adatkezelés alapját az alábbiakban kell megadni: a) uniós jog; vagy
b) az üzemeltetőre vonatkozó hazai jog.
Az adatkezelés célja a mindenkori jogalap alapján megállapításra kerül, vagy az (1) bekezdés e) pontjában említett adatkezelés tekintetében közérdekből végzett feladat ellátásához szükséges, vagy az üzemeltetőre ruházott közfeladat gyakorlása. A vonatkozó jogalap konkrét rendelkezéseket tartalmazhat e rendelet szabályainak alkalmazásának kiigazítására vonatkozóan, többek között: az üzemeltető általi adatkezelés jogszerűségét szabályozó általános feltételeket; a feldolgozás tárgyát képező adattípusok; az érintett személyek; mely jogalanyokkal az adatok átadhatók, és milyen célból adhatók át az említett személyes adatok; célkorlátozások; tárolási időszakok; valamint a feldolgozási műveletek és eljárások, beleértve a jogszerű és tisztességes adatfeldolgozást biztosító intézkedéseket, például a IX. fejezetben meghatározott egyéb konkrét adatfeldolgozási helyzetekre vonatkozó intézkedéseket. Az uniós jog vagy a nemzeti jog közérdekű célt követ, és arányos az elérni kívánt legitim céllal.
(4) Ha a személyes adatok gyűjtésének céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán, sem uniós jogon vagy belső jogon alapul, ami egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül A 23. cikk (1) bekezdésében említett célok védelme érdekében az üzemeltető annak megállapítása érdekében, hogy a más célból történő adatkezelés összeegyeztethető-e azzal a céllal, amelyre a személyes adatokat eredetileg gyűjtötték, többek között figyelembe veszi:
a) bármilyen összefüggés a személyes adatok gyűjtésének céljai és a tervezett további feldolgozás céljai között;
b) a személyes adatok gyűjtésének kontextusa, különös tekintettel az érintettek és az üzemeltető közötti kapcsolatra;
c) a személyes adatok jellege, különösen a személyes adatok különleges kategóriáinak kezelése esetén a 9. cikkel összhangban, vagy abban az esetben, ha büntetőítéletekkel és bűncselekményekkel kapcsolatos személyes adatokat kezelnek a 10. cikkel összhangban;
d) a várható későbbi adatkezelés érintettekre gyakorolt lehetséges következményei;
e) megfelelő garanciák megléte, amelyek magukban foglalhatják a titkosítást vagy az álnevesítést.
7. cikk: A beleegyezés feltételei
(1) Ha az adatkezelés hozzájáruláson alapul, az üzemeltetőnek igazolnia kell, hogy az érintett hozzájárulását adta személyes adatai kezeléséhez.
(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más szempontokra is hivatkozik, a hozzájárulás iránti kérelmet a többi szemponttól egyértelműen megkülönböztető, közérthető formában kell benyújtani. könnyen elérhető, segítségével a
világos és egyszerű nyelvezet. A nyilatkozat bármely része, amely e rendelet megsértését jelenti, nem kötelező.
(3) Az érintett jogosult hozzájárulását bármikor visszavonni. A hozzájárulás visszavonása nem érinti a hozzájárulás alapján a visszavonás előtt végzett adatkezelés jogszerűségét. A hozzájárulás megadása előtt erről tájékoztatják az érintettet. A hozzájárulás visszavonása olyan egyszerű, mint annak megadása.
(4) A hozzájárulás önkéntes megadásának értékelése során lehetőség szerint figyelembe kell venni azt a tényt, hogy a szerződés teljesítésének – ideértve a szolgáltatás nyújtását is – feltétele-e vagy sem a hozzájárulásra vonatkozó hozzájárulás. olyan személyes adatok kezelése, amelyek a jelen szerződés teljesítéséhez nem szükségesek.
8. cikk: A gyermekek információs társadalommal összefüggő szolgáltatásokkal kapcsolatos hozzájárulására vonatkozó feltételek
(1) Ha a 6. § (1) bekezdésének a) pontja alkalmazandó, az információs társadalommal összefüggő szolgáltatások közvetlenül a gyermek részére történő nyújtása tekintetében a gyermek személyes adatainak kezelése jogszerű, ha a gyermek betöltötte a 16. életévét. Ha a gyermek 16 évesnél fiatalabb, a vonatkozó adatkezelés csak akkor és olyan mértékben jogszerű, ha a megfelelő hozzájárulást a gyermek feletti szülői felelősséget gyakorló megadja vagy engedélyezi.
A tagállamok e célokra törvényben alacsonyabb korhatárt is előírhatnak, feltéve, hogy az alsó korhatár nem kevesebb 13 évnél.
(2) Az üzemeltető minden ésszerű erőfeszítést megtesz annak igazolására, hogy a szülői felelősséget terhelő ilyen esetekben a rendelkezésre álló technológiák figyelembevételével hozzájárult-e vagy engedélyezte-e.
(3) Az (1) bekezdés nem érinti a tagállamokban alkalmazandó általános szerződési jogot, így a gyermekre vonatkozó szerződés érvényességére, megkötésére vagy joghatásaira vonatkozó szabályokat.
9. cikk: A személyes adatok különleges kategóriáinak feldolgozása
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy filozófiai meggyőződésre vagy szakszervezeti tagságra feltáró személyes adatok kezelése, valamint genetikai adatok, biometrikus adatok természetes személy egyedi azonosítását célzó, egészségi állapotra vonatkozó adatok, illetve az egészségre vonatkozó adatok kezelése. természetes személy szexuális élete vagy szexuális irányultsága.
(2) Az (1) bekezdés nem alkalmazandó az alábbi esetekben:
a) az érintett kifejezett hozzájárulását adta e személyes adatok egy vagy több meghatározott célból történő kezeléséhez, kivéve, ha uniós jog vagy belső jog úgy rendelkezik, hogy az (1) bekezdésben foglalt tilalom az érintett hozzájárulásával nem oldható fel ;
b) az adatkezelés az üzemeltetőt vagy az érintettet a foglalkoztatás és a társadalombiztosítás, valamint a szociális védelem területén fennálló kötelezettségeinek teljesítéséhez és meghatározott jogainak gyakorlásához szükséges, amennyiben ezt uniós jog vagy belső jog megengedi, vagy a hazai jog alapján megkötött kollektív munkaszerződés, amely megfelelő garanciákat nyújt az érintett alapvető jogaira és érdekeire;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében szükséges, ha az érintett fizikailag vagy jogilag nem képes hozzájárulását adni;
d) az adatkezelést jogszerű tevékenységük keretében és megfelelő garanciák mellett politikai, filozófiai, vallási vagy szakszervezeti sajátosságokkal rendelkező alapítvány, egyesület vagy más non-profit szervezet végzi, feltéve, hogy az adatkezelés kizárólag annak tagjaira vagy az érintett testület korábbi tagjai vagy olyan személyek, akikkel a céljaival összefüggésben állandó kapcsolatban áll, és hogy a személyes adatokat az érintettek hozzájárulása nélkül harmadik személynek nem adják át; e) az adatkezelés az érintett által nyíltan nyilvánosságra hozott személyes adatokra vonatkozik;
f) az adatkezelés a bíróság előtti jog megállapításához, gyakorlásához vagy védelméhez szükséges, vagy amikor a bíróság igazságszolgáltatási feladatának gyakorlása során jár el;
g) az adatkezelésre uniós jogon vagy belső jogon alapuló, jelentős közérdek miatt van szükség, amely arányos a kitűzött céllal, tiszteletben tartja az adatvédelemhez való jog lényegét, és megfelelő és konkrét intézkedéseket ír elő az alapvető jogok védelmére, az érintett érdekei;
h) az adatkezelés megelõzõ vagy foglalkozás-egészségügyi, a munkavállaló munkaképességének felmérése, orvosi diagnózis felállítása, orvosi vagy szociális segítségnyújtás vagy gyógykezelés nyújtása, illetve egészségügyi rendszerek és szolgáltatások irányításával, ill. szociális segély, amely uniós jogon vagy belső jogon, vagy egészségügyi személyzettel kötött szerződésen alapul, és a (3) bekezdésben meghatározott feltételek és garanciák betartása mellett;
i) a feldolgozásra a közegészségügy területén közérdekű okokból van szükség, mint például a határokon átnyúló súlyos egészségügyi fenyegetések elleni védelem, vagy az orvosi ellátás és a gyógyszerek vagy orvostechnikai eszközök magas minőségi színvonalának és biztonságának biztosítása érdekében, az uniós jog alapján, vagy a nemzeti jog, amely megfelelő és konkrét intézkedéseket ír elő az érintett személy jogainak és szabadságainak védelmére, különösen a szakmai titoktartásra; vagy j) az adatkezelés a 89. cikk (1) bekezdésével összhangban közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célokból szükséges, az uniós jog vagy a belső jog alapján, és arányos a céllal követi, tiszteletben tartja az adatvédelemhez való jog lényegét, és megfelelő és konkrét intézkedéseket tesz az érintett alapvető jogainak és érdekeinek védelmében.
(3) Az (1) bekezdésben említett személyes adat a (2) bekezdés h) pontjában meghatározott célból akkor kezelhető, ha az érintett adatot szakmai titoktartási kötelezettség alá tartozó szakember vagy a az uniós jog vagy a belső jog alapján, vagy az illetékes nemzeti szervek által megállapított szabályok alapján, vagy olyan más személy által, akire uniós jog vagy belső jog vagy az illetékes nemzeti szervek által megállapított szabályok alapján szintén titoktartási kötelezettség vonatkozik.
(4) A tagállamok fenntarthatnak vagy bevezethetnek további feltételeket, beleértve a korlátozásokat a genetikai adatok, biometrikus adatok vagy egészségügyi adatok feldolgozására vonatkozóan.
10. cikk: Büntetőítéletekkel és bűncselekményekkel kapcsolatos személyes adatok feldolgozása
A büntetőítéletekkel és bűncselekményekkel vagy a kapcsolódó biztonsági intézkedésekkel kapcsolatos személyes adatok 6. cikk (1) bekezdése szerinti feldolgozása csak állami hatóság ellenőrzése alatt történik, vagy ha az adatkezelést uniós jog vagy nemzeti jog engedélyezi, megfelelő garanciákat az érintett személyek jogaira és szabadságaira vonatkozóan. A büntetőítéletek mindenre kiterjedő nyilvántartását csak állami hatóság ellenőrzése alatt vezetik.
11. cikk: Azonosítást nem igénylő feldolgozás
(1) Ha az üzemeltető személyes adatkezelésének céljai nem, vagy már nem teszik szükségessé az érintett azonosítását az üzemeltető részéről, az üzemeltető nem köteles az érintett azonosítása érdekében további információkat megőrizni, megszerezni vagy feldolgozni. kizárólagos célja e rendeletnek való megfelelés.
(2) Ha az üzemeltető az (1) bekezdésben említett esetekben bizonyítani tudja, hogy nem tudja azonosítani az érintettet, erről lehetőség szerint tájékoztatja az érintettet. Ilyen esetekben a 15-20. cikkek nem alkalmazandók, kivéve, ha az érintett a megfelelő cikkek szerinti jogainak gyakorlása érdekében további információkat szolgáltat, amelyek lehetővé teszik azonosítását.
III. FEJEZET: Az érintett jogai
1. szakasz: Átláthatóság és módozatok
12. cikk: Az adatok átláthatósága, a kommunikáció és az érintett jogai gyakorlásának módjai
(1) Az üzemeltető megteszi a megfelelő intézkedéseket annak érdekében, hogy az érintettet tömör, átlátható, közérthető és könnyen hozzáférhető formában, a 13. és 14. cikkben említett, valamint a 15-22. és 34. cikken alapuló, az adatkezeléssel kapcsolatos tájékoztatást megkapja, világos és egyszerű nyelv, különösen
minden olyan információért, amely kifejezetten egy gyermeknek szól. A tájékoztatás írásban vagy más módon történik, beleértve adott esetben az elektronikus formátumot is. Az érintett kérésére a tájékoztatás szóban is adható, feltéve, hogy az érintett személyazonosságát más módon igazolják.
(2) Az üzemeltető elősegíti az érintett 15-22. cikk szerinti jogainak gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az üzemeltető nem tagadja meg az érintett arra irányuló kérelmének teljesítését, hogy gyakorolja a 15-22. cikk szerinti jogait, kivéve, ha az üzemeltető bizonyítja, hogy nem tudja azonosítani érintett .
(3) Az üzemeltető indokolatlan késedelem nélkül, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet a 15-22. Ez az időszak szükség esetén két hónappal meghosszabbítható, figyelembe véve a kérelmek összetettségét és számát. A meghosszabbításról az üzemeltető a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet, ismertetve a késedelem okát. Ha az érintett elektronikus formátumban nyújtja be kérelmét, a tájékoztatás lehetőség szerint elektronikus formátumban történik, kivéve, ha az érintett más formátumot kér. (4) Ha az érintett kérelmére nem intézkedik, az üzemeltető haladéktalanul, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet arról, hogy miért nem tesz intézkedést, valamint a a felügyeleti hatósághoz benyújtott panasz és bírósági fellebbezés lehetősége.
(5) A 13. és 14. cikk értelmében biztosított információkat, valamint a 15–22. és 34. cikk alapján tett minden kommunikációt és intézkedést ingyenesen biztosítják. Ha az érintett kérelmei egyértelműen megalapozatlanok vagy túlzóak, különösen ismétlődő jellegük miatt, az üzemeltető:
a) vagy méltányos díjat számítanak fel, figyelembe véve az információnyújtás vagy a kommunikáció vagy a kért intézkedések megtételének adminisztratív költségeit;
b) vagy megtagadja a kérelem teljesítését.
Ezekben az esetekben az üzemeltető feladata a kérelem nyilvánvalóan megalapozatlan vagy túlzó jellegének bizonyítása.
(6) A 11. cikk sérelme nélkül, ha megalapozott kétségei vannak a 15-21. cikkben említett kérelmet benyújtó természetes személy személyazonosságával kapcsolatban, az üzemeltető kérheti az érintett személyazonosságának megerősítéséhez szükséges további információk megadását. (7) A 13. és 14. cikk értelmében az érintettek számára nyújtandó információk szabványos ikonokkal kombinálva is megadhatók, hogy könnyen látható, érthető és jól olvasható módon jelentős áttekintést nyújtsanak a tervezett adatkezelésről. Ha az ikonok elektronikus formátumban jelennek meg, akkor azokat automatikusan le kell tudni olvasni. (8) A bizottság felhatalmazást kap arra, hogy a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el a piktogramok által megjelenítendő információk és a szabványosított piktogramok biztosítására vonatkozó eljárások meghatározása érdekében.
2. szakasz: Tájékoztatás és hozzáférés a személyes adatokhoz
13. cikk: Megadandó információk, ha személyes adatokat gyűjtenek az érintetttől
(1) Ha az érintettről személyes adatot gyűjtenek, az üzemeltető e személyes adat beszerzésekor az érintettnek az alábbi valamennyi tájékoztatást megadja:
a) az üzemeltető és adott esetben képviselőjének személyazonossága és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségeit, az esettől függően;
c) a személyes adatok kezelésének célja, valamint az adatkezelés jogalapja; d) ha az adatkezelés a 6. cikk (1) bekezdésének f) pontja szerint történik, az üzemeltető vagy harmadik fél által követett jogos érdekek;
e) a személyes adatok címzettjei vagy címzettjei kategóriái;
f) adott esetben az üzemeltető azon szándéka, hogy személyes adatokat harmadik országba vagy nemzetközi szervezetbe továbbítson, valamint a megfelelőségre vonatkozó bizottsági határozat megléte vagy hiánya
vagy a 46. vagy 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett átutalások esetében hivatkozás a megfelelő vagy megfelelő garanciákra, valamint az ezek másolatának beszerzésének módjaira, ha azokat a diszpozíció.
(2) Az üzemeltető az (1) bekezdésben említett tájékoztatáson túl a személyes adatok megszerzésekor a következő, a tisztességes és átlátható adatkezelés biztosításához szükséges további információkat az érintett rendelkezésére bocsátja:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam megállapításához használt kritériumok;
b) az érintettre vonatkozó személyes adatokkal kapcsolatban az üzemeltetőtől kérhető, azokhoz való hozzáférést, azok helyesbítését vagy törlését, illetve az adatkezelés korlátozását, illetve az adatkezelés elleni tiltakozáshoz való jog meglétét, valamint az adatkezeléshez való jogot. adathordozhatóság; c) ha az adatkezelés a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapul, a hozzájárulás bármikori visszavonásának joga az adatkezelés jogszerűségének befolyásolása nélkül hozzájárulás alapján, annak visszavonása előtt hajtják végre;
d) a felügyeleti hatósághoz történő panasztétel joga;
e) ha a személyes adatok megadása jogszabályi vagy szerződéses kötelezettséget, vagy szerződéskötéshez szükséges kötelezettséget jelent, valamint, hogy az érintett köteles-e ezen személyes adatot megadni, és milyen lehetséges következményei lehetnek ennek be nem tartása kötelezettség;
f) a 22. cikk (1) és (4) bekezdésében említett, automatizált döntéshozatali folyamat megléte, ideértve a profilok létrehozását, valamint legalább a megfelelő esetekben a használt logikára és a az ilyen adatkezelés fontosságát és várható következményeit az érintett személy számára.
(3) Ha az üzemeltető a személyes adatokat a későbbiekben a gyűjtésük céljától eltérő célból kívánja feldolgozni, az üzemeltető a további adatkezelés előtt tájékoztatja az érintettet a másodlagos célról, valamint minden további információról. vonatkozó, a (2) bekezdés szerint.
(4) Az (1), (2) és (3) bekezdést nem kell alkalmazni, ha és amennyiben az érintett már rendelkezik az adott információval.
14. cikk: Megadandó információk, ha a személyes adatokat nem az érintetttől szerezték be
(1) Ha a személyes adatot nem az érintetttől szerezték be, az üzemeltető az alábbi tájékoztatást adja az érintettnek:
a) az üzemeltető és adott esetben képviselőjének személyazonossága és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségeit, az esettől függően;
c) a személyes adatok kezelésének céljai, valamint az adatkezelés jogalapja; d) az érintett személyes adatok kategóriái;
e) az esettől függően a személyes adatok címzettjei vagy címzettjei;
f) adott esetben az üzemeltető azon szándéka, hogy a személyes adatokat harmadik országból vagy nemzetközi szervezetből származó címzettnek továbbítsa, valamint a Bizottság határozatának megléte vagy hiánya a megfelelőségről, illetve az 46. pontban említett továbbítások esetében. a 47. vagy 49. cikkben vagy a 1. cikk (XNUMX) bekezdésének második albekezdésében a megfelelő vagy megfelelő garanciákra és az ezek másolatának beszerzésének módjaira való hivatkozást, ha azokat rendelkezésre bocsátották.
(2) Az üzemeltető az (1) bekezdésben említett tájékoztatáson túlmenően az érintettre vonatkozó tisztességes és átlátható adatkezelés biztosításához szükséges alábbi információkat adja meg:
a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam megállapításához használt kritériumok;
b) ha az adatkezelés a 6. cikk (1) bekezdésének f) pontja szerint történik, az üzemeltető vagy harmadik fél által követett jogos érdekek;
c) az érintettre vonatkozó személyes adatok, az azokhoz való hozzáférés, helyesbítés vagy törlés, illetve az adatkezelés korlátozása tekintetében az üzemeltető kérésére való jogosultság, valamint az adatkezelés elleni tiltakozás joga, valamint az adathordozhatósághoz való jog. ; d) ha az adatkezelés a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapul, a hozzájárulás bármikori visszavonásának joga az adatkezelés jogszerűségének befolyásolása nélkül hozzájárulás alapján, annak visszavonása előtt hajtják végre;
e) a felügyeleti hatósághoz történő panasztétel joga;
f) a személyes adatok forrása, és adott esetben, ha azok nyilvánosan elérhető forrásból származnak;
g) a 22. cikk (1) és (4) bekezdésében említett, a profilok létrehozását is magában foglaló automatizált döntéshozatali folyamat megléte, valamint legalább az adott esetekben releváns információk az alkalmazott logikára és a az ilyen adatkezelés fontosságát és várható következményeit az érintett személy számára.
(3) Az üzemeltető az (1) és (2) bekezdésben említett információkat megadja:
a) a személyes adatok beszerzését követő ésszerű időn belül, de legfeljebb egy hónapon belül, figyelembe véve a személyes adatok kezelésének sajátos körülményeit; b) ha a személyes adatokat az érintettel való kommunikációra kívánják felhasználni, legkésőbb az érintett érintettel való első közlés időpontjában; vagy
c) ha a személyes adatot más címzettnek kívánják átadni, legkésőbb az első nyilvánosságra hozatal napján.
(4) Ha az üzemeltető a személyes adatokat a későbbiekben a megszerzésük céljától eltérő célból kívánja feldolgozni, az üzemeltető köteles az érintettet a további kezelés előtt tájékoztatni a másodlagos célról és minden további információról. vonatkozó, a (2) bekezdés szerint.
(5) Az (1)-(4) bekezdést nem kell alkalmazni, ha és annyiban:
a) az érintett személy már birtokolja az információt;
b) ezen információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalan erőfeszítéssel járna, különösen közérdekű archiválási, tudományos vagy történeti kutatási vagy statisztikai célú adatkezelés esetén, az adatkezelésben meghatározott feltételek és garanciák mellett. a 89. cikk (1) bekezdésében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné teszi vagy súlyosan befolyásolja az adott adatkezelés céljainak elérését. Ilyen esetekben az üzemeltető megteszi a megfelelő az érintett jogainak, szabadságainak és jogos érdekeinek védelmét szolgáló intézkedések, ideértve az információk nyilvánosságra hozatalát is;
c) az adatok megszerzését vagy nyilvánosságra hozatalát az üzemeltetőre vonatkozó uniós jog vagy belső jog kifejezetten előírja, és amely megfelelő intézkedéseket ír elő az érintett jogos érdekeinek védelmére; vagy
d) ha a személyes adatoknak az uniós jogban vagy belső jogban szabályozott szakmai titoktartási kötelezettség, ideértve a titoktartási kötelezettséget is, alapján bizalmasnak kell maradniuk.
15. cikk: Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy az üzemeltetőtől visszaigazolást kapjon arról, hogy a rá vonatkozó személyes adatok kezelése folyamatban van-e, és ha igen, jogosult a vonatkozó adatokhoz és az alábbi információkhoz hozzáférést kapni:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) a címzettek vagy a címzettek kategóriái, akikkel a személyes adatokat közölték vagy közölni fogják, különösen harmadik országokból vagy nemzetközi szervezetekből származó címzettek;
d) lehetőség szerint a személyes adatok várható tárolásának időtartama, vagy ha ez nem lehetséges, az ezen időtartam megállapításához használt kritériumok; e) az érintettre vonatkozó személyes adatok helyesbítését vagy törlését, illetve a személyes adatok kezelésének korlátozását kérheti az üzemeltetőtől, vagy az adatkezelés ellen tiltakozhat;
f) a felügyeleti hatósághoz történő panasztétel joga;
g) ha a személyes adatokat nem az érintetttől gyűjtötték, a forrásukra vonatkozó minden rendelkezésre álló információt;
h) automatizált döntéshozatali folyamat megléte, ideértve a 22. cikk (1) és (4) bekezdésében említett profilok létrehozását, valamint – legalább a megfelelő esetekben – az alkalmazott logikára vonatkozó releváns információkat. az ilyen adatkezelés fontosságát és várható következményeit az érintett személy számára.
(2) Ha a személyes adatot harmadik országba vagy nemzetközi szervezetbe továbbítják, az érintett jogosult tájékoztatást kapni a 46. cikk szerinti megfelelő garanciákról a továbbításra vonatkozóan.
(3) Az üzemeltető másolatot biztosít az adatkezelés tárgyát képező személyes adatokról. Az érintett által kért egyéb másolatokért az üzemeltető az adminisztrációs költségeken alapuló ésszerű díjat számíthat fel. Ha az érintett a kérelmet elektronikus formátumban nyújtja be, és ha az érintett más formátumot nem kér, a tájékoztatás a jelenleg használt elektronikus formátumban történik.
(4) A (3) bekezdésben említett másolathoz való jog nem érinti mások jogait és szabadságait.
3. szakasz: Helyesbítés és törlés
16. cikk: A helyesbítéshez való jog
Az érintett jogosult arra, hogy az üzemeltetőtől indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés céljait, az érintett jogosult a hiányos személyes adatok kiegészítésére, beleértve egy kiegészítő nyilatkozat benyújtását is.
Művészet. 17: Adattörléshez való jog ("feledésbe merüléshez való jog")
(1) Az érintett jogosult arra, hogy kérje az üzemeltetőtől a rá vonatkozó személyes adatok indokolatlan késedelem nélküli törlését, az üzemeltető pedig köteles a személyes adatot indokolatlan késedelem nélkül törölni, ha az alábbi okok valamelyike fennáll: a ) a személyes adatokra már nincs szükség azon célok teljesítéséhez, amelyekből azokat gyűjtötték vagy feldolgozták;
b) az érintett visszavonja az adatkezelés alapjául szolgáló hozzájárulását a 6. cikk (1) bekezdés a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerint, és nincs más jogalapja a feldolgozáshoz;
c) az érintett tiltakozik az adatkezelés ellen a 21. cikk (1) bekezdése szerint, és nincs jogos ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen a 21. cikk (2) bekezdése értelmében;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat törölni kell az üzemeltetőt az uniós jogon vagy az üzemeltetőre vonatkozó belső jogon alapuló jogi kötelezettségének teljesítése érdekében; f) a személyes adatokat a 8. cikk (1) bekezdésében említett információs társadalommal összefüggő szolgáltatások nyújtásával összefüggésben gyűjtötték.
(2) Ha az üzemeltető a személyes adatot nyilvánosságra hozta, és az (1) bekezdés szerint köteles azokat törölni, az üzemeltető a rendelkezésre álló technológiára és a megvalósítás költségére tekintettel ésszerű intézkedéseket tesz, ideértve a műszaki intézkedéseket is, hogy tájékoztassa. a személyes adatokat kezelő üzemeltetőknek, hogy az érintett kérte az érintett adatokra mutató hivatkozások, illetve ezekről a személyes adatokról készült másolatok vagy másolatok törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánításhoz és a tájékoztatáshoz való jog gyakorlásához;
b) az uniós jogon vagy az üzemeltetőre vonatkozó belső jogon alapuló adatkezelést előíró jogszabályi kötelezettség teljesítése, vagy az érdekében végzett feladat teljesítése érdekében.
nyilvánosan vagy az üzemeltetővel felruházott közhatalmi jogkör gyakorlása során;
c) a közegészségügy területén közérdekből, a 9. cikk (2) bekezdésével összhangban.
a h) és i) pont, valamint a 9. cikk (3) bekezdése;
d) a 89. cikk (1) bekezdésének megfelelően közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog azt valószínűsíthetően lehetetlenné teszi, vagy súlyosan befolyásolja a feldolgozási célok elérését
illetőleg; vagy
e) valamely jog bíróság előtti megállapítására, gyakorlására vagy védelmére. (23. május 2018-i állapot III. fejezet 17. szakasz 3. cikk (3) bekezdés, a május 3-i módosítás 23. pontja módosította
2018)
18. cikk: Az adatkezelés korlátozásának joga
(1) Az érintett jogosult az adatkezelés korlátozását kérni az üzemeltetőtől, ha az alábbi esetek valamelyike fennáll:
a) az érintett vitatja az adatok pontosságát, olyan ideig, amely lehetővé teszi az üzemeltető számára az adatok pontosságának ellenőrzését;
b) az adatkezelés jogellenes, és az érintett ellenzi a személyes adatok törlését, helyette felhasználásuk korlátozását kéri;
c) az üzemeltetőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett kéri azokat jogának megállapítása, gyakorlása vagy bíróság előtti védelme érdekében; vagy
d) az érintett a 21. § (1) bekezdése szerint tiltakozott az adatkezelés ellen, arra az időtartamra, amely alatt megvizsgálják, hogy az üzemeltető törvényes jogai elsőbbséget élveznek-e az érintett jogaival szemben.
(2) Ha az (1) bekezdés szerint az adatkezelést korlátozták, az ilyen személyes adat a tárolás kivételével csak az érintett hozzájárulásával, vagy bíróság előtti jogalapítás, gyakorlás vagy jogvédelem céljából kezelhető. más természetes vagy jogi személy jogainak védelme, illetve az Unió vagy egy tagállam fontos közérdeke miatt.
(3) Az (1) bekezdés szerinti adatkezelési korlátozásban részesült érintettet az üzemeltető az adatkezelési korlátozás feloldása előtt tájékoztatja.
19. cikk: A személyes adatok helyesbítésével vagy törlésével vagy az adatkezelés korlátozásával kapcsolatos bejelentési kötelezettség
Az üzemeltető minden olyan címzettet közöl, akivel személyes adatot közölt a személyes adatoknak a 16. cikk, a 17. cikk (1) bekezdése és a 18. cikk szerint végrehajtott helyesbítéséről vagy törléséről, illetve az adatkezelés korlátozásáról, kivéve, ha ez lehetetlennek bizonyul vagy aránytalanul megköveteli. erőfeszítések. Az üzemeltető tájékoztatja az érintettet az érintett címzettekről, ha az érintett ezt kéri.
20. cikk: Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó és általa az üzemeltető rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt és géppel olvasható formátumban megkapja, és jogosult arra, hogy ezeket az adatokat egy másik üzemeltetőnek akadálytalanul továbbítsa. attól az üzemeltetőtől, akinek a személyes adatokat közölték, abban az esetben, ha:
a) az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és b) a feldolgozás automatikus módon történik.
(2) Az (1) bekezdés szerinti adathordozhatósághoz való jogának gyakorlása során az érintett jogosult arra, hogy személyes adatait az egyik üzemeltetőtől a másikhoz közvetlenül továbbítsák, amennyiben ez technikailag megvalósítható.
(3) A jelen cikk (1) bekezdésében említett jog gyakorlása nem érinti a 17. §-t. Ez a jog nem vonatkozik a közérdekből vagy közhatalom gyakorlása keretében végzett feladat ellátásához szükséges adatkezelésre. amelyre az üzemeltető fel van ruházva.
(4) Az (1) bekezdésben említett jog mások jogait és szabadságait nem érinti.
4. szakasz: A felszólaláshoz való jog és az automatizált egyéni döntéshozatali eljárás
21. cikk: A felszólaláshoz való jog
(1) Az érintett bármikor jogosult arra, hogy sajátos helyzetével összefüggő okokból tiltakozzon a személyes adatok 6. cikk (1) bekezdésének e) vagy f) pontja szerinti kezelése ellen.
az érintett személyzetet, ideértve a vonatkozó rendelkezéseken alapuló profilok létrehozását. Az üzemeltető a továbbiakban nem kezel személyes adatokat, kivéve, ha az üzemeltető bizonyítja, hogy jogos és kényszerítő erejű indokai vannak, amelyek az adatkezelést indokolják, és amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy a cél valamely jog megállapítása, gyakorlása vagy védelme. be
példa.
(randizni
23. május 2018. 21. cikk, bek. (1) A 4. május 4-i Helyesbítés 23. pontjával helyesbített III. fejezet 2018. pontjából)
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés célját szolgálja, az érintett bármikor tiltakozhat a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az ahhoz kapcsolódik. az adott direkt marketinghez.
(3) Ha az érintett tiltakozik a közvetlen üzletszerzés céljából történő adatkezelés ellen, a személyes adatok e célból történő kezelése a továbbiakban nem történik meg.
(4) Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvételkor kifejezetten felhívják az érintett figyelmét, és azt egyértelműen és minden egyéb információtól elkülönítve közöljük. .
(5) Az információs társadalommal összefüggő szolgáltatások igénybevételével összefüggésben és a 2002/58/EK irányelv ellenére az érintett a tiltakozáshoz való jogát műszaki előírásokat használó, automatikus eszközökkel gyakorolhatja.
(6) Ha a személyes adatot a 89. § (1) bekezdése szerint tudományos vagy történeti kutatási célból, illetve statisztikai célból kezelik, az érintettnek – sajátos helyzetével összefüggő okokból – joga van a személyes adatok kezelése ellen tiltakozni. rá vonatkozó, kivéve, ha az adatkezelés közérdekű okból valamely feladat ellátásához szükséges.
22. cikk: Automatizált egyéni döntéshozatali folyamat, beleértve a profilok létrehozását
(1) Az érintett jogosult arra, hogy ne vonatkozzon rá olyan, kizárólag automatikus adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely az érintettet érintő joghatásokat vált ki, vagy őt hasonlóan jelentős mértékben érinti.
(2) Az (1) bekezdés nem alkalmazandó, ha a határozat:
a) az érintett és az adatkezelő közötti szerződés megkötéséhez vagy végrehajtásához szükséges;
b) az üzemeltetőre vonatkozó uniós jog vagy belső jog felhatalmazza, és amely megfelelő intézkedéseket ír elő az érintett személy jogainak, szabadságainak és jogos érdekeinek védelmére; vagy
c) az érintett kifejezett hozzájárulásán alapul.
(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő megfelelő intézkedéseket tesz az érintett jogainak, szabadságainak és jogos érdekeinek, legalább az emberi beavatkozáshoz való jogának védelme érdekében. az üzemeltető részéről álláspontja kinyilvánítására és a határozat ellen fellebbezésre.
(4) A (2) bekezdésben említett határozatok nem alapulnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó. amelyben megfelelő intézkedéseket hoztak az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
5. szakasz: Korlátozások
23. cikk: Korlátozások
(1) Az adatkezelőre vagy az üzemeltető által meghatalmazott személyre vonatkozó uniós jog vagy belső jog jogalkotási intézkedéssel korlátozhatja a 12-22. és 34., valamint az 5. cikkben foglalt kötelezettségek és jogok körét. rendelkezései mennyiben felelnek meg a 12-22. cikkekben meghatározott jogoknak és kötelezettségeknek, ha ilyen
a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényegét, és szükséges és arányos intézkedés egy demokratikus társadalomban annak biztosítására, hogy:
a) nemzetbiztonság;
b) védekezés;
c) közbiztonság;
d) bűncselekmények megelőzése, kivizsgálása, felderítése vagy büntetőjogi felelősségre vonása vagy büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyek elleni védelmet és azok megelőzését; e) az Unió vagy egy tagállam egyéb fontos általános közérdekű célkitűzései, különösen az Unió vagy egy tagállam fontos gazdasági vagy pénzügyi érdekei, beleértve a monetáris, költségvetési és fiskális, valamint a közérdeket. egészségügy és szociális biztonság ;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) szabályozott szakmák esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és üldözése;
h) az a)-e) és g) pontokban említett esetekben a közhatalom gyakorlásával akár esetenként is összefüggő felügyeleti, ellenőrzési vagy szabályozási funkció;
i) az érintett személy vagy mások jogainak és szabadságainak védelme; j) polgári jogi igények érvényesítése.
(2) Az (1) bekezdésben említett jogalkotási intézkedés különös rendelkezéseket tartalmaz adott esetben legalább a következőkre vonatkozóan:
a) a feldolgozás céljai vagy kategóriái;
b) a személyes adatok kategóriái;
c) a bevezetett korlátozások köre;
d) garanciák a visszaélések, illetve az illegális hozzáférés vagy továbbítás megelőzésére;
e) az üzemeltető vagy az üzemeltetők kategóriáinak megemlítése;
f) a tárolási időtartamok és az alkalmazandó garanciák, tekintettel a feldolgozás vagy a feldolgozási kategóriák jellegére, hatályára és céljaira;
g) az érintett személyek jogait és szabadságait érintő kockázatok; és
h) az érintettek tájékoztatáshoz való joga a korlátozásról, kivéve, ha ez a korlátozás célját érintheti.
IV. FEJEZET: Az üzemeltető és az üzemeltető által meghatalmazott személy
1. szakasz: Általános kötelezettségek
24. cikk: Az üzemeltető felelőssége
(1) Figyelembe véve az adatkezelés jellegét, terjedelmét, összefüggéseit és céljait, valamint a természetes személyek jogaira és szabadságaira nézve eltérő valószínűségi és súlyosságú kockázatokat, az üzemeltető megfelelő technikai és szervezési intézkedéseket tesz annak biztosítására, annak bizonyítására, hogy a feldolgozást e rendelettel összhangban végzik. A vonatkozó intézkedéseket felülvizsgálják és szükség esetén frissítik.
(2) Ha az adatkezelési műveletekkel arányosak, az (1) bekezdésben említett intézkedések magukban foglalják a megfelelő adatvédelmi szabályzatok üzemeltető általi végrehajtását. (3) A 40. cikkben említett jóváhagyott magatartási kódexek vagy a 42. cikkben említett jóváhagyott tanúsítási mechanizmusok betartása felhasználható az üzemeltető kötelezettségeinek teljesítésének bizonyítására.
25. cikk: Az adatvédelem biztosítása a fogantatás pillanatától kezdődően és alapértelmezés szerint (1) Figyelembe véve a technológia jelenlegi állását, a megvalósítás költségeit, valamint az adatkezelés jellegét, terjedelmét, összefüggéseit és céljait, valamint a kockázatokat különböző valószínűséggel. és a természetes személyek jogainak és szabadságainak súlyossága miatt, amelyet az adatkezelés jelent, az üzemeltető mind az adatkezelési mód kialakítása, mind pedig magának az adatkezelésnek az időpontjában megfelelő technikai és szervezési intézkedéseket hajt végre, mint például az álnevesítés, amely célja az adatvédelmi elvek – például az adatminimalizálás – hatékony megvalósítása, valamint a szükséges garanciák beépítése a feldolgozásba, e rendelet követelményeinek való megfelelés és az érintettek jogainak védelme érdekében.
(2) Az üzemeltető megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy alapértelmezés szerint csak olyan személyes adatok kerüljenek feldolgozásra, amelyek az egyes konkrét adatkezelési célokhoz szükségesek. Ez a kötelezettség a gyűjtött adatok mennyiségére, feldolgozásuk mértékére, tárolási idejére és hozzáférhetőségére vonatkozik. Az ilyen intézkedések különösen azt biztosítják, hogy alapértelmezés szerint a személyes adatokhoz a személy beavatkozása nélkül ne férhessen hozzá korlátlan számú személy.
(3) A 42. cikk szerint jóváhagyott tanúsítási mechanizmus elemként használható az e cikk (1) és (2) bekezdésében előírt követelmények teljesítésének bizonyítására.
26. cikk: Társult üzemeltetők
(1) Ha két vagy több üzemeltető közösen állapítja meg az adatkezelés célját és módját, ők társult üzemeltetők. Átlátható módon meghatározzák mindenki felelősségét az e rendeletből eredő kötelezettségeinek teljesítése tekintetében, különösen az érintettek jogainak gyakorlása, valamint a 13. és 14. cikkben előírt tájékoztatási kötelezettségek tekintetében. , közöttük létrejött megállapodás útján, kivéve abban az esetben és annyiban, amennyiben az üzemeltetők felelősségét az uniós jog vagy a rájuk vonatkozó belső jog határozza meg. A megállapodás kapcsolattartó pontot jelölhet ki az érintett személyek számára.
(2) Az (1) bekezdésben említett megállapodás megfelelően tükrözi a társult üzemeltetőknek az érintett személyekkel szembeni szerepét és kapcsolatait. A megállapodás lényegét az érintett megismerteti.
(3) Az érintett az (1) bekezdésben említett megállapodás pontjaitól függetlenül gyakorolhatja e rendelet szerinti jogait az egyes üzemeltetők vonatkozásában és velük kapcsolatban.
27. cikk: Az Unióban székhellyel nem rendelkező gazdasági szereplők képviselői vagy olyan üzemeltetők által felhatalmazott személyek.
(1) A 3. cikk (2) bekezdésének alkalmazása esetén az üzemeltető vagy az üzemeltető által meghatalmazott személy írásban kijelöl egy képviselőt az Unióban.
(2) Az e cikk (1) bekezdésében foglalt kötelezettség nem áll fenn:
a) alkalmi jellegű adatkezelés, amely nem foglalja magában nagymértékben a 9. cikk (1) bekezdésében meghatározott különleges kategóriájú adatok feldolgozását, illetve a büntetőítéletekkel és bűncselekményekkel kapcsolatos személyes adatok kezelését. a 10. cikkben említett, és amely valószínűleg nem jelent kockázatot az egyének jogaira és szabadságaira nézve, figyelembe véve az adatkezelés természetét, összefüggéseit, hatályát és céljait; vagy
b) hatóság vagy köztestület.
(3) A képviselő székhelye azon tagállamok egyikében található, ahol azok az érintettek tartózkodnak, akiknek személyes adatait termékértékesítéssel és szolgáltatásnyújtással összefüggésben kezelik, vagy akiknek magatartását figyelemmel kísérik.
(4) A képviselő az üzemeltetőtől vagy az üzemeltető által meghatalmazott személytől olyan megbízást kap, amellyel a felügyeleti hatóságok és az érintettek különösen az üzemeltetőn vagy az üzemeltető által meghatalmazotton kívül a képviselőhöz fordulhatnak, ill. közülük az adatkezeléssel kapcsolatos valamennyi kérdésben a jelen szabályzat betartása érdekében.
(5) Az üzemeltető vagy az üzemeltető által meghatalmazott személy általi képviselő kijelölése nem érinti az üzemeltetővel vagy az üzemeltető által meghatalmazott személlyel szemben indítható jogi lépéseket.
28. cikk: Az üzemeltető által meghatalmazott személy
(1) Ha az adatkezelést üzemeltető megbízásából kell elvégezni, az üzemeltető csak olyan felhatalmazott személyeket vesz igénybe, akik kellő garanciát vállalnak a megfelelő műszaki és szervezési intézkedések végrehajtására annak érdekében, hogy az adatkezelés megfeleljen az e rendeletben előírt követelményeknek, valamint hogy biztosítsák az érintett jogainak védelmét.
(2) Az üzemeltető által meghatalmazott személy az üzemeltető által meghatalmazott személyt az üzemeltető előzetes írásbeli, egyedi vagy általános meghatalmazása nélkül nem vesz fel. Általános írásbeli meghatalmazás esetén az üzemeltető által meghatalmazott személy mindenről tájékoztatja az üzemeltetőt
az üzemeltető által felhatalmazott személyek felvételével vagy cseréjével kapcsolatos várható változásokat, ezzel lehetőséget adva az üzemeltetőnek, hogy ezen változtatások ellen kifogást emeljen.
(3) Az üzemeltető által meghatalmazott személy általi adatkezelést olyan szerződés vagy egyéb uniós jogon vagy belső jogon alapuló jogi aktus szabályozza, amely az üzemeltető által az üzemeltetővel kapcsolatban meghatalmazott személyre nézve kötelező, és amely meghatározza a tárgyat és időtartamot. az adatkezelésről, az adatkezelés természetéről és céljáról, a személyes adatok típusáról és az érintett személyek kategóriáiról, valamint az üzemeltető kötelezettségeiről és jogairól. A vonatkozó szerződés vagy jogi aktus különösen úgy rendelkezik, hogy az üzemeltető által meghatalmazott személy:
a) a személyes adatokat kizárólag az üzemeltető dokumentált utasításai alapján kezelheti, ideértve a személyes adatok harmadik országba vagy nemzetközi szervezetbe történő továbbítását is, kivéve, ha ez a kötelezettség az uniós jog vagy a belső jog alapján az arra jogosult személyt terheli, vonatkozik rá; ebben az esetben e jogszabályi kötelezettségéről az üzemeltetőt az adatkezelés előtt értesíteni kell, kivéve, ha a vonatkozó jogszabály az értesítést fontos közérdekű ok miatt tiltja;
b) biztosított, hogy a személyes adatok kezelésére jogosultak kötelezettséget vállaltak a titoktartásra, vagy megfelelő törvényi titoktartási kötelezettségük van;
c) meghoz minden szükséges intézkedést a 32. cikkel összhangban;
d) betartani a (2) és (4) bekezdésben említett feltételeket az üzemeltető által meghatalmazott más személy felvételére vonatkozóan;
e) az adatkezelés jellegére tekintettel megfelelő technikai és szervezési intézkedésekkel, lehetőség szerint, segítséget ajánl az üzemeltetőnek az üzemeltető válaszadási kötelezettségének teljesítéséhez az érintett gyakorlásával kapcsolatos megkeresésekre. fejezetben meghatározott jogok; f) segítse az üzemeltetőt a 32-36. cikkekben foglalt kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az üzemeltető által meghatalmazott személy rendelkezésére álló információkat;
g) az üzemeltető választása szerint az adatkezeléssel kapcsolatos szolgáltatásnyújtás megszűnését követően minden személyes adatot töröl vagy visszaküld az üzemeltetőnek, és megszünteti a meglévő másolatokat, kivéve, ha uniós jog vagy belső jog a személyes adatok tárolását írja elő;
h) az üzemeltető rendelkezésére bocsát minden szükséges információt az e cikkben foglalt kötelezettségek teljesítésének bizonyításához, lehetővé teszi az üzemeltető vagy más felhatalmazott könyvvizsgáló által végzett auditokat, beleértve az ellenőrzéseket, és hozzájárul azokhoz.
Az első bekezdés h) pontjára vonatkozóan az üzemeltető által meghatalmazott személy haladéktalanul tájékoztatja az üzemeltetőt, ha álláspontja szerint az utasítás sérti a jelen előírást vagy az adatvédelemre vonatkozó belső vagy uniós jog egyéb rendelkezéseit.
(4) Abban az esetben, ha az üzemeltető által meghatalmazott személy az üzemeltető nevében meghatározott adatkezelési tevékenység végzésére más meghatalmazott személyt vesz fel, az üzemeltető és a meghatalmazott között létrejött szerződésben vagy egyéb jogi aktusban meghatározott adatvédelmi kötelezettségeket kell alkalmazni. az üzemeltető által a (3) bekezdésben meghatározottak szerint szerződés vagy más jogi aktus révén a második felhatalmazott személyre hárul, amely uniós jogon vagy belső jogon alapul, különös tekintettel a megfelelő garanciák biztosítására technikai és szervezési intézkedéseket kell tenni annak érdekében, hogy a feldolgozás megfeleljen a jelen szabályzat követelményeinek. Abban az esetben, ha ez a második meghatalmazott nem tesz eleget adatvédelmi kötelezettségeinek, az eredetileg meghatalmazott személy továbbra is teljes felelősséggel tartozik az üzemeltető felé e második meghatalmazott kötelezettségeinek teljesítéséért.
(5) Az, hogy az üzemeltető által felhatalmazott személy betartja a 40. cikkben említett jóváhagyott magatartási kódexet vagy a 42. cikkben említett jóváhagyott tanúsítási mechanizmust, felhasználható annak bizonyítására, hogy elegendő cikk (1) és (4) bekezdésében említett garanciák.
(6) Az üzemeltető és az üzemeltető által meghatalmazott személy között létrejött egyedi szerződés sérelme nélkül a jelen cikk (3) és (4) bekezdésében említett szerződés vagy egyéb jogi aktus részben vagy egészben alapulhat. , az e cikk (7) és (8) bekezdésében említett általános szerződési kikötésekre, beleértve azokat az eseteket is, amikor azok az üzemeltetőnek vagy az üzemeltető által a 42. és 43. cikknek megfelelően felhatalmazott személynek kiadott tanúsítvány részét képezik.
(7) A Bizottság az e cikk (3) és (4) bekezdésében említett szempontokra, a 93. cikk (2) bekezdésében említett vizsgálati eljárásnak megfelelően, szabványos szerződési feltételeket írhat elő.
(8) A felügyeleti hatóság általános szerződési feltételeket fogadhat el az e cikk (3) és (4) bekezdésében említett szempontokra vonatkozóan, a 63. cikkben említett következetesség biztosítására szolgáló mechanizmussal összhangban.
(9) A (3) és (4) bekezdésben említett szerződést vagy egyéb jogi aktust írásban, ideértve az elektronikus formátumot is, meg kell fogalmazni.
(10) A 82., 83. és 84. §-ok sérelme nélkül, ha az üzemeltető által meghatalmazott személy a személyes adatok kezelésének céljának és módjának megállapításával megsérti ezt a rendeletet, az üzemeltető által meghatalmazott személy minősül üzemeltetőnek a mindenkori adatok tekintetében. feldolgozás.
29. cikk: A feldolgozási tevékenység végzése az üzemeltető vagy az üzemeltető által meghatalmazott személy felügyelete alatt
Az üzemeltető által meghatalmazott személy, valamint az üzemeltető jogkörében eljáró személy, illetve az üzemeltető által meghatalmazott személy, aki személyes adatokhoz hozzáféréssel rendelkezik, azokat csak az üzemeltető kérésére kezeli, kivéve, ha az uniós jog vagy belső jog arra kötelezi. tedd úgy.
30. cikk: Feldolgozási tevékenységek nyilvántartása
(1) Minden gazdasági szereplő és adott esetben képviselője nyilvántartást vezet a felelősségére végzett adatfeldolgozási tevékenységekről. A rekord az összes következő információt tartalmazza:
a) az üzemeltető és adott esetben a társult üzemeltető, az üzemeltető képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b) az adatkezelés céljai;
c) az érintett személyek és a személyes adatok kategóriáinak leírása; d) a címzettek kategóriái, akikkel a személyes adatokat közölték vagy közölni fogják, ideértve a harmadik országokból vagy nemzetközi szervezetekből származó címzetteket is;
e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezetbe történő továbbítása, beleértve az érintett harmadik ország vagy nemzetközi szervezet azonosítását, és a 49. cikk (1) bekezdésének második bekezdésében említett továbbítások esetében, a megfelelő garanciák meglétét igazoló dokumentumokat;
f) lehetőség szerint a különböző adatkategóriák törlésének várható határideje; g) ahol lehetséges, a 32. cikk (1) bekezdésében említett műszaki és szervezési biztonsági intézkedések általános leírása.
(2) Az üzemeltető által meghatalmazott minden személy, és adott esetben az üzemeltető által meghatalmazott személy képviselője nyilvántartást vezet a megbízásából végzett adatkezelési tevékenységek minden kategóriájáról.
az üzemeltető, amely a következőket tartalmazza:
a) az üzemeltető által meghatalmazott személy vagy személyek, valamint minden olyan üzemeltető nevét és elérhetőségét, akiknek a nevében ez a személy (ezek a személyek) eljár, valamint adott esetben
az üzemeltető képviselője vagy az üzemeltető által meghatalmazott személy képviselője, valamint
az adatvédelmi tisztviselő;
b) az egyes piaci szereplők nevében végzett adatfeldolgozási tevékenységek kategóriái;
c) adott esetben a személyes adatok harmadik országba vagy szervezetbe történő továbbítása
nemzetközi, ideértve az érintett harmadik ország vagy nemzetközi szervezet azonosítását, és a 49. cikk (1) bekezdésének második albekezdésében meghatározott átadások esetén az igazolást
megfelelő garanciák megléte;
d) ahol lehetséges, a műszaki és szervezési biztonsági intézkedések általános leírása
32. cikk (1) bekezdésében említettek.
(23. május 2018-i állapot 30. cikk (2) bekezdés c
IV. fejezet 1. pont 5. pontja helyesbítette a május 23-i helyesbítést- (3) Az (1) és (2) bekezdésben foglalt nyilvántartások írásban, ideértve az elektronikus formátumot is.
2018)
(4) Az üzemeltető vagy az általa meghatalmazott személy, esettől függően az üzemeltető képviselője vagy az üzemeltető által meghatalmazott személy a nyilvántartást a felügyelet kérésére hozzáférhetővé teszi.
(5) Az (1) és (2) bekezdésben említett kötelezettségek nem vonatkoznak a 250 főnél kevesebb alkalmazottat foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés valószínűsíthetően veszélyezteti az érintett személyek jogait és szabadságait, az adatkezelés nem alkalomszerű, vagy a feldolgozás a 9. cikk (1) bekezdésében meghatározott különleges adatkategóriákat foglal magában, vagy a 10. cikkben említett büntetőítéletekkel és bűncselekményekkel kapcsolatos személyes adatokat.
31. cikk: Együttműködés a felügyeleti hatósággal
Az üzemeltető és az üzemeltető által meghatalmazott személy, illetve adott esetben képviselője együttműködik, a
kérésére, a felügyeleti hatósággal feladatai ellátása során.
(23. május 2018-án, IV. fejezet 31. cikk, 1. szakasz módosította a Re. sz. 7. pontja
23. május 2018-i hitelesítés)
2. szakasz: A személyes adatok biztonsága
32. cikk: A feldolgozás biztonsága
(1) Figyelembe véve a jelenlegi fejlesztési szakaszt, a megvalósítás költségeit és az adatkezelés jellegét, terjedelmét, összefüggéseit és céljait, valamint a természetes személyek jogaira és szabadságaira nézve eltérő valószínűségi és súlyosságú kockázatot, az üzemeltető, ill. az általa felhatalmazott személy megfelelő technikai és szervezési intézkedéseket hajt végre az e kockázatnak megfelelő biztonsági szint biztosítása érdekében, beleértve adott esetben többek között:
a) személyes adatok álnevesítése és titkosítása;
b) a feldolgozási rendszerek és szolgáltatások titkosságának, integritásának, elérhetőségének és folyamatos ellenállásának biztosításának képessége;
c) fizikai vagy műszaki esemény esetén a személyes adatok elérhetőségének és az azokhoz való hozzáférés időben történő helyreállításának képessége;
d) a feldolgozás biztonságát garantáló technikai és szervezési intézkedések időszakos tesztelésére, értékelésére és hatékonyságának értékelésére szolgáló eljárás.
(2) A megfelelő biztonsági szint értékelése során különös tekintettel kell lenni az adatkezeléssel járó, különösen a véletlenül vagy jogellenesen, a továbbított személyes adatok megsemmisüléséből, elvesztéséből, módosításából, jogosulatlan nyilvánosságra hozatalából vagy jogosulatlan hozzáféréséből eredő kockázatokra. , tárolva vagy más módon feldolgozva.
(3) A 40. cikkben említett jóváhagyott magatartási kódexhez vagy a 42. cikkben említett jóváhagyott tanúsítási mechanizmushoz való ragaszkodás elemként használható fel az (1) bekezdésben meghatározott követelmények teljesítésének bizonyítására. ezt a cikket.
(4) Az üzemeltető és az általa meghatalmazott intézkedik annak érdekében, hogy a személyes adatokhoz hozzáféréssel rendelkező természetes személy, aki az üzemeltető vagy az általa megbízott személy jogkörében jár el, azokat csak az üzemeltető kérésére kezelje. , kivéve azt az esetet, amikor ez a kötelezettség az uniós jog vagy a belső jog alapján őt terheli.
33. cikk: A felügyeleti hatóság értesítése a személyes adatok biztonságának megsértése esetén
(1) A személyes adatok biztonságának megsértését az üzemeltető köteles értesíteni
ezt az 55. cikk értelmében az illetékes felügyeleti hatóságoknak indokolatlan késedelem nélkül, és ha lehetséges, legfeljebb 72 órán belül attól a naptól számított XNUMX órán belül, amikor tudomást szerzett róla, kivéve, ha valószínűtlen, hogy ez a jogok és szabadságok kockázatát kelti.
természetes személyek. Ha a felügyeleti hatóság értesítésére határidőn belül nem kerül sor
72 órás késedelemre vonatkozó indokolással ellátott magyarázat kíséri.
ponttal módosított 23. május 2018-án IV. fejezet 33. cikk (1) bek.
8. május 23-i helyesbítésből-
2018)
(2) Az üzemeltető által meghatalmazott személy a személyes adatok biztonságának megsértéséről való tudomásszerzését követően indokolatlan késedelem nélkül értesíti az üzemeltetőt.
(3) Az (1) bekezdésben említett értesítés legalább:
a) ismerteti a személyes adatok biztonsága megsértésének jellegét, beleértve, ahol lehetséges, az érintett személyek kategóriáit és hozzávetőleges számát, valamint a szóban forgó személyes adatrekordok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő nevét és elérhetőségeit vagy egyéb kapcsolattartót, ahol további információ szerezhető be;
c) ismerteti a személyes adatok biztonságának megsértésének várható következményeit;
d) ismerteti az üzemeltető által a személyes adatok biztonságának megsértésével kapcsolatos probléma orvoslására tett vagy meghozandó intézkedéseket, beleértve adott esetben az esetleges negatív hatások enyhítésére irányuló intézkedéseket.
(4) Amikor és amilyen mértékben a tájékoztatás egyidejű megadása nem lehetséges, az indokolatlan késedelem nélkül több szakaszban is megadható.
(5) Az üzemeltető a személyes adatok biztonságának megsértésével kapcsolatos valamennyi esettel kapcsolatos iratokat vezet, amelyek tartalmazzák a személyes adatok biztonságának megsértése tényállásának leírását, annak hatásait és a megtett helyreállító intézkedéseket. Ez a dokumentáció lehetővé teszi a felügyeleti hatóság számára, hogy ellenőrizze a cikknek való megfelelést.
34. cikk: Az érintett tájékoztatása a személyes adatok biztonságának megsértéséről
(1) Ha a személyes adatok biztonságának megsértése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az üzemeltető erről indokolatlan késedelem nélkül tájékoztatja az érintettet.
(2) Az érintettnek e cikk (1) bekezdésében meghatározott tájékoztatása tartalmazza a személyes adatok biztonságának megsértése természetének világos és egyszerű nyelvezetű leírását, valamint legalább a cikkben említett információkat és intézkedéseket. 33. (3) bekezdésének b), c) és d) pontja.
(3) Az érintett (1) bekezdés szerinti tájékoztatása nem szükséges, ha az alábbi feltételek valamelyike teljesül:
a) az üzemeltető megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket alkalmazta a személyes adatok biztonságának megsértésével érintett személyes adatok esetében, különös tekintettel arra, hogy a személyes adatok értelmezhetetlenné váljanak minden olyan személy számára, aki nem hozzáférésükre jogosultak, mint például a titkosítás;
b) az üzemeltető további intézkedéseket tett annak biztosítására, hogy az érintett személyek jogaira és szabadságaira vonatkozó, az (1) bekezdésben említett magas kockázat valószínűleg többé ne valósuljon meg;
c) aránytalan erőfeszítést igényelne. Ebben a helyzetben ehelyett lakossági tájékoztatásra kerül sor, vagy hasonló intézkedésre kerül sor, amellyel az érintettek ugyanolyan hatékony tájékoztatást kapnak.
(4) Ha az üzemeltető a személyes adatok biztonságának megsértését még nem közölte az érintettel, a felügyeleti hatóság – figyelembe véve annak valószínűségét, hogy a személyes adatok biztonságának megsértése magas kockázattal jár – felkérheti, vagy úgy dönt, hogy a (3) bekezdésben említett feltételek bármelyike teljesül.
3. szakasz: Adatvédelmi hatásvizsgálat és előzetes konzultáció
35. cikk: Az adatvédelemre gyakorolt hatás értékelése
(1) Figyelembe véve az adatkezelés természetét, hatókörét, összefüggéseit és céljait, ha az adatkezelés egy fajtája, különösen az új technológiák használatán alapuló, nagy valószínűséggel magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, az üzemeltető az adatkezelés előtt értékeli a megadott adatkezelési műveletek hatását a személyes adatok védelmére. Egyetlen értékelés több hasonló feldolgozási műveletre is kiterjedhet, amelyek hasonló magas kockázatot jelentenek.
(2) Az üzemeltető az adatvédelmi hatásvizsgálat elvégzésekor kikéri az adatvédelmi tisztviselő véleményét, ha az adatvédelmi tisztviselőt kijelölték.
(3) Az (1) bekezdésben említett adatvédelemre gyakorolt hatás vizsgálata különösen akkor szükséges, ha:
a) a természetes személyekkel kapcsolatos személyes vonatkozások rendszerezett és átfogó értékelése, amely automatikus feldolgozáson, ideértve a profilalkotást is, és amely a természetes személyre nézve joghatást kiváltó, vagy őt érintő döntések alapjául szolgál. jelentős mértékben hasonló módon;
b) a 9. cikk (1) bekezdésében említett különleges adatkategóriák vagy a 10. cikkben említett büntetőítéletekre és bűncselekményekre vonatkozó személyes adatok nagyarányú feldolgozása; vagy
c) a nyilvánosság számára hozzáférhető terület szisztematikus, nagy léptékű monitorozása.
(4) A felügyeleti hatóság az (1) bekezdés szerint összeállítja és közzéteszi azon adatkezelési művelettípusok jegyzékét, amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti hatóság közli ezeket a listákat a 68. cikkben említett bizottsággal.
(5) A felügyeleti hatóság azon adatkezelési művelettípusok jegyzékét is összeállíthatja és nyilvánosságra hozhatja, amelyek esetében nem szükséges az adatvédelemre gyakorolt hatás vizsgálata. A felügyeleti hatóság ezeket a listákat közli a bizottsággal.
(6) A (4) és (5) bekezdésben említett listák elfogadása előtt az illetékes felügyeleti hatóság a 63. §-ban említett következetesség biztosítására szolgáló mechanizmust alkalmazza abban az esetben, ha ezek az aktív listák olyan feldolgozásban vesznek részt, amelyek a áruk vagy szolgáltatások nyújtása az érintett személyeknek, illetve magatartásuk nyomon követése több tagállamban, vagy amelyek lényegesen befolyásolhatják a személyes adatok Unión belüli szabad áramlását. (7) Az értékelés legalább a következőket tartalmazza:
a) a várható adatkezelési műveletek és az adatkezelés céljainak szisztematikus leírása, beleértve adott esetben az üzemeltető által követett jogos érdeket is;
b) az adatkezelési műveletek e célokkal kapcsolatos szükségességének és arányosságának értékelése; c) az érintett személyek (1) bekezdésben említett jogait és szabadságait érintő kockázatok értékelése; valamint d) a kockázatok kezelésére várható intézkedések, ideértve a garanciákat, biztonsági intézkedéseket és mechanizmusokat, amelyek célja a személyes adatok védelmének biztosítása és az e rendelet rendelkezéseinek való megfelelés bizonyítása, figyelembe véve az érintettek jogait és jogos érdekeit és egyéb érdeklődők.
(8) A piaci szereplők vagy az érintett piaci szereplők által felhatalmazott személyek által végzett adatfeldolgozási műveletek hatásának értékelésekor a megfelelő üzemeltetők vagy felhatalmazott személyek tiszteletben tartják a 40. cikkben említett jóváhagyott magatartási kódexeket, különösen adatvédelmi hatásvizsgálatok céljából.
(9) Az üzemeltető – a kereskedelmi vagy közérdek védelmének, illetve az adatkezelési műveletek biztonságának sérelme nélkül – adott esetben kéri az érintettek vagy képviselőik hozzájárulását a nyújtott adatkezeléshez.
(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatfeldolgozás jogalapja annak az Uniónak vagy valamely tagállamnak a jogában van, amelynek hatálya alá az üzemeltető tartozik, és ez a jog szabályozza az adott adatkezelést. művelet vagy a kérdéses konkrét műveletek összessége és a vonatkozó jogalap elfogadásával összefüggésben általános hatásvizsgálat részeként már adatvédelmi hatásvizsgálat készült, az (1)-(7) bekezdés nem alkalmazandó. , kivéve, ha a tagállamok úgy ítélik meg, hogy a feldolgozási tevékenységek elvégzése előtt ilyen értékelést kell végezni.
(11) Az üzemeltető szükség esetén elemzést végez annak felmérésére, hogy az adatkezelés az adatvédelmi hatásvizsgálatnak megfelelően történik-e, legalább akkor, ha az adatkezelési műveletek kockázatában változás áll be.
36. cikk: Előzetes konzultáció
(1) Az üzemeltető az adatkezelés előtt konzultál a felügyeleti hatósággal, ha az adatvédelemre gyakorolt hatás 35. cikkben előírt értékelése azt jelzi, hogy az adatkezelés magas kockázatot jelentene, ha az üzemeltető nem tesz intézkedéseket a kockázat csökkentésére.
(2) Ha úgy ítéli meg, hogy az (1) bekezdésben említett adatkezelés sértené ezt a rendeletet, különösen akkor, ha a kockázatot nem azonosították vagy mérséklik kellő mértékben.
az üzemeltetőnek a felügyeleti hatóság a konzultációs kérelem kézhezvételétől számított legfeljebb nyolc héten belül írásban tanácsot ad az üzemeltetőnek és adott esetben az üzemeltető által meghatalmazott személynek, és élhet a pontban foglaltak bármelyikével. 58. cikk. Ez az időszak hat héttel meghosszabbítható, figyelembe véve a nyújtott feldolgozás összetettségét. A felügyelet a késedelem meghosszabbításáról a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az üzemeltetőt és adott esetben az üzemeltető által meghatalmazott személyt, ismertetve a késedelem okát. Ezek az időszakok felfüggeszthetők mindaddig, amíg a felügyeleti hatóság meg nem szerzi az általa a konzultáció céljából kért információkat.
(3) Az üzemeltető az (1) bekezdés szerinti felügyeleti hatósággal történő egyeztetés során biztosítja számára:
a) adott esetben az üzemeltető, a társult üzemeltetők és a feldolgozási tevékenységben részt vevő, az üzemeltető által felhatalmazott személyek felelőssége, különös tekintettel a vállalatcsoporton belüli adatfeldolgozásra;
b) a tervezett adatkezelés céljai és eszközei;
c) az érintettek jogainak és szabadságainak védelmét szolgáló intézkedéseket és garanciákat, e rendelettel összhangban;
d) adott esetben az adatvédelmi tisztviselő elérhetőségeit;
e) a 35. cikkben előírt adatvédelemre gyakorolt hatás értékelése; és
f) a felügyeleti hatóság által kért minden egyéb információ.
(4) A tagállamok konzultálnak a felügyeleti hatósággal a nemzeti parlament által elfogadandó jogalkotási intézkedésre vagy az ilyen jogalkotási intézkedésen alapuló, feldolgozásra utaló szabályozási intézkedésre irányuló javaslat előkészítése során. (5) Az (1) bekezdéstől eltérően a hazai jog előírhatja az üzemeltetők számára, hogy az általa közérdekből gyakorolt feladat ellátása érdekében a felügyeleti hatósággal konzultáljanak, és tőle előzetes engedélyt szerezzenek az üzemeltető által végzett adatkezeléssel kapcsolatban. szociális védelemmel és közegészségüggyel kapcsolatos feldolgozás.
4. szakasz: Adatvédelmi tisztviselő
37. cikk: Az adatvédelmi tisztviselő kijelölése
(1) Az üzemeltető és az általa meghatalmazott személy adatvédelmi tisztviselőt jelöl ki, ha:
a) az adatkezelést hatóság vagy szerv végzi, kivéve a joghatósági funkciójuk gyakorlása során eljáró bíróságokat;
b) az üzemeltető vagy az üzemeltető által felhatalmazott személy fő tevékenységei olyan adatfeldolgozási műveletekből állnak, amelyek természetüknél, terjedelmüknél és/vagy céljaiknál fogva megkövetelik az érintett személyek időszakos és rendszeres, nagy léptékű ellenőrzését; vagy
c) az üzemeltető vagy az üzemeltető által meghatalmazott személy fő tevékenységeiből áll
a 9. cikk szerinti különleges adatkategóriák vagy az azzal való adatok nagyarányú feldolgozása
a 10. cikkben említett büntetőítéletekkel és bűncselekményekkel kapcsolatos személyes jelleg.
(23. május 2018-i állapot 37. § (1) bekezdés, IV. fejezet C. pontja, 4. pont 9. pontjával módosított 23-
május-2018)
(2) Vállalkozáscsoport egyetlen adatvédelmi tisztviselőt is kijelölhet, feltéve, hogy az adatvédelmi tisztviselő minden vállalkozásból könnyen elérhető.
(3) Ha az üzemeltető vagy az üzemeltető által meghatalmazott személy hatóság vagy köztestület, e hatóságok vagy szervek közül – szervezeti felépítésükre és méretükre figyelemmel – többre is ki lehet jelölni egy adatvédelmi tisztviselőt. (4) Az (1) bekezdésben említettektől eltérő esetekben az üzemeltető vagy az üzemeltető által meghatalmazott személy, illetve az üzemeltetők kategóriáit vagy az üzemeltetők által felhatalmazott személyeket képviselő egyesületek és egyéb testületek kijelölhetik, vagy amennyiben uniós jog vagy belső jog ezt a munkát igényli, adatvédelmi tisztviselőt jelöl ki. Az adatvédelmi tisztviselő eljárhat olyan egyesületek és egyéb testületek javára, amelyek az üzemeltetőket vagy az üzemeltetők által meghatalmazott személyeket képviselik.
(5) Az adatvédelmi tisztviselő kinevezése a szakmai alkalmasság, és különösen az adatvédelem területén szerzett jogszabályi és gyakorlati ismeretek, valamint az adatvédelemmel kapcsolatos feladatok ellátására való alkalmasság alapján történik. a 39. cikkben.
(6) Az adatvédelemmel megbízott személy lehet az üzemeltető munkatársa, illetve az üzemeltető által megbízott személy, illetve feladatát szolgáltatási szerződés alapján látja el. (7) Az üzemeltető vagy az üzemeltető által meghatalmazott személy közzéteszi az adatvédelmi tisztviselő elérhetőségét és közli a felügyeleti hatóságokkal.
38. cikk: Az adatvédelmi tisztviselő feladata
(1) Az üzemeltető és az üzemeltető által meghatalmazott személy gondoskodik arról, hogy az adatvédelemért felelős személy a személyes adatok védelmével kapcsolatos valamennyi szempontban megfelelően és időben részt vegyen.
(2) Az üzemeltető és az üzemeltető által meghatalmazott személy támogatja az adatvédelmi tisztviselőt a 39. §-ban meghatározott feladatok ellátásában, biztosítva számára az e feladatok elvégzéséhez szükséges erőforrásokat, valamint a személyes adatokhoz való hozzáférést és az adatkezelési műveleteket, valamint tudásspecialitása megőrzéséért.
(3) Az üzemeltető és az üzemeltető által meghatalmazott személy gondoskodik arról, hogy az adatvédelmi tisztviselő e feladatok ellátásával kapcsolatban ne kapjon utasítást. Nem bocsátja el és nem szankcionálja sem az üzemeltető, sem az általa feladatainak ellátására felhatalmazott személy. Az adatvédelmi tisztviselő közvetlenül felelős az üzemeltető legmagasabb szintű vezetése vagy az üzemeltető által meghatalmazott személy felé.
(4) Az érintettek az adataik kezelésével és az e rendelet szerinti jogaik gyakorlásával kapcsolatos minden kérdésben az adatvédelmi tisztviselőhöz fordulhatnak. (5) Az adatvédelemért felelős személy feladatai ellátása során az uniós joggal vagy a hazai joggal összhangban köteles tiszteletben tartani a titoktartást vagy a titoktartást. (6) Az adatvédelmi tisztviselő egyéb feladatokat és felelősségeket is elláthat. Az üzemeltető vagy az üzemeltető által meghatalmazott személy gondoskodik arról, hogy ezen feladatok és kötelezettségek egyike se okozzon összeférhetetlenséget.
39. cikk: Az adatvédelmi tisztviselő feladatai
(1) Az adatvédelmi tisztviselőnek legalább az alábbi feladatai vannak:
a) az üzemeltető vagy az üzemeltető által meghatalmazott személy, valamint az adatkezeléssel foglalkozó munkavállalók tájékoztatása és tanácsadása az e rendeletben, valamint az uniós jog vagy a belső jog egyéb adatvédelmi rendelkezései szerinti kötelezettségeikről; b) figyelemmel kíséri az e rendeletnek, az adatvédelemmel kapcsolatos uniós jog vagy belső jog egyéb rendelkezéseinek, valamint az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek a személyes adatok védelmére vonatkozó politikáit, beleértve a felelősségek elosztását és a figyelemfelkeltő intézkedéseket a feldolgozási műveletekben, valamint a kapcsolódó auditokban részt vevő személyzet képzése;
c) kérésre tanácsadás az adatvédelemre gyakorolt hatás értékelésével és működésének nyomon követésével kapcsolatban, a 35. cikkel összhangban;
d) együttműködés a felügyeleti hatósággal;
e) a felügyeleti hatóság kapcsolattartói szerepének átvállalása az adatkezeléssel összefüggő kérdésekben, ideértve a 36. cikkben említett előzetes egyeztetést, valamint szükség esetén bármely más kérdéssel kapcsolatos konzultációt.
(2) Az adatvédelmi tisztviselő feladatai ellátása során figyelembe veszi az adatkezelési műveletekkel járó kockázatot, figyelembe véve az adatkezelés jellegét, körét, összefüggéseit és céljait.
5. szakasz: Magatartási kódexek és tanúsítás
40. cikk: Magatartási kódexek
(1) A tagállamok, a felügyeleti hatóságok, a bizottság és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek célja, hogy hozzájáruljanak e rendelet megfelelő alkalmazásához, figyelembe véve a különböző feldolgozási ágazatok sajátos jellemzőit és a feldolgozóipar sajátos igényeit. mikro- és kisvállalkozások és a középvállalkozások.
(2) Az egyes üzemeltetők, illetve az üzemeltetők által felhatalmazott személyek kategóriáit képviselő egyesületek és egyéb testületek magatartási kódexeket készíthetnek, illetve a meglévőket módosíthatják, bővíthetik e rendelet alkalmazási módjának pontosítása érdekében, például:
a) tisztességes és átlátható feldolgozás;
b) a piaci szereplők jogos érdekei meghatározott összefüggésekben; c) személyes adatok gyűjtése;
d) személyes adatok álnevesítése;
e) a nyilvánosság és az érintettek tájékoztatása;
f) az érintettek jogainak gyakorlása;
g) a gyermekek tájékoztatása és védelme, valamint a gyermekek feletti szülői felelősséget gyakorló személyek beleegyezésének beszerzésének módja;
h) a 24. és 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, a feldolgozás biztonságát biztosító intézkedések;
i) a felügyeleti hatóságok értesítése a személyes adatok biztonságának megsértéséről és az érintettek tájékoztatása ezekről a jogsértésekről;
j) a személyes adatok harmadik országok vagy nemzetközi szervezetek felé történő továbbítása; vagy
k) bíróságon kívüli eljárások és egyéb vitarendezési eljárások az üzemeltetők és az érintettek közötti, adatkezeléssel kapcsolatos viták rendezésére, az érintettek jogainak sérelme nélkül, a 77. és 79. cikk értelmében.
(3) Az e cikk (5) bekezdése szerint jóváhagyott és a jelen cikk (9) bekezdése szerint általános érvényű magatartási kódexek nem csak azokra az üzemeltetőkre vagy az üzemeltetők által felhatalmazott személyekre vonatkozhatnak, akik e rendelet hatálya alá tartoznak. , hanem olyan üzemeltetők vagy üzemeltetők által felhatalmazott személyek is, akikre a 3. cikk értelmében nem vonatkozik ez a rendelet, hogy megfelelő garanciákat nyújtsanak a személyes adatok harmadik országoknak vagy nemzetközi szervezeteknek történő továbbítása során a 46. cikk bekezdésében említett feltételek mellett. (2) (e) betű. Ezek az üzemeltetők vagy az üzemeltetők által meghatalmazott személyek szerződéses vagy egyéb jogilag kötelező erejű eszközök révén kötelező és végrehajtható kötelezettségeket vállalnak a megfelelő garanciák alkalmazása érdekében, beleértve az érintett személyek jogait is.
(4) Az e cikk (2) bekezdésében meghatározott magatartási kódex olyan mechanizmusokat tartalmaz, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szerv számára, hogy kötelezően ellenőrizze, hogy az üzemeltetők vagy az általa felhatalmazott személyek betartják-e a szabályzat rendelkezéseit. azon üzemeltetők, akik vállalják annak alkalmazását, az 55. vagy 56. cikk szerint illetékes felügyeleti hatóságok kötelezettségeinek és hatásköreinek sérelme nélkül.
(5) Az e cikk (2) bekezdésében említett egyesületek és egyéb testületek, amelyek magatartási kódexet kívánnak készíteni, vagy egy meglévő kódexet módosítani vagy kiterjeszteni kívánnak, kötelesek benyújtani a kódex, módosítás vagy kiterjesztés tervezetét az abban illetékes felügyeleti hatósághoz. Az 55. §-a alapján a felügyeleti hatóság véleményt ad a kódextervezet, módosítás vagy bővítés jelen előírásnak való megfeleléséről, és azt jóváhagyja, ha az elegendő megfelelő garanciát nyújt.
(6) Ha a kódex-tervezetet, módosítást vagy kiterjesztést az (5) bekezdés szerint jóváhagyják, és a szóban forgó magatartási kódex nem kapcsolódik több tagállamban folyó adatkezelési tevékenységhez, a felügyeleti hatóság is nyilvántartásba veszi a kódex közzétételét.
(7) Ha egy magatartási kódex, módosítás vagy kiterjesztési tervezet több tagállamban folyó adatfeldolgozási tevékenységhez kapcsolódik, az 55. cikk szerinti illetékes felügyeleti hatóság a jóváhagyás előtt a 63. cikkben említett eljárással továbbítja azt a bizottságnak, amely az adott projekt jelen szabályzatnak való megfeleléséről véleményt nyilvánít, vagy a jelen cikk (3) bekezdésében említett esetben megfelelő garanciákat vállal.
(8) Ha a (7) bekezdés szerinti vélemény megerősíti a kódex-, módosítás- vagy kiterjesztési tervezet e rendeletnek való megfelelőségét, vagy a (3) bekezdés szerinti helyzetben megfelelő garanciákat nyújt, a bizottság a véleményt továbbítja. a Bizottságtól.
(9) A Bizottság végrehajtási jogi aktusokat fogadhat el annak eldöntésére, hogy az e cikk (8) bekezdése alapján számára benyújtott jóváhagyott magatartási kódex, módosítás vagy kiterjesztés általános érvényű legyen az Unióban. A vonatkozó végrehajtási aktusokat a 93. cikk (2) bekezdésében meghatározott vizsgálóbizottsági eljárással összhangban fogadják el.
(10) A bizottság megfelelő nyilvánosságot biztosít a (9) bekezdés szerint általános érvényűnek ítélt, jóváhagyott kódoknak.
(11) A bizottság minden jóváhagyott magatartási kódexet, módosítást és bővítést átcsoportosít egy nyilvántartásban, és megfelelő eszközökkel a nyilvánosság számára hozzáférhetővé teszi.
41. cikk: A jóváhagyott magatartási kódexek ellenőrzése
(1) Az illetékes felügyeleti hatóság 57. és 58. cikk szerinti kötelezettségeinek és hatásköreinek sérelme nélkül, a magatartási kódex betartásának 40. cikk szerinti ellenőrzését olyan szerv végezheti, amely megfelelő szintű szakértelemmel rendelkezik a kódex tárgyához kapcsolódóan, és amelyet az illetékes felügyeleti hatóság erre a célra akkreditált.
(2) Az (1) bekezdésben említett szerv a magatartási kódex betartásának ellenőrzésére akkreditálható, ha:
a) az illetékes felügyeleti hatóságok előtt kielégítő módon bizonyította függetlenségét és szakértelmét a kódex tárgyával kapcsolatban;
b) olyan eljárásokat vezetett be, amelyek lehetővé teszik az üzemeltetők és az üzemeltetők által felhatalmazott személyek kódex alkalmazására való alkalmasságának felmérését, a kódexben foglaltak betartásának ellenőrzését és működésének időszakos felülvizsgálatát;
c) kialakított eljárásokat és struktúrákat a kódex megsértésével kapcsolatos panaszok kezelésére, vagy arra vonatkozóan, hogy a kódexet az üzemeltető vagy az üzemeltető által meghatalmazott személy hogyan alkalmazza vagy hajtja végre, valamint ezen eljárások és struktúrák átláthatóságának biztosítása a az érintett személyek és a nyilvánosság számára; és
d) az illetékes felügyeleti hatóságoknak kielégítő módon bizonyította, hogy feladatai és megbízásai nem okoznak összeférhetetlenséget.
(3) Az illetékes felügyeleti hatóság az e cikk (1) bekezdésében említett testület akkreditációjára vonatkozó követelménytervezetet a mechanizmusnak megfelelően benyújtja a bizottságnak.
a 63. cikkben említett következetesség biztosítása érdekében.
(23. május 2018-i állapot IV. fejezet 41. cikk (3) bekezdés
5. pontja helyesbítette a május 10-i helyesbítés 23. pontja.
2018)
(4) Az illetékes felügyeleti hatóság feladat- és hatáskörének, valamint a VIII. fejezet rendelkezéseinek sérelme nélkül, az e cikk (1) bekezdésében említett szerv a kódex megsértése esetén megfelelő garanciák mellett megteszi a megfelelő intézkedéseket. üzemeltető vagy az üzemeltető által meghatalmazott személy, beleértve az adott üzemeltető vagy személy kódexből való felfüggesztését vagy kizárását. Az érintett szerv tájékoztatja az illetékes felügyeleti hatóságot ezekről az intézkedésekről és az azokat kiváltó okokról.
(5) Az illetékes felügyeleti hatóság a (XNUMX) bekezdés szerinti szerv akkreditációját visszavonja
(1) Ha az akkreditáció követelményei vagy a testület intézkedései már nem teljesülnek
kérdéses sérti ezt a rendeletet.
(23. május 2018-i állapot 41. cikk (5) bekezdés c
fejezet 5. pontja helyesbítette a május 11-i helyesbítés 23. pontja IV.
2018)
(6) Ez a cikk nem vonatkozik a hatóságok és állami szervek által végzett adatkezelésekre.
42. cikk: Tanúsítás
(1) A tagállamok, a felügyeleti hatóságok, a bizottság és a Bizottság – különösen uniós szinten – ösztönzik az adatvédelem területén tanúsító mechanizmusok, valamint ezen a területen olyan pecsétek és jelölések létrehozását, amelyek lehetővé teszik annak bizonyítását. az a tény, hogy az üzemeltetők és az üzemeltetők által felhatalmazott személyek által végzett adatkezelési műveletek megfelelnek e rendeletnek. Figyelembe veszik a mikrovállalkozások, valamint a kis- és középvállalkozások sajátos igényeit. (2) Az e cikk (5) bekezdése szerint jóváhagyott adatvédelmi tanúsítási mechanizmusokat, pecséteket vagy jelöléseket nemcsak az e rendelet hatálya alá tartozó üzemeltetők vagy az általuk felhatalmazott személyek tiszteletben tartják, hanem bizonyítani kell az üzemeltetők vagy az általuk felhatalmazott személyek által kínált megfelelő garanciák meglétét
azon piaci szereplők, akikre a 3. cikk értelmében nem vonatkozik ez a rendelet, a 46. cikk (2) bekezdésének f) pontjában említett feltételek szerint harmadik országoknak vagy nemzetközi szervezeteknek történő személyes adatok továbbítása során. Ezek az üzemeltetők vagy az üzemeltetők által meghatalmazott személyek szerződéses vagy egyéb jogilag kötelező erejű eszközök révén kötelező és végrehajtható kötelezettségeket vállalnak a megfelelő garanciák alkalmazása érdekében, beleértve az érintett személyek jogait is.
(3) A tanúsítás önkéntes és átlátható folyamaton keresztül érhető el.
(4) Az e cikk szerinti tanúsítás nem csökkenti az üzemeltető vagy az üzemeltető által e rendeletnek való megfelelésre felhatalmazott személy felelősségét, és nem érinti az 55. vagy 56. cikk szerint illetékes felügyeleti hatóságok feladatait és hatásköreit. (5) A 43. cikkben említett tanúsító testületek vagy az illetékes felügyeleti hatóság az 58. cikk (3) bekezdése szerint az érintett illetékes felügyeleti hatóság vagy a 63. cikk szerinti bizottság által jóváhagyott kritériumok alapján állít ki tanúsítványt. a kritériumokat a bizottság hagyja jóvá, ez egy közös tanúsításhoz, nevezetesen az európai adatvédelmi pecséthez vezethet.
(6) Az üzemeltető vagy az üzemeltető által meghatalmazott személy, aki feldolgozási tevékenységét a tanúsítási mechanizmus alá vonja, a 43. cikkben említett tanúsító szervezetnek, vagy adott esetben az illetékes felügyeleti hatóságoknak felajánlja az összes szükséges információt az eljárás elvégzéséhez. a tanúsítási eljárás, valamint a vonatkozó feldolgozási tevékenységekhez való hozzáférés.
(7) A tanúsítványt üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek adják ki a
legfeljebb három év, és ugyanazon feltételek mellett megújítható, feltéve, hogy a vonatkozó kritériumok továbbra is teljesülnek. A tanúsítást adott esetben a 43. cikkben említett tanúsító szervezetek vagy az illetékes felügyeleti hatóság visszavonja, ha már nem
a tanúsítás feltételei teljesülnek.
(23. május 2018-i állapot, 42. cikk (7) bekezdés).
május 5-i helyesbítésének 12. pontjával helyesbített IV, 23. pont.
2018)
(8) A bizottság minden tanúsítási mechanizmust, adatvédelmi pecsétet és jelölést átcsoportosít egy nyilvántartásban, és megfelelő módon a nyilvánosság számára hozzáférhetővé teszi.
43. cikk: Tanúsító szervek
(1) Az illetékes felügyeleti hatóság 57. és 58. cikkben meghatározott feladatainak és hatásköreinek sérelme nélkül az adatvédelem területén megfelelő szintű szakértelemmel rendelkező tanúsító szervezetek, miután tájékoztatták a felügyeleti hatóságot, hogy lehetővé tegye a gyakorolja az 58. cikk (2) bekezdésének h) pontja szerinti hatáskört, kiállítja és megújítja a tanúsítványt. A tagállamok biztosítják, hogy ezeket a tanúsító testületeket a következő szervezetek egyike vagy mindkettő akkreditálja:
a) az 55. vagy 56. cikk szerint illetékes felügyeleti hatóság;
b) a nemzeti akkreditáló testület, amelyet a 765/2008. Az EN-ISO/IEC 1/17065 szabvánnyal és az 2012. vagy 55. cikk szerint illetékes felügyeleti hatóság által megállapított további követelményekkel összhangban az Európai Parlament és a Tanács 56/XNUMX/EK rendelete (XNUMX).
(1) A 765/2008. Az Európai Parlament és a Tanács 9. július 2008-i 339/93. sz. rendelete a termékek forgalomba hozatalára vonatkozó akkreditációs és piacfelügyeleti követelmények megállapításáról, valamint a 218/13.8.2008/EGK rendelet hatályon kívül helyezéséről. 30/XNUMX (HL L XNUMX., XNUMX., XNUMX. o.)
(2) Az (1) bekezdés szerinti tanúsító szervezet csak akkor kap akkreditációt az (XNUMX) bekezdés szerint, ha:
a) az illetékes felügyeleti hatóságok előtt kielégítő módon bizonyította függetlenségét és szakértelmét a tanúsítás tárgyával kapcsolatban;
b) vállalja, hogy megfelel a 42. cikk (5) bekezdésében említett és az 55. vagy 56. cikk szerint illetékes felügyeleti hatóság vagy a 63. cikk szerinti bizottság által jóváhagyott kritériumoknak;
c) eljárást kezdeményezett az adatvédelem területén tanúsítványok, pecsétek és jelölések kiadására, időszakos felülvizsgálatára és visszavonására;
d) kialakított eljárásokat és struktúrákat a tanúsítás megsértésével kapcsolatos panaszok kezelésére, illetve arra vonatkozóan, ahogyan a tanúsítást az üzemeltető vagy az üzemeltető által felhatalmazott személy végrehajtotta vagy hajtja végre, valamint ezen eljárások és struktúrák átláthatóságának biztosítása érdekében. az érintett személyek és a nyilvánosság számára; és
e) az illetékes felügyeleti hatóságoknak kielégítő módon bizonyította, hogy feladatai és megbízásai nem okoznak összeférhetetlenséget.
(3) A jelen cikk (1) és (2) bekezdésében említett tanúsító testületek akkreditációja az 55. vagy 56. cikk szerint illetékes felügyeleti hatóság, illetve az 63. vagy XNUMX. cikk szerinti bizottság által jóváhagyott követelmények alapján történik. XNUMX. ban történt akkreditáció esetén
e cikk (1) bekezdésének b) pontja értelmében ezek a követelmények kiegészítik a 765/2008/EK rendeletben előírtakat. XNUMX/XNUMX, valamint a szervek módszereit és eljárásait leíró technikai normák
igazolni.
(23-án
i-2018 43. cikk, bek. (3) a május 5-i helyesbítés 13. pontjával helyesbített IV. fejezet 23. pontjából.
2018)
(4) Az (1) bekezdésben említett tanúsító szervek felelősek a jelen tanúsítvány igazolása vagy visszavonása érdekében megfelelő értékelés elvégzéséért, anélkül, hogy ez az üzemeltető vagy az üzemeltető által a jelen előírás betartására felhatalmazott személy felelősségét érintené. Az akkreditációt legfeljebb öt évre adják ki, és ugyanazon feltételek mellett megújítható, feltéve, hogy a tanúsító szervezet megfelel a jelen cikkben meghatározott követelményeknek.
(5) Az (1) bekezdésben említett tanúsító szervezetek a kért tanúsítás megadásának vagy visszavonásának indokait továbbítják az illetékes felügyeleti hatóságoknak.
(6) A jelen cikk (3) bekezdésében említett követelményeket és a 42. § (5) bekezdésében említett kritériumokat a felügyeleti hatóság könnyen hozzáférhető formában közzéteszi. hatóság
a felügyelet is továbbítja ezeket a követelményeket és kritériumokat a bizottságnak.
(23. május 2018-án IV. fejezet 43. (6) bekezdés 5. pont 1. ponttal módosított
4. május 23-i helyesbítésből-
2018)
(7) A VIII. fejezetben foglaltak sérelme nélkül az illetékes felügyeleti hatóság vagy a nemzeti akkreditáló testület visszavonja a tanúsító szervezetnek az e cikk (1) bekezdése alapján megadott akkreditációját, ha az akkreditáció feltételei nem vagy már nem teljesülnek. vagy az akkreditáló testület intézkedései sértik ezt az előírást.
(8) A Bizottság felhatalmazást kap arra, hogy a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el a 42. cikk (1) bekezdésében említett adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása érdekében.
(9) A Bizottság végrehajtási jogi aktusokat fogadhat el az adatvédelem területén a tanúsítási mechanizmusokra, valamint a pecsétekre és jelölésekre vonatkozó műszaki szabványok, valamint az ilyen tanúsítási mechanizmusok, pecsétek és jelölések előmozdítására és elismerésére szolgáló mechanizmusok megállapítására. A vonatkozó végrehajtási aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
V. FEJEZET: Személyes adatok továbbítása harmadik országoknak vagy nemzetközi szervezeteknek
44. cikk: Az átutalások általános elve
A feldolgozás tárgyát képező vagy harmadik országba vagy nemzetközi szervezetbe történő továbbítást követően feldolgozandó személyes adat csak akkor adható át, ha e rendelet egyéb rendelkezéseire is figyelemmel az e fejezetben meghatározott feltételek teljesülnek. az üzemeltető és az üzemeltető által meghatalmazott személy, ideértve a személyes adatok harmadik országból vagy a nemzetközi szervezettől más harmadik országba vagy más nemzetközi szervezetbe történő utólagos továbbítását is. E fejezet valamennyi rendelkezését annak biztosítására kell alkalmazni, hogy a természetes személyek védelmének e rendelet által garantált szintje ne csorbuljon.
45. cikk: A védelmi szint megfelelőségére vonatkozó határozat alapján történő átruházás
(1) Személyes adatok harmadik országba vagy nemzetközi szervezetbe történő továbbítására akkor kerülhet sor, ha a Bizottság úgy határozott, hogy a harmadik ország, egy terület vagy egy vagy több meghatározott ágazat
az adott harmadik országtól vagy nemzetközi szervezettől származó védelem megfelelő szintű védelmet biztosít. Az ilyen feltételek mellett végrehajtott átutalások nem igényelnek külön engedélyt.
(2) A Bizottság a védelmi szint megfelelőségének értékelésekor különösen a következő elemeket veszi figyelembe:
a) a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, ideértve a közbiztonságot, a védelmet, a nemzetbiztonságot és a büntetőjogot, valamint a hatóságok személyes adatokhoz való hozzáférését, valamint e jogszabály, az adatvédelmi szabályok, a szakmai szabályok és biztonsági intézkedések végrehajtása, ideértve a személyes adatok másik harmadik országba vagy nemzetközi szervezetbe történő későbbi továbbítására vonatkozó szabályokat is, amelyeket az adott harmadik országban vagy nemzetközi szervezetben tiszteletben tartanak, az ítélkezési gyakorlatot, valamint az érintettek tényleges és kifogásolható jogai, valamint azon érintettek hatékony közigazgatási és bírósági jóvátétele, akiknek személyes adatait továbbítják;
b) egy vagy több független felügyeleti hatóság megléte és hatékony működése a harmadik országban, vagy amelynek joghatósága alá egy nemzetközi szervezet tartozik, és amelyek felelősek az adatvédelmi szabályok betartásának biztosításáért és betartatásáért, ideértve a kérelemnek való megfelelést biztosító megfelelő hatásköröket is, segítségnyújtás és tanácsadás az érintettek számára jogaik gyakorlásával és a tagállamok felügyeleti hatóságaival való együttműködéssel kapcsolatban; és
c) azokat a nemzetközi kötelezettségvállalásokat, amelyekhez az érintett harmadik ország vagy nemzetközi szervezet csatlakozott, vagy egyéb, jogilag kötelező erejű egyezményekből vagy okmányokból, valamint többoldalú vagy regionális rendszerekben való részvételéből fakadó kötelezettségeket, különösen a személyes adatok védelme terén. .
(3) A Bizottság a védelem szintje megfelelőségének értékelését követően végrehajtási jogi aktus útján határozhat arról, hogy egy harmadik ország, egy harmadik ország területe vagy egy vagy több meghatározott ágazata vagy egy nemzetközi szervezet megfelelő szintű védelmet biztosít. cikk (2) bekezdése értelmében vett védelmet. A végrehajtási jogi aktus rendszeres, legalább négyévente egyszeri felülvizsgálati mechanizmust ír elő, amely figyelembe veszi a harmadik országban vagy a nemzetközi szervezetben bekövetkezett összes lényeges fejleményt. A végrehajtási aktus megemlíti a földrajzi és ágazati alkalmazást, és adott esetben megjelöli az e cikk (2) bekezdésének b) pontjában említett felügyeleti hatóságot vagy hatóságokat. A végrehajtási aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban fogadják el.
(4) A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezetek szintjén zajló fejleményeket, amelyek befolyásolhatják az e cikk (3) bekezdése alapján elfogadott határozatok, valamint a 25/6/EK irányelv 95. cikkének (46) bekezdése alapján elfogadott határozatok működését. XNUMX/ MI.
(5) Ha a rendelkezésre álló információkból – különösen a jelen cikk (3) bekezdésében említett felülvizsgálatot követően – kiderül, hogy egy harmadik ország, annak egy területe vagy meghatározott ágazata, vagy egy nemzetközi szervezet már nem biztosítja a Az e cikk (2) bekezdése szerinti megfelelő védelem biztosítása érdekében a Bizottság szükség esetén végrehajtási aktus útján hatályon kívül helyezi, módosítja vagy felfüggeszti az e cikk (3) bekezdésében említett határozatot visszamenőleges hatállyal. A vonatkozó végrehajtási aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.
Rendkívül sürgős okokból a Bizottság a 93. cikk (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó végrehajtási jogi aktusokat fogad el.
(6) A bizottság konzultációt kezdeményez a harmadik országgal vagy a nemzetközi szervezettel az (5) bekezdés szerinti döntés alapjául szolgáló helyzet orvoslása érdekében.
(7) Az e cikk (5) bekezdése alapján hozott határozat nem érinti a személyes adatok harmadik országba, területére vagy egy vagy több meghatározott ágazatába, illetve a szóban forgó nemzetközi szervezet részére történő továbbítását a harmadik országba. 46-49. (8) A Bizottság az Európai Unió Hivatalos Lapjában és honlapján közzéteszi azon harmadik országok, harmadik országban meghatározott területek és ágazatok, valamint azon nemzetközi szervezetek jegyzékét, amelyek esetében úgy határozott, hogy a megfelelő szintű védelem biztosított vagy már nem biztosított.
(9) A Bizottság által a 25/6/EK irányelv 95. cikkének (46) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat a (3) vagy (5) bekezdés szerint elfogadott bizottsági határozat nem módosítja, felváltja vagy hatályon kívül helyezi. ebből a cikkből.
46. cikk: Megfelelő garanciákon alapuló átutalások
(1) A 45. § (3) bekezdése szerinti határozat hiányában az üzemeltető vagy az üzemeltető által meghatalmazott személy személyes adatot csak akkor továbbíthat harmadik országnak vagy nemzetközi szervezetnek, ha az üzemeltető vagy az üzemeltető által meghatalmazott személy. megfelelő garanciákat kínált azzal a feltétellel, hogy az érintett személyek számára kifogásolható jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
(2) Az (1) bekezdésben említett megfelelő garanciákat felügyeleti hatóság külön engedélye nélkül lehet biztosítani:
a) jogilag kötelező erejű és végrehajtható eszköz a hatóságok vagy szervek között;
b) kötelező társasági szabályok a 47. cikkel összhangban;
c) a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően elfogadott szabványos adatvédelmi záradékok;
d) a felügyeleti hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott szabványos adatvédelmi záradékok;
e) a 40. cikkel összhangban jóváhagyott magatartási kódex, amelyet az üzemeltető vagy az üzemeltető által a harmadik országban felhatalmazott személy kötelező és végrehajtható kötelezettségvállalása kísér, hogy megfelelő garanciákat alkalmazzon, beleértve az érintett személyek jogait is; vagy
f) a 42. cikkel összhangban jóváhagyott tanúsítási mechanizmus, amelyet az üzemeltető vagy az üzemeltető által a harmadik országban felhatalmazott személy kötelező és végrehajtható kötelezettségvállalása kísér, hogy megfelelő garanciákat alkalmazzon, beleértve az érintettek jogait is.
(3) Az (1) bekezdésben említett megfelelő garanciákat az illetékes felügyeleti hatóság engedélye alapján is nyújthatják különösen:
a) az üzemeltető vagy az üzemeltető által meghatalmazott személy és az üzemeltető, az üzemeltető által meghatalmazott személy vagy a személyes adatok harmadik országból vagy nemzetközi szervezetből származó címzettje közötti szerződéses feltételek; vagy
b) a hatóságok vagy köztestületek közötti igazgatási megállapodásokba beépítendő rendelkezések, amelyek az érintett személyek számára ellentmondható és érvényes jogokat tartalmaznak.
(4) A felügyeleti hatóság az e cikk (63) bekezdésében említett esetekben alkalmazza a 3. §-ban meghatározott következetesség biztosítására szolgáló mechanizmust.
(5) A tagállam vagy a felügyeleti hatóság által a 26/2/EK irányelv 95. cikkének (46) bekezdése alapján kiadott engedélyek addig az időpontig érvényesek, amikor azokat az illetékes hatóságok módosítják, felváltják vagy szükség esetén hatályon kívül helyezik. felügyeleti hatóság. A Bizottság által a 26/4/EK irányelv 95. cikkének (46) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat – szükség esetén – az e cikk (2) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, felváltja vagy hatályon kívül helyezi.
47. cikk: Kötelező társasági szabályok
(1) Az illetékes felügyeleti hatóság a 63. §-ban meghatározott következetesség biztosítására szolgáló mechanizmussal összhangban hagyja jóvá a kötelező társasági szabályokat, feltéve, hogy azok:
a) jogilag kötelező érvényű, és a vállalkozáscsoport vagy a vállalkozáscsoport közös gazdasági tevékenységet folytató valamennyi érintett tagjára, ideértve annak alkalmazottait is alkalmazni kell, valamint az érintett tagok által végrehajtandó;
b) kifejezetten kifogásolható jogokat biztosítani az érintetteknek személyes adataik kezelésével kapcsolatban; és
c) a (2) bekezdésben foglalt követelmények teljesítésére.
(2) Az (1) bekezdésben említett kötelező társasági szabályzat legalább:
a) a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozáscsoport és minden tagjának felépítése és elérhetőségei;
b) az adattovábbítások vagy továbbítások összessége, beleértve a személyes adatok kategóriáit, az adatkezelés típusát és az adatkezelés céljait, az érintett érintettek típusait, valamint a szóban forgó harmadik ország vagy harmadik országok azonosítását;
c) belső és külső kötelező jogi jellegük;
d) általános adatvédelmi elvek alkalmazása, különös tekintettel a célhoz kötöttségre, adatminimalizálásra, korlátozott tárolási időre, adatminőségre, a fogantatás pillanatától kezdődő adatvédelemre és implicit védelemre, az adatkezelés jogalapjára, a személyes adatok különleges kategóriáinak kezelésére , az adatbiztonságot biztosító intézkedések, valamint a kötelező társasági szabályok hatálya alá nem tartozó szerveknek történő későbbi továbbításra vonatkozó követelmények;
e) az érintettek jogai az adatkezeléssel és e jogok gyakorlásának eszközeivel kapcsolatban, ideértve azt a jogot, hogy ne vonatkozzanak rájuk kizárólag automatikus adatkezelésen alapuló döntések, ideértve a profilok létrehozását is, a 22. cikkel összhangban, a bejelentés benyújtásához való jog panasztétel az illetékes felügyeleti hatóság és a tagállamok illetékes bíróságai előtt a 79. cikkel összhangban, valamint a kötelező társasági szabályok megsértése miatti jóvátételhez és adott esetben kártérítéshez való jog;
f) az üzemeltető vagy az üzemeltető által meghatalmazott tagállam területén székhellyel rendelkező személy felelősségének elfogadása a kötelező társasági szabályok bármely tag általi megsértéséért abban az esetben, ha nem székhellyel rendelkező tag. Unió; az üzemeltető vagy az üzemeltető által meghatalmazott személy e felelősség alól részben vagy egészben csak akkor mentesül, ha bizonyítja, hogy a kárt okozó eseményért nem az illető tag volt felelős;
g) a kötelező társasági szabályokkal, különösen az e bekezdés d), e) és f) pontjában említett rendelkezésekkel kapcsolatos tájékoztatás módja az érintettek részére az 13. pontban említett tájékoztatáson túlmenően. 14. és XNUMX. cikk;
h) a 37. cikk szerint kijelölt adatvédelmi tisztviselő, vagy a kötelező társasági szabályok betartásának ellenőrzésével megbízott bármely más személy vagy szervezet feladatait a vállalkozáscsoporton vagy a közös gazdasági tevékenységet, képzési tevékenységet folytató vállalkozáscsoporton belül. panaszkezelés;
i) a panaszok megfogalmazásának eljárásai;
j) a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozáscsoporton belüli, a kötelező társasági szabályok betartását biztosító mechanizmusokat. Ezek a mechanizmusok magukban foglalják az adatvédelmi auditokat és a korrekciós intézkedések biztosításának módszereit, amelyek célja az érintett jogainak védelme. Ezen ellenőrzések eredményét közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalatcsoport vagy a közös gazdasági tevékenységet folytató vállalatcsoport felett ellenőrzést gyakorló társaság igazgatóságával, és kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják;
k) a szabályváltozások bejelentésének és rögzítésének, valamint a felügyeleti hatóság felé történő bejelentésének mechanizmusait;
l) együttműködési mechanizmust a felügyeleti hatósággal annak érdekében, hogy a vállalkozáscsoport vagy a vállalkozáscsoport közös gazdasági tevékenységet folytató bármely tagja betartsa a szabályokat, különösen azáltal, hogy a felügyeleti hatóság rendelkezésére bocsátja a felügyeleti hatóság eredményeit. a j) pontban említett intézkedésekkel kapcsolatos ellenőrzések;
m) jelentési mechanizmusok az illetékes felügyeleti hatóság felé a vállalkozáscsoport vagy a vállalkozáscsoport egy harmadik országban közös gazdasági tevékenységet folytató tagjával szemben támasztott minden olyan jogi követelményről, amely jelentős hátrányos hatással lehet az általa nyújtott garanciákra. a szabályok kötelező testületi tagok; és
n) megfelelő képzés az adatvédelem területén azon alkalmazottak számára, akik állandó vagy időszakos hozzáféréssel rendelkeznek személyes adatokhoz.
(3) A Bizottság meghatározhatja az üzemeltetők, az üzemeltetők által felhatalmazott személyek és a társasági szabályokra vonatkozó felügyeleti hatóságok közötti információcsere formátumát és eljárásait.
cikk értelmében kötelező. A vonatkozó végrehajtási aktusokat a 93. cikk (2) bekezdésében meghatározott vizsgálóbizottsági eljárásnak megfelelően fogadják el.
48. cikk: Az uniós jog által nem engedélyezett információk továbbítása vagy közzététele
Bármilyen bírósági határozat, valamint harmadik ország közigazgatási hatóságának bármely olyan határozata, amely az üzemeltetőt vagy az üzemeltető által felhatalmazott személyt személyes adatok továbbítására vagy nyilvánosságra hozatalára kötelezi, csak akkor ismerhető el vagy hajtható végre bármilyen módon, ha az nemzetközi jogszabályon alapul. megállapodás, például a megkereső harmadik ország és az Unió vagy egy tagállam között hatályban lévő kölcsönös jogsegély-egyezmény, az e fejezet szerinti átadás egyéb indokainak sérelme nélkül.
49. cikk: Különleges helyzetekre vonatkozó kivételek
(1) A 45. § (3) bekezdése szerinti védelmi szint megfelelőségéről vagy a 46. § szerinti megfelelő biztosítékokról, ideértve a kötelező társasági szabályokat is, a személyes átadással járó adattovábbítás vagy adattovábbítások összessége hiányában. harmadik országba vagy nemzetközi szervezetbe csak az alábbi feltételek valamelyike esetén kerülhet sor: a) az érintett személy kifejezetten egyetértését fejezte ki a tervezett átszállítással kapcsolatban, miután tájékoztatták azokról a lehetséges kockázatokról, amelyek az érintett személyre nézve az ilyen átadásokkal járhatnak. személy a védelmi szint és a megfelelő garanciák megfelelőségére vonatkozó döntés hiánya miatt;
b) az adattovábbítás az érintett és az üzemeltető közötti szerződés teljesítéséhez vagy az érintett kérelmére elfogadott szerződéskötést megelőző intézkedések alkalmazásához szükséges;
c) az átruházás az üzemeltető és más természetes vagy jogi személy között létrejött szerződés megkötéséhez vagy az érintett érdekében létrejött szerződés teljesítéséhez szükséges;
d) az átruházás fontos közérdekből szükséges;
e) az átruházás jog megállapításához, gyakorlásához vagy bíróság előtti védelméhez szükséges;
f) az adattovábbítás az érintett vagy más személyek létfontosságú érdekeinek védelme érdekében szükséges, ha az érintett nem rendelkezik fizikai vagy jogi cselekvőképességgel a hozzájárulásának kifejezésére; g) az átvitel olyan nyilvántartásból történik, amelynek az uniós jog vagy a hazai jog szerint a nyilvánosság tájékoztatása a célja, és amelybe a nyilvánosság vagy bármely olyan személy betekinthet, aki igazolni tudja jogos érdekét, de csak annyiban, amennyiben az adott esetben az uniós jog vagy a belső jog által meghatározott konzultációs feltételek teljesülnek. Ha az átruházás nem alapulhat a 45. vagy 46. cikk rendelkezésein, ideértve a kötelező társasági szabályokra vonatkozó rendelkezéseket, és az e bekezdés első bekezdésében meghatározott különleges helyzetekre vonatkozó eltérések egyike sem alkalmazható, harmadik országba történő átruházás. vagy nemzetközi szervezet csak akkor valósulhat meg, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az üzemeltető által követett főbb jogos érdekek eléréséhez szükséges, amelyekkel szemben az érdekek vagy jogok nem érvényesülnek, és az érintett és az üzemeltető szabadságjogai értékelték az adattovábbítással kapcsolatos valamennyi körülményt, és ezen értékelés alapján megfelelő garanciákat nyújtottak a személyes adatok védelmére vonatkozóan. Az üzemeltető az átadásról tájékoztatja a felügyeleti hatóságot. Az üzemeltető a 13. és 14. cikkben említett tájékoztatáson túlmenően tájékoztatja az érintettet az átruházásról és az általa követett főbb jogos érdekekről.
(2) Az (1) bekezdés első bekezdésének g) pontja szerinti továbbítás nem érinti a nyilvántartásban szereplő összes személyes adatot vagy a személyes adatok valamennyi kategóriáját. Ha a nyilvántartást olyan személyeknek kell betekinteni, akiknek jogos érdekük fűződik, az átadás csak az érintett személyek kérésére történik, vagy ha ők lesznek a címzettek. (3) Az (1) bekezdés első bekezdésének a), b) és c) pontja, valamint a második bekezdés nem alkalmazandó a hatóságok által közhatalmi jogkörük gyakorlása során végzett tevékenység esetén.
(4) Az (1) bekezdés első bekezdésének d) pontjában meghatározott közérdeket az uniós jog vagy annak a tagállamnak a joga elismeri, amelynek hatálya alá az üzemeltető tartozik.
(5) A védelem szintjének megfelelőségére vonatkozó határozat hiányában az uniós jog vagy a nemzeti jog fontos közérdekű megfontolásból kifejezetten korlátokat állapíthat meg.
a személyes adatok meghatározott kategóriáinak harmadik országba vagy nemzetközi szervezetbe történő továbbításáról. A tagállamok ezekről a rendelkezésekről értesítik a Bizottságot.
(6) Az üzemeltető vagy az üzemeltető által meghatalmazott személy az értékelést, valamint az (1) bekezdés második bekezdésében előírt megfelelő garanciákat a 30. §-ban említett nyilvántartásban rögzíti.
50. cikk: Nemzetközi együttműködés a személyes adatok védelme terén
Harmadik országok és nemzetközi szervezetek tekintetében a Bizottság és a felügyeleti hatóságok megfelelő intézkedéseket hoznak annak érdekében, hogy:
a) nemzetközi együttműködési mechanizmusok kialakítása a személyes adatok védelméről szóló jogszabályok hatékony alkalmazásának elősegítése érdekében;
b) kölcsönös nemzetközi segítségnyújtás a személyes adatok védelmére vonatkozó jogszabályok alkalmazásának biztosításában, beleértve a bejelentést, a panaszok továbbítását, a nyomozásban való segítségnyújtást és az információcserét, a személyes adatok és egyéb jogok védelmére vonatkozó megfelelő garanciák mellett és alapvető szabadságjogok;
c) az érintett érdekelt felek bevonása a személyes adatok védelmére vonatkozó jogszabályok alkalmazása terén a nemzetközi együttműködés elmélyítését célzó megbeszélésekbe és tevékenységekbe; d) a személyes adatok védelmére vonatkozó jogszabályok és gyakorlatok kölcsönös cseréjének és dokumentációjának előmozdítása, beleértve a harmadik országokkal fennálló joghatósági összeütközéseket is.
VI. FEJEZET: Független felügyeleti hatóságok
1. szakasz: Független állapot
51. cikk: A felügyeleti hatóság
(1) Minden tagállam biztosítja, hogy egy vagy több független hatóság legyen felelős e rendelet alkalmazásának felügyeletéért a természetes személyek adatkezeléssel kapcsolatos alapvető jogainak és szabadságainak védelme, valamint a személyes adatok szabad mozgásának elősegítése érdekében. adatok az Unión belül (a "felügyeleti hatóság"). (2) Minden felügyeleti hatóság hozzájárul e rendelet következetes alkalmazásához az Unió egészében. E célból a felügyeleti hatóságok a VII. fejezettel összhangban együttműködnek egymással és a Bizottsággal.
(3) Ha egy tagállamban több felügyeleti hatóság létesül, kijelöli azt a felügyeleti hatóságot, amely a bizottságban az érintett hatóságokat képviseli, és olyan mechanizmust hoz létre, amely biztosítja, hogy a többi hatóság betartsa az egységesség biztosításának mechanizmusára vonatkozó szabályokat. a 63. cikkben.
(4) Minden tagállam 25. május 2018-ig értesíti a Bizottságot az e fejezet alapján elfogadott jogszabályi rendelkezéseiről, és haladéktalanul az e rendelkezések későbbi módosításáról.
52. cikk: Függetlenség
(1) Minden felügyeleti hatóság teljes függetlenséget élvez feladatai ellátása és hatásköreinek e rendelet szerinti gyakorlása során.
(2) Valamennyi felügyeleti hatóság tagja vagy tagjai feladataik ellátása és jogkörük e rendelet szerinti gyakorlása során függetlenek maradnak minden közvetlen vagy közvetett külső befolyástól, és nem kérnek és nem fogadnak el utasítást külső féltől.
(3) Valamennyi felügyeleti hatóság tagja vagy tagjai tartózkodnak a megbízatásukkal összeegyeztethetetlen cselekmények megtételétől, és a megbízatás ideje alatt nem végeznek összeférhetetlen tevékenységet, függetlenül attól, hogy díjazásban vagy ellenszolgáltatásban részesülnek.
(4) Minden tagállam biztosítja, hogy minden felügyeleti hatóság részesüljön humán, technikai és pénzügyi erőforrásokból, székhelyről és a feladatok ellátásához és hatásköreinek hatékony gyakorlásához szükséges infrastruktúráról, beleértve a kölcsönös segítségnyújtás keretében alkalmazandókat is. , a bizottságon belüli együttműködés és részvétel.
(5) Minden tagállam gondoskodik arról, hogy minden felügyeleti hatóság saját személyzetét válassza ki, és saját személyzettel rendelkezzen az adott felügyeleti hatóság tagjának vagy tagjainak kizárólagos irányítása alatt.
(6) Minden tagállam gondoskodik arról, hogy minden felügyeleti hatóság függetlenségét nem befolyásoló pénzügyi ellenőrzés alatt álljon, és külön, nyilvános éves költségvetéssel rendelkezzen, amely az általános állami vagy nemzeti költségvetés részét képezheti.
53. cikk: A felügyeleti hatóság tagjaira vonatkozó általános feltételek
(1) A tagállamok biztosítják, hogy felügyeleti hatóságuk minden tagját átlátható eljárással nevezzék ki:
– a parlament által;
– a kormány részéről;
- az államfő által; vagy
- a nemzeti jog szerint kinevezésre jogosult független testület.
(2) Minden érintett tag rendelkezik a feladatai ellátásához és hatásköreinek gyakorlásához szükséges képesítéssel, tapasztalattal és kompetenciákkal, különösen a személyes adatok védelme terén.
(3) A tag feladatai a mandátum lejártával, lemondás vagy a vonatkozó hazai jogszabály szerinti hivatalból történő nyugdíjazással megszűnnek.
(4) A tag csak súlyos kötelességszegés esetén menthető fel, vagy ha már nem felel meg a feladatai ellátásához szükséges feltételeknek.
54. cikk: A felügyeleti hatóság létrehozására vonatkozó szabályok
(1) Minden tagállam jogszabály útján rendelkezik a következőkről:
a) az egyes felügyeleti hatóságok létrehozása;
b) az egyes felügyeleti hatóságok tagjává történő kinevezéshez szükséges képesítések és alkalmassági feltételek;
c) az egyes felügyeleti hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályok és eljárások;
d) az egyes felügyeleti hatóságok tagjának vagy tagjainak hivatali ideje legalább négy év, kivéve a 24. május 2016. utáni első kinevezést, amelynek egy része rövidebb időtartamra is szólhat, ha ez a hatóság védelméhez szükséges. a felügyelet függetlensége lépcsőzetes kinevezési eljárás révén;
e) az egyes felügyeleti hatóságok tagjának vagy tagjainak mandátuma megújítható-e, és hány alkalommal;
f) az egyes felügyeleti hatóságok tagjának vagy tagjainak, valamint munkatársainak kötelezettségeit szabályozó feltételeket, a megbízatás időtartama alatt és annak megszűnését követően az ezekkel össze nem egyeztethető cselekményekre, foglalkozásokra és juttatásokra vonatkozó tilalmakat, valamint a megszűnését szabályozó szabályokat. a munkaszerződést.
(2) Valamennyi felügyeleti hatóság tagja vagy tagjai és alkalmazottai az uniós joggal vagy a hazai joggal összhangban kötelesek mind a megbízatás időtartama alatt, mind annak megszűnését követően tiszteletben tartani a szakmai titkot a tudomásukra jutott bizalmas információk tekintetében. feladataik teljesítése vagy hatáskörük gyakorlása során. A hivatali idő alatt ez a szakmai titoktartási kötelezettség különösen vonatkozik a természetes személyek e rendelet megsértésének bejelentésére.
2. szakasz: Képesítések, feladatok és kompetenciák
55. cikk: Hatáskör
(1) Minden felügyeleti hatóság jogosult az e rendelettel összhangban ráruházott feladatok ellátására és hatáskörök gyakorlására azon tagállam területén, amelyhez tartozik.
(2) Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró hatóságok vagy magánszervezetek végzik, a felügyeleti hatóság az állam.
az adott tag rendelkezik hatáskörrel. Ilyen esetekben az 56. cikk nem alkalmazandó.
(23. május 2018-i állapot, a 55. május 2-i módosítás 2. pontjával módosított VI. fejezet 15. szakasz 23. cikk (2018) bekezdés)
(3) A felügyeleti hatóságok nem rendelkeznek hatáskörrel az igazságszolgáltatási feladatuk ellátása során eljáró bíróságok adatkezelési műveleteinek felügyeletére.
56. cikk: A fő felügyeleti hatóság hatásköre
(1) Az 55. cikk sérelme nélkül az üzemeltető székhelye vagy egyedüli irodája felügyeleti hatósága, vagy az üzemeltető által meghatalmazott személy jogosult eljárni a fő felügyeleti hatóságként az érintett szolgáltató által végzett határokon átnyúló adatkezelések tekintetében. üzemeltető vagy az adott esetben meghatalmazott személy a 60. cikkben meghatározott eljárásnak megfelelően.
(2) Az (1) bekezdéstől eltérően minden felügyeleti hatóság hatáskörébe tartozik a tudomására jutott panasz vagy e szabály esetleges megsértése, ha annak tárgya csak az államban vagy a tagországban található hivatalra, ill. csak a tagállamában érinti jelentősen a megcélzott személyeket.
(3) A jelen cikk (2) bekezdésében említett esetekben a felügyeleti hatóság erről haladéktalanul tájékoztatja a fő felügyeleti hatóságot. A fő felügyeleti hatóság a tájékoztatás időpontjától számított három héten belül dönt arról, hogy az adott ügyet a 60. cikkben meghatározott eljárásnak megfelelően kezeli-e vagy sem, figyelembe véve, hogy az üzemeltetőnek vagy a személynek van-e székhelye vagy sem. az üzemeltető által feljogosított azon tagállam területén, amelynek felügyeleti hatósága tájékoztatta.
(4) Ha a fő felügyeleti hatóság úgy dönt, hogy az üggyel foglalkozik, a 60. §-ban meghatározott eljárást kell alkalmazni az a felügyeleti hatóság, amely a főfelügyeleti hatóságot értesítette. A fő felügyeleti hatóság a 60. § (3) bekezdésében foglalt határozattervezet elkészítésekor a lehető legnagyobb mértékben figyelembe veszi az adott tervezetet.
(5) Ha a fő felügyeleti hatóság úgy dönt, hogy nem foglalkozik az üggyel, a fő felügyeleti hatóságot értesítő felügyeleti hatóság az üggyel a 61. és 62. §-ok szerint foglalkozik.
(6) A fő felügyeleti hatóság az üzemeltető vagy az üzemeltető által meghatalmazott személy által végzett határon átnyúló adatkezeléssel kapcsolatban az üzemeltető egyedüli tárgyalópartnere vagy az üzemeltető által meghatalmazott személy.
57. cikk: Feladatok
(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül minden felügyeleti hatóság a területén:
a) figyelemmel kíséri és biztosítja e rendelet alkalmazását;
b) elősegíti a nyilvánosság figyelmét és megértését az adatkezeléssel kapcsolatos kockázatokkal, szabályokkal, garanciákkal és jogokkal kapcsolatos fellépéseket. Különös figyelmet fordítanak a kifejezetten gyermekeknek szóló tevékenységekre;
c) a hazai jognak megfelelően tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek adatkezeléssel kapcsolatos jogainak és szabadságainak védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekkel kapcsolatban;
d) elősegíti az üzemeltetők és az általuk felhatalmazott személyek figyelmét az e rendelet szerinti kötelezettségeikre vonatkozó fellépéseket;
e) kérésre tájékoztatást ad bármely érintettnek e rendelet szerinti jogainak gyakorlásával kapcsolatban, és szükség esetén ennek érdekében együttműködik a többi tagállam felügyeleti hatóságaival;
f) kezeli az érintett, szerv, szervezet vagy egyesület által a 80. §-ban foglaltaknak megfelelően benyújtott panaszokat, és megfelelő mértékben kivizsgálja a panasz tárgyát, és tájékoztatja a panaszost a vizsgálat előrehaladásáról és eredményéről. ésszerű időn belül, különösen akkor, ha alaposabb vizsgálat lefolytatása vagy más felügyeleti hatósággal való egyeztetés szükséges;
g) együttműködik – többek között információcsere révén – más felügyeleti hatóságokkal, és kölcsönös segítséget nyújt e rendelet alkalmazásának és betartásának következetességének biztosítása érdekében;
h) vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, ideértve a más felügyeleti hatóságtól vagy más hatóságtól kapott információk alapján is;
i) figyelemmel kíséri a vonatkozó fejleményeket, amennyiben azok hatással vannak a személyes adatok védelmére, különösen az információs és kommunikációs technológiák és a kereskedelmi gyakorlatok fejlődésére;
j) elfogadja a 28. cikk (8) bekezdésében és a 46. cikk (2) bekezdésének d) pontjában említett általános szerződési feltételeket;
k) a 35. cikk (4) bekezdésével összhangban összeállítja és naprakészen tartja az adatvédelemre gyakorolt hatás értékelésére vonatkozó követelményre vonatkozó jegyzéket;
l) tanácsot ad a 36. cikk (2) bekezdésében említett feldolgozási műveletekkel kapcsolatban; m) ösztönzi a magatartási kódexek kidolgozását a 40. cikk (1) bekezdésével összhangban, véleményt nyilvánít azokról, és jóváhagyja azokat, amelyek a 40. cikk (5) bekezdésével összhangban megfelelő garanciákat kínálnak;
n) ösztönzi tanúsítási mechanizmusok, valamint pecsétek és jelölések létrehozását az adatvédelem területén a 42. cikk (1) bekezdésével összhangban, és jóváhagyja a tanúsítási kritériumokat a 42. cikk (5) bekezdése szerint;
o) adott esetben a 42. cikk (7) bekezdésével összhangban rendszeresen felülvizsgálja a kiadott tanúsítványokat;
p) kidolgozza és közzéteszi egy magatartási kódex-felügyeleti szerv akkreditációs követelményeit
a 41. cikkel összhangban és egy tanúsító szervezet a 43. cikkel összhangban;
(23. május 2018-án 57. § (1) bekezdés, VI. fejezet P. pontja, 2. pont 16. pontjával helyesbített 23-
május-2018)
q) koordinálja a 41. cikk szerinti magatartási kódexet ellenőrző testület és a 43. cikk szerinti tanúsító szervezet akkreditációs eljárását; r) engedélyezi a 46. cikk (3) bekezdésében említett szerződési feltételeket és rendelkezéseket;
s) jóváhagyja a kötelező társasági szabályzatot a 47. cikkel összhangban;
t) közreműködik a bizottság tevékenységében;
u) naprakész belső nyilvántartást vezet e rendelet megsértéséről és a megtett intézkedésekről, így különösen az 58. § (2) bekezdése szerint kiadott figyelmeztetésekről és kiszabott szankciókról; és v) ellátja a személyes adatok védelmével kapcsolatos egyéb feladatokat.
(2) Valamennyi felügyeleti hatóság elősegíti az (1) bekezdés f) pontjában említett panaszok benyújtását olyan intézkedésekkel, mint például egy olyan panaszbenyújtási formanyomtatvány elérhetővé tétele, amely elektronikus formában is kitölthető, más kommunikációs eszközök kizárása nélkül. (3) Az egyes felügyeleti hatóságok feladatainak ellátása az érintett és adott esetben az adatvédelmi tisztviselő számára ingyenes.
(4) Ha a megkeresések – különösen ismétlődő jellegük miatt – egyértelműen megalapozatlanok vagy túlzóak, a felügyeleti hatóság az ügyintézési költségeken alapuló ésszerű díjat számíthat fel, illetve azok feldolgozását megtagadhatja. A megkeresés nyilvánvalóan megalapozatlan vagy túlzó jellegének bizonyítása a felügyeleti hatóságot terheli.
58. cikk: Hatáskör
(1) Minden felügyeleti hatóság rendelkezik a következő vizsgálati jogosítványokkal:
a) utasítani az üzemeltetőt és az üzemeltető által meghatalmazott személyt, adott esetben az üzemeltető képviselőjét vagy az üzemeltető által meghatalmazott személyt, hogy a felügyeleti hatóság feladatai ellátása érdekében kért tájékoztatást adja meg;
b) adatvédelmi auditok formájában vizsgálatokat végezni;
c) a 42. cikk (7) bekezdése szerint kiadott tanúsítványok felülvizsgálata;
d) az üzemeltetőt vagy az üzemeltető által meghatalmazottat értesíteni a jelen előírás feltételezett megsértéséről;
e) az üzemeltetőtől és az üzemeltető által meghatalmazott személytől hozzáférést szerezni minden személyes adathoz és a feladatai ellátásához szükséges minden információhoz;
f) az uniós joggal vagy a belső eljárási joggal összhangban bejutni az üzemeltető és az üzemeltető által felhatalmazott személy bármely helyiségébe, ideértve a berendezéseket és az adatfeldolgozó eszközöket is.
(2) Minden felügyeleti hatóság rendelkezik a következő kiigazító jogosítványokkal:
a) figyelmeztetni az üzemeltetőt vagy az üzemeltető által meghatalmazott személyt arra vonatkozóan, hogy az elvégzett adatkezelési műveletek sértik a jelen szabályzat rendelkezéseit;
b) üzemeltetőnek vagy az üzemeltető által az ügyben meghatalmazott személynek címzett figyelmeztetést adni
amelyekben az adatkezelési műveletek megsértették e rendelet rendelkezéseit;
(23. május 2018-án 58. § (2) bekezdés, VI. fejezet B. pontja 2. pontja helyesbítette a 17. számú helyesbítés 23. pontja
május-2018)
c) utasítani az üzemeltetőt vagy az üzemeltető által meghatalmazott személyt, hogy tegyen eleget az érintett e rendelet szerinti jogainak gyakorlására vonatkozó kérésének;
d) utasítani az üzemeltetőt vagy az üzemeltető által meghatalmazott személyt, hogy biztosítsa az adatkezelési műveletek e rendeletben foglaltaknak való megfelelését, adott esetben ennek módját és határidejét;
e) kötelezni az üzemeltetőt, hogy tájékoztassa az érintettet a személyes adatok védelmének megsértéséről;
f) ideiglenes vagy végleges korlátozás elrendelése, ideértve az adatkezelés tilalmát is;
g) elrendelni a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását a 16., 17. és 18. cikk alapján, valamint ezen intézkedésekről azon címzettek értesítését, akikkel a személyes adatot közölték, a 17. cikknek megfelelően (2) bekezdéssel és a 19. cikkel; h) visszavonni egy tanúsítványt, vagy kötelezni a tanúsító szervezetet a 42. és 43. cikk alapján kiadott tanúsítvány visszavonására, vagy kötelezni a tanúsító szervezetet arra, hogy ne állítson ki tanúsítványt, ha a tanúsítási követelmények nem teljesülnek, vagy már nem teljesülnek;
i) közigazgatási bírság kiszabása a 83. cikkel összhangban, az e bekezdésben említett intézkedéseken felül vagy helyett, az egyes esetek körülményeitől függően;
j) harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztésének elrendelése.
(3) Minden felügyeleti hatóság rendelkezik az alábbi felhatalmazási és tanácsadói jogosítványokkal: a) tanácsot adjon az üzemeltetőnek a 36. cikkben említett előzetes konzultációs eljárásnak megfelelően;
b) saját kezdeményezésre vagy kérésre véleményt nyilváníthat a nemzeti parlamentnek, a tagállam kormányának, illetve a hazai jognak megfelelően más intézményeknek és szerveknek, valamint a nyilvánosságnak az ezzel kapcsolatos bármely kérdésben. a személyes adatok védelmére;
c) engedélyezni a 36. § (5) bekezdésében említett adatkezelést, ha a tagállam joga ezt előírja;
d) vélemény kibocsátása és magatartási kódex-tervezetek jóváhagyása a 40. cikk (5) bekezdésével összhangban;
e) a tanúsító szervezetek akkreditálása a 43. cikkel összhangban;
f) tanúsítványok kiadása és tanúsítási kritériumok jóváhagyása a 42. cikk (5) bekezdésével összhangban; g) elfogadja a 28. cikk (8) bekezdésében és a 46. cikk (2) bekezdésének d) pontjában említett szabványos adatvédelmi záradékokat;
h) a 46. cikk (3) bekezdésének a) pontjában említett szerződési kikötések engedélyezése;
i) a 46. cikk (3) bekezdésének b) pontjában említett közigazgatási megállapodások engedélyezése; és
j) kötelező társasági szabályzat jóváhagyása a 47. cikkel összhangban.
(4) Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlása megfelelő garanciák függvénye, ideértve a hatékony bírósági fellebbezést és a tisztességes eljárásokat, amelyeket az uniós jog és a belső jog a chartával összhangban biztosít.
(5) Minden tagállam jogszabályban rendelkezik arról, hogy felügyeleti hatósága rendelkezik hatáskörrel e rendelet megsértése esetén az igazságügyi hatóságok elé terjeszteni, és
adott esetben jogi eljárást kezdeményezni vagy abban egyéb módon részt venni, e rendeletben foglaltak alkalmazásának biztosítása érdekében.
(6) Minden tagállam jogszabályában vagy tényállásában rendelkezhet arról, hogy felügyeleti hatósága az (1), (2) és (3) bekezdésben említetteken kívül további hatáskörrel rendelkezik. E jogkörök gyakorlása nem befolyásolja a VII. fejezet hatékony működését.
59. cikk: Tevékenységi jelentések
Minden felügyeleti hatóság éves jelentést készít tevékenységéről, amely tartalmazhatja a bejelentett jogsértések és az 58. cikk (2) bekezdésével összhangban hozott intézkedések típusainak jegyzékét. A jelentéseket a nemzeti parlamentnek, a kormánynak és a nemzeti jog által kijelölt más hatóságoknak nyújtják be. Ezeket a nyilvánosság, a Bizottság és a bizottság rendelkezésére bocsátják.
VII. FEJEZET: Együttműködés és koherencia
1. szakasz: Együttműködés
60. cikk: Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között
(1) A fő felügyeleti hatóság e cikknek megfelelően együttműködik a többi érintett felügyeleti hatósággal a konszenzus elérésére. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden lényeges információt közölnek egymással. (2) A fő felügyeleti hatóság bármikor felkérheti a többi érintett felügyeleti hatóságot a 61. cikk szerinti kölcsönös segítségnyújtásra, és a 62. cikk értelmében közös műveleteket hajthat végre, különösen a vizsgálat lefolytatása vagy a végrehajtásának ellenőrzése céljából. más tagállamban letelepedett üzemeltetővel vagy az üzemeltető által meghatalmazott személlyel kapcsolatos intézkedések.
(3) A fő felügyeleti hatóság haladéktalanul közli az ezzel kapcsolatos lényeges információkat a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság haladéktalanul továbbítja a határozattervezetet a többi érintett felügyeleti hatóságnak véleményük megismerése érdekében, és véleményüket megfelelően figyelembe veszi.
(4) Ha bármely más érintett felügyeleti hatóság az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns és indokolt kifogást emel a határozattervezettel szemben, a felügyeleti hatóság fő szerv, ha ezt megteszi. nem tesz eleget a vonatkozó és indokolt kifogásnak, vagy úgy ítéli meg, hogy a kifogás nem releváns vagy nem indokolt, értesíti a 63. cikkben említett következetességet biztosító mechanizmust.
(5) Ha a vonatkozó és indokolt kifogásnak eleget kíván tenni, a fő felügyeleti hatóság felülvizsgált határozattervezetet küld meg a többi érintett felügyeleti szervnek véleményük megismerése céljából. Ezt a felülvizsgált határozattervezetet a (4) bekezdésben említett eljárásnak kell lefolytatnia két hétig.
(6) Abban az esetben, ha a (4) és (5) bekezdésben meghatározott határidőn belül a fő felügyeleti hatóság által benyújtott határozattervezettel szemben a többi érintett felügyeleti hatóság sem emelt kifogást, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a vonatkozó határozattervezettel, amely rájuk nézve kötelező érvényűvé válik.
(7) A főfelügyeleti hatóság meghozza a határozatot és az esettől függően az üzemeltető vagy az üzemeltető által meghatalmazott személy székhelyét, illetve az üzemeltető kizárólagos székhelyét, illetve az üzemeltető által meghatalmazott személyt értesíti arról, és tájékoztatja a többi érintett felügyeleti hatóságot és a bizottságot az esettől függően. a kérdéses határozatot, beleértve az elemek összefoglalását és a vonatkozó indokokat. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, a döntésről tájékoztatja a panaszost.
(8) A (7) bekezdéstől eltérően a panasz elutasítása vagy elutasítása esetén az a felügyeleti hatóság, amelyhez a panaszt benyújtották, a határozatot meghozza, a panaszost értesíti, és erről az üzemeltetőt tájékoztatja.
(9) Ha a fő felügyeleti hatóság és az érintett felügyeleti hatóságok megállapodnak a panasz egyes részeinek elutasításában vagy elutasításában, valamint az adott panasz további részeinek elbírálásában, ezekről a részekről külön határozatot hoznak. A fő felügyeleti hatóság meghozza a döntést az üzemeltetővel kapcsolatos intézkedésekkel érintett fél részére, értesítést küld a központnak
az üzemeltető vagy az üzemeltető által meghatalmazott személy székhelye vagy kizárólagos székhelye az érintett tagállam területén, és erről a panaszost tájékoztatja, míg a panaszos felügyeleti hatósága a határozatot az érintett fél helyett a megtagadással vagy elutasítással hozza meg. az adott panaszról értesíti a panaszost, és erről tájékoztatja az üzemeltetőt vagy az üzemeltető által meghatalmazott személyt.
(10) A fő felügyeleti hatóság (7) és (9) bekezdés szerinti határozatának közlését követően az üzemeltető vagy az üzemeltető által meghatalmazott személy megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenység a határozatban foglaltaknak megfelelően történjen. az Unióban található összes helyiségében . Az üzemeltető vagy az üzemeltető által meghatalmazott személy értesíti a fő felügyeleti hatóság határozatának teljesítése érdekében tett intézkedéseit, amely tájékoztatja a többi érintett felügyeletet.
(11) Ha kivételes körülmények között az érintett felügyeleti hatóságnak oka van úgy vélni, hogy az érintett személyek érdekeinek védelme érdekében sürgős intézkedésre van szükség, a 66. cikkben meghatározott sürgősségi eljárást kell alkalmazni.
(12) A fő felügyeleti hatóság és a többi érintett felügyeleti hatóság elektronikus úton, szabványos formanyomtatványon átadja egymásnak az e cikk alapján kért információkat.
61. cikk: Kölcsönös segítségnyújtás
(1) A felügyeleti hatóságok e rendelet koherens végrehajtásához megfelelő tájékoztatást és segítséget nyújtanak egymásnak, és hatékony együttműködési intézkedéseket alakítanak ki közöttük. A kölcsönös segítségnyújtás különösen az információkérésekre és a felügyeleti intézkedésekre vonatkozik, mint például az engedélykérésekre és előzetes konzultációkra, vizsgálatokra és vizsgálatokra.
(2) Minden felügyeleti hatóság megtesz minden szükséges intézkedést annak érdekében, hogy egy másik felügyeleti hatóság megkeresésére indokolatlan késedelem nélkül, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belül válaszoljon. Ezek az intézkedések különösen magukban foglalhatják a vizsgálat lefolytatásával kapcsolatos releváns információk továbbítását.
(3) A segítségnyújtás iránti megkeresések tartalmaznak minden szükséges információt, beleértve a megkeresés célját és indokait. A csere tárgyát képező információkat csak arra a célra használjuk fel, amelyre azt kérték.
(4) A megkeresett felügyeleti hatóság nem tagadhatja meg a megkeresés teljesítését, kivéve, ha:
a) nem rendelkezik hatáskörrel a megkeresés tárgya vagy a végrehajtására kért intézkedések tekintetében; vagy
b) a megkeresés teljesítése sértené ezt a rendeletet vagy azt az uniós jogot, illetve azt a belső jogot, amely alá a kérelmet fogadó felügyeleti hatóság tartozik.
(5) Az a felügyeleti hatóság, amelyhez a megkeresés címzett, tájékoztatja a megkeresést benyújtó felügyeleti hatóságot az eredményekről, illetve adott esetben a megkeresés megválaszolása érdekében elért előrehaladásról vagy megtett intézkedésekről. A megkeresett felügyeleti hatóság a (4) bekezdés szerinti megkeresés teljesítésének minden egyes elutasítását megindokolja.
(6) A megkeresett felügyeleti hatóságok a más felügyeleti hatóságok által kért információkat rendszerint elektronikus úton, formanyomtatványon adják meg.
(7) A megkeresett felügyeleti hatóságok a kölcsönös segítségnyújtás iránti megkeresés alapján általuk tett intézkedésekért díjat nem számítanak fel. A felügyeleti hatóságok megállapodhatnak a kölcsönös díjazás bizonyos szabályaiban a kölcsönös segítségnyújtásból adódó, rendkívüli helyzetekben felmerülő konkrét kiadások esetén.
(8) Ha a felügyeleti hatóság az e cikk (5) bekezdésében említett tájékoztatást a másik felügyeleti hatóság kérésének kézhezvételétől számított egy hónapon belül nem adja meg, ez utóbbi saját tagállama területén ideiglenes intézkedést hozhat, 55. (1) bekezdése szerint. Ebben az esetben a 66. cikk (1) bekezdése szerinti sürgős fellépés szükségességét teljesítettnek kell tekinteni, és a 66. cikk (2) bekezdésével összhangban a bizottság sürgős, kötelező erejű határozatára van szükség.
(9) A bizottság végrehajtási aktussal meghatározhatja az e cikkben említett kölcsönös segítségnyújtás formáját és eljárásait, valamint a felügyeleti hatóságok közötti, valamint a felügyeleti hatóságok és a bizottság közötti elektronikus információcsere módját, különös tekintettel
a jelen cikk (6) bekezdésében említett formanyomtatvány. A vonatkozó végrehajtási aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban fogadják el.
62. cikk: A felügyeleti hatóságok közös műveletei
(1) Az esettől függően a felügyeleti hatóságok közös műveleteket hajtanak végre, beleértve a közös nyomozásokat és a közös bűnüldözési intézkedéseket, amelyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai vesznek részt.
(2) Ha az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek több tagállamban van irodája, vagy ha több tagállamból származó érintettek jelentős részét valószínűleg jelentős mértékben érintik az adatkezelési műveletek, az érintett tagok mindegyikéről hatósági felügyeletet kell végezni. államoknak joguk van részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdésével összhangban illetékes felügyeleti hatóság felkéri az egyes tagállamok felügyeleti hatóságait, hogy vegyenek részt ezekben a közös műveletekben, és haladéktalanul válaszol a felügyeleti hatóság részvételi kérelmére. .
(3) A felügyeleti hatóság a hazai jognak megfelelően és a székhely szerinti tagállam felügyeleti hatóságának beleegyezésével a székhely szerinti tagállam felügyeleti hatóságának azon tagjait vagy alkalmazottait ruházhatja fel, ideértve a vizsgálati jogkört is. közös műveletekre, vagy amennyiben a fogadó tagállam felügyeleti hatósága szerinti tagállam joga ezt lehetővé teszi, felhatalmazhatja a székhely szerinti tagállam felügyeleti hatóságának tagjait vagy alkalmazottait arra, hogy vizsgálati jogkörét a rendelettel összhangban gyakorolják. a következő hatóságok tagállamának joga. Az ilyen vizsgálati jogkörök csak a fogadó tagállam felügyeleti hatósága tagjainak vagy alkalmazottainak koordinációja mellett és jelenlétében gyakorolhatók. A székhely szerinti tagállam felügyeleti hatóságának tagjaira vagy alkalmazottaira az a nemzeti jog vonatkozik, amely alá a fogadó tagállam felügyeleti hatósága tartozik.
(4) Ha az (1) bekezdéssel összhangban a székhely szerinti tagállam felügyeleti hatóságának személyzete egy másik tagállamban végzi tevékenységét, a fogadó tagállam vállalja a felelősséget e személyzet intézkedéseiért, beleértve a felelősséget az érintett személyzet tagjai által tevékenységük során okozott károk azon tagállam jogának megfelelően, amelynek területén tevékenységüket végzik.
(5) Az a tagállam, amelynek területén a károk bekövetkeztek, a saját személyzete által okozott károkra vonatkozó feltételek mellett köteles kijavítani ezeket a károkat. Annak a felügyeleti hatóságnak a származási tagállama, amelynek személyzete egy másik tagállam területén kárt okozott egy személynek, visszatéríti ennek a másik tagállamnak mindazokat az összegeket, amelyeket az általuk a jogosult személyek nevében kifizetett.
(6) A harmadik személyekkel szembeni jogai gyakorlásának sérelme nélkül és az (5) bekezdés kivételével minden tagállam az (1) bekezdésben meghatározott esetben tartózkodik attól, hogy más tagállammal szemben követelést igényeljen. a (4) bekezdésben említett károk megtérítése.
(7) Ha közös műveletet terveznek, és a felügyeleti hatóság egy hónapon belül nem tesz eleget az e cikk (2) bekezdésének második mondatában foglalt kötelezettségének, a többi felügyeleti hatóság ideiglenes intézkedést hozhat. Ebben az esetben a 55. cikk (66) bekezdése szerinti sürgős intézkedést teljesítettnek kell tekinteni, és sürgős értesítést vagy sürgős kötelező határozatot igényel a részről. 1. cikk (66) bekezdésével összhangban.
2. szakasz: A következetesség biztosítása
63. cikk: A koherencia biztosításának mechanizmusa
E rendelet Unió-szerte történő következetes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással, és adott esetben a Bizottsággal az e szakaszban előírt következetességet biztosító mechanizmuson keresztül.
64. cikk: A bizottság véleménye
(1) A bizottság minden alkalommal véleményt ad ki, amikor az illetékes felügyeleti hatóság az alábbi intézkedések valamelyikét kívánja meghozni. E célból az illetékes felügyeleti hatóság közli a határozattervezetet a bizottsággal, ha:
a) célja, hogy a 35. cikk (4) bekezdésével összhangban elfogadja azon adatkezelési műveletek listáját, amelyekre adatvédelmi hatásvizsgálatot kell végezni;
b) a 40. § (7) bekezdése szerint a magatartási kódex tervezetének vagy a magatartási kódex módosításának vagy kiterjesztésének e rendeletnek való megfelelésére utal;
c) célja a testület 41. szerinti akkreditációjához szükséges követelmények jóváhagyása
(3) bekezdése szerinti tanúsító szervezetnek a 43. cikk (3) bekezdése vagy a kritériumok szerint
a 42. cikk (5) bekezdésében említett tanúsítás;
(23. május 2018-i állapot szerint a fejezet 64. cikk (1) bekezdés C. pontja
VII. 2. pont a Helyesbítés 18. pontjával helyesbített
23. május 2018.)
d) célja a 46. cikk (2) bekezdésének d) pontjában vagy a 28. cikk (8) bekezdésében említett szabványos adatvédelmi záradékok meghatározása;
e) célja a 46. cikk (3) bekezdésének a) pontjában említett szerződési kikötések engedélyezése; vagy f) a 47. cikk értelmében kötelező társasági szabályok jóváhagyására hivatkozik.
(2) Bármely felügyeleti hatóság, a bizottság elnöke vagy a Bizottság kérheti, hogy bármely általános érvényű vagy egynél több tagállamban hatást kiváltó ügyet a bizottság vizsgáljon meg véleményezés céljából, különösen akkor, ha a bizottság véleményezése céljából a bizottság elnöke a felügyeleti hatóságnak vagy a bizottságnak. az illetékes felügyelet nem tesz eleget a 61. cikk szerinti kölcsönös segítségnyújtásra vagy a 62. cikk szerinti közös műveletekre vonatkozó kötelezettségeknek.
(3) Az (1) és (2) bekezdésben foglalt esetekben a bizottság az elé terjesztett kérdésben véleményt nyilvánít, feltéve, hogy ugyanabban a kérdésben még nem adott véleményt. A vonatkozó véleményt nyolc héten belül a bizottsági tagok egyszerű többségével fogadják el. Ez az időszak hat héttel meghosszabbítható, figyelembe véve az ügy összetettségét. A bizottság tagjainak az (1) bekezdés szerint megküldött (5) bekezdés szerinti határozattervezet tekintetében az elnök által megjelölt ésszerű határidőn belül kifogást nem emelő tagot a határozattervezettel egyetértőnek kell tekinteni.
(4) A felügyeleti hatóságok és a Bizottság indokolatlan késedelem nélkül, formanyomtatványon elektronikus úton közlik a bizottsággal minden lényeges információt, ideértve adott esetben a tények összefoglalását, a határozattervezetet, az indokolást. szükséges ilyen intézkedés meghozatala, valamint a többi érintett felügyeleti hatóság véleménye.
(5) A bizottság elnöke elektronikus úton haladéktalanul tájékoztatja:
a) a bizottság és a Bizottság tagjai a velük közölt vonatkozó információkkal kapcsolatban, szabványos formanyomtatványon. A bizottság titkársága szükség esetén biztosítja a vonatkozó információk fordítását; és
b) az (1) és (2) bekezdésben említett felügyeleti hatóságot és a Bizottságot a véleményre vonatkozóan, és azt közzéteszi.
(6) Az (1) bekezdés szerinti illetékes felügyeleti hatóság a tervezetét nem fogadja el
az (1) bekezdésben említett határozatot a (3) bekezdésben meghatározott határidőn belül.
(23. május 2018-án 64. cikk (6) bekezdés VII. fejezet 2. pontja módosította:
(7) Az (1) bekezdés szerinti illetékes felügyeleti hatóság a véleményt maradéktalanul figyelembe veszi
május 19-i Helyesbítés 23. pontja
2018)
a bizottságot, és a vélemény kézhezvételétől számított két héten belül elektronikus úton közli a bizottság elnökével, hogy megtartja-e vagy módosítja határozattervezetét, és ha szükséges,
formanyomtatványon nyújtsa be a módosított határozattervezetet.
(23. május 2018-án 64. cikk (7) bekezdés VII. fejezet 2. pontja módosította:
(8) Ha az (1) bekezdésben említett illetékes felügyeleti hatóság e cikk (7) bekezdésében meghatározott határidőn belül tájékoztatja a bizottság elnökét arról, hogy nem kíván eleget tenni a bizottság véleményének, teljes, ill. részben a vonatkozó indoklással a cikk alkalmazandó
május 19-i Helyesbítés 23. pontja
2018)
65. (1) bekezdés.
(23. május 2018-i állapot, a 64. május 8-i módosítás 2. pontjával módosított VII. fejezet 19. szakasz 23. cikk (2018) bekezdés)
65. cikk: A viták rendezése a bizottság által
(1) E rendelet egyedi esetekben történő helyes és következetes alkalmazása érdekében a bizottság kötelező erejű határozatot hoz az alábbi esetekben:
a) ha a 60. § (4) bekezdésében említett esetek valamelyikében az érintett felügyeleti hatóság releváns és indokolt kifogást fogalmazott meg a hatóság határozattervezete ellen.
A főfelügyelet és a fő felügyeleti hatóság nem reagált a kifogásra, vagy elutasította a kifogást, mint nem releváns vagy indokolt. A kötelező erejű határozat minden olyan kérdésre vonatkozik, amelyre a vonatkozó és indokolt kifogás vonatkozik, különösen arra a kérdésre, hogy ez a rendelet
megsértették;
(randizni
23. május 2018. 65. cikk, 1. pont (2) 20. május 23-i Helyesbítés 2018. pontjával helyesbített VII. fejezet XNUMX. pont A. pontja)
b) abban az esetben, ha eltérnek a vélemények arról, hogy melyik érintett felügyeleti hatóság rendelkezik a központi iroda hatáskörével;
c) ha az illetékes felügyeleti hatóság a 64. § (1) bekezdésében említett esetekben nem kéri ki a bizottság véleményét, vagy nem veszi figyelembe a bizottság 64. § alapján kiadott véleményét. Ebben az esetben bármely felügyeleti szerv az érintett hatóság vagy a Bizottság közölheti az ügyet a bizottsággal.
(2) Az (1) bekezdés szerinti határozatot az ügy előterjesztésétől számított egy hónapon belül a bizottsági tagok kétharmados szótöbbségével kell meghozni. Ez a határidő egy hónappal meghosszabbítható, figyelembe véve az ügy összetettségét. Az (1) bekezdésben említett határozatot indokolással és a fő felügyeleti hatóságnak és valamennyi érintett felügyeleti hatóságnak címezték, amely rájuk nézve kötelező érvényű.
(3) Ha a bizottság a (2) bekezdésben meghatározott határidőn belül nem tudott határozatot hozni, határozatát a (2) bekezdésben említett második hónap lejártától számított két héten belül, egyszerű szótöbbséggel hozza meg. tagjai közül. Ha a bizottság tagjainak egyenlő arányban van eltérő véleménye, a határozatot az elnök szavazatával hozza. (4) Az érintett felügyeleti hatóságok az (1) bekezdés szerint a bizottság elé terjesztett ügyben a (2) és (3) bekezdésben meghatározott határidőn belül nem hoznak határozatot.
(5) A bizottság elnöke az (1) bekezdésben említett határozatáról haladéktalanul értesíti az érintett felügyeleti hatóságokat. A bizottság erről tájékoztatja a Bizottságot. A határozatot a (6) bekezdésben említett jogerős határozat felügyeleti hatósági értesítése után haladéktalanul közzéteszi a bizottság honlapján.
(6) A fő felügyeleti hatóság, illetve adott esetben az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett határozat alapján indokolatlan késedelem nélkül, de legfeljebb egy hónap a bizottság döntésének közlésétől számítva. A fő felügyeleti hatóság, illetve adott esetben az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a bizottságot arról, hogy végső határozatáról az üzemeltetőt, illetve az üzemeltető által meghatalmazottat, illetve az érintettet mikor értesítik. Az érintett felügyeleti hatóságok végső határozatát a 60. § (7), (8) és (9) bekezdésében meghatározott feltételek szerint hozzák meg. A jogerős határozat hivatkozik a jelen cikk (1) bekezdésében említett határozatra, és kimondja, hogy az ebben a bekezdésben említett határozatot az (5) bekezdésben foglaltaknak megfelelően közzéteszik a bizottság honlapján. Az e cikk (1) bekezdésében említett határozat a jogerős határozat mellékletét képezi.
66. cikk: Sürgősségi eljárás
(1) Kivételes körülmények között, ha az érintett felügyeleti hatóság úgy ítéli meg, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős intézkedésre van szükség, a koherencia biztosítására szolgáló mechanizmustól eltérve a 63., 64. és 65. cikkben foglaltak szerint, vagy a 60. cikkben említett eljárásból, haladéktalanul fogadjon el ideiglenes intézkedéseket, amelyek célja, hogy saját területén joghatásokat váltsanak ki, meghatározott időtartammal, amely nem haladhatja meg a három hónapot. A felügyeleti hatóság haladéktalanul közli ezeket az intézkedéseket és elfogadásuk okait a többi érintett felügyeleti hatósággal, a bizottsággal és a Bizottsággal.
(2) Ha a felügyeleti hatóság az (1) bekezdés szerinti intézkedést hozott, és úgy ítéli meg, hogy sürgős végleges intézkedések meghozatalára van szükség, sürgős véleményt vagy sürgős, kötelező erejű határozatot kérhet a bizottságtól, a kérelem indokainak megjelölésével. .
(3) Bármely felügyeleti hatóság kérhet sürgős véleményt vagy sürgős kötelező erejű határozatot kérhet a bizottságtól, ha az illetékes felügyeleti hatóság nem tett megfelelő intézkedést olyan helyzetben, amikor sürgős intézkedésre van szükség. az érintett személyek jogait és szabadságait, megjelölve az ilyen vélemény vagy határozat kérésének indokait, beleértve a sürgős intézkedés szükségességét.
(4) A 64. cikk (3) bekezdésétől és a 65. cikk (2) bekezdésétől eltérve a jelen cikk (2) és (3) bekezdésében említett sürgős értesítést vagy sürgős, kötelező erejű határozatot kell elfogadni. két héttel a bizottsági tagok egyszerű többségével.
67. cikk: Információcsere
A Bizottság általános hatályú végrehajtási jogi aktusokat fogadhat el a felügyeleti hatóságok, valamint a felügyeleti hatóságok és a bizottság közötti elektronikus információcsere módozatainak meghatározására, különösen a 64. cikkben említett formanyomtatványt. a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően elfogadott.
3. szakasz: Európai Adatvédelmi Testület
68. cikk: Európai Adatvédelmi Bizottság
(1) Az Európai Adatvédelmi Bizottság (a továbbiakban: bizottság) az Unió szerveként jön létre, és jogi személyiséggel rendelkezik.
(2) A bizottságot elnöke képviseli.
(3) A bizottság az egyes tagállamok felügyeleti hatóságának vezetőjéből és az Európai Adatvédelmi Hatóság vezetőjéből vagy azok képviselőiből áll.
(4) Ha egy tagállamban több felügyeleti hatóság is felelős az e rendelet alapján elfogadott rendelkezések alkalmazásának ellenőrzéséért, az adott tagállam belső joga szerint közös képviselőt kell kijelölni.
(5) A bizottság szavazati jog nélkül részt vehet a bizottság munkájában és ülésein. A bizottság képviselőt nevez ki. A bizottság elnöke tájékoztatja a Bizottságot a bizottság tevékenységéről. (6) A 65. cikkben említett esetekben az Európai Adatvédelmi Hatóság csak azokról a határozatokról szavazhat, amelyek az Unió intézményeire, szerveire, hivatalaira és ügynökségeire vonatkozó elvekre és alkalmazandó szabályokra vonatkoznak, és amelyek tartalmilag megfelelnek a jelen szabályzatban foglaltakat.
69. cikk: Függetlenség
(1) A bizottság a 70. és 71. §-ban foglaltak szerint önállóan jár el feladatai ellátása, illetve hatáskörének gyakorlása során.
(2) A 70. cikk (1) és (2) bekezdésében említett bizottsági kérések sérelme nélkül a bizottság feladatai ellátása vagy hatáskörének gyakorlása során nem kér és nem fogad el.
utasításokat bármely külső féltől.
(23. május 2018-án, 69. cikk (2) bekezdés).
fejezet 3. pontja a május 21-i Helyesbítés 23. pontjával helyesbített VII
2018)
70. cikk: A bizottság feladatai
(1) A bizottság gondoskodik e rendelet következetes alkalmazásáról. E célból a bizottság saját kezdeményezésére vagy adott esetben a Bizottság kérésére különösen a következő feladatokat látja el:
a) figyelemmel kíséri és biztosítja e rendelet helyes alkalmazását a 64. és 65. cikkben meghatározott esetekben, a nemzeti felügyeleti hatóságok feladatainak sérelme nélkül;
b) tanácsot ad a Bizottságnak a személyes adatok Unión belüli védelmével kapcsolatos bármely vonatkozásban, beleértve az e rendelet módosítására irányuló javaslatokat is;
c) tanácsadás a Bizottságnak az üzemeltetők, az üzemeltetők által felhatalmazott személyek és a felügyeleti hatóságok közötti információcsere formátumával és eljárásaival kapcsolatban a kötelező társasági szabályok tekintetében;
d) iránymutatások, ajánlások és bevált gyakorlatok kibocsátása a 17. cikk (2) bekezdésében említettek szerint a személyes adatokra mutató hivatkozások, azok másolatai vagy reprodukcióinak a nyilvánosan elérhető hírközlési szolgáltatások számára elérhető törlésének eljárásaira vonatkozóan;
e) saját kezdeményezésére, valamelyik tagja kérésére vagy a Bizottság kérésére megvizsgál minden, e rendelet alkalmazásával kapcsolatos kérdést, és iránymutatásokat, ajánlásokat és bevált gyakorlatokat bocsát ki a rendelet következetes alkalmazásának ösztönzése érdekében. ez a rendelet;
f) iránymutatások, ajánlások és legjobb gyakorlatok kibocsátása e bekezdés e) pontjával összhangban a 22. cikk (2) bekezdésében említett profilok létrehozásán alapuló döntések kritériumainak és feltételeinek részletezése érdekében;
g) e bekezdés e) pontja szerinti iránymutatások, ajánlások és bevált gyakorlatok kiadása a személyes adatok biztonságának megsértésének megállapítására, valamint a 33. § (1) és (2) bekezdésében említett indokolatlan késedelem megállapítására, valamint azon különleges esetekre vonatkozóan, amikor az üzemeltetőnek vagy az üzemeltető által meghatalmazott személynek bejelentési kötelezettsége van a személyes adatok biztonságának megsértéséről;
h) iránymutatások, ajánlások és bevált gyakorlatok kibocsátása e bekezdés e) pontjával összhangban azokra a körülményekre vonatkozóan, amelyekben a személyes adatok biztonságának megsértése nagy kockázatot jelenthet az említett természetes személyek jogaira és szabadságaira nézve. a 34. cikk (1) bekezdésében;
i) iránymutatások, ajánlások és bevált gyakorlatok kibocsátása e bekezdés e) pontjával összhangban a személyes adatok továbbítására vonatkozó kritériumok és követelmények részletezése érdekében a kötelező vállalati szabályok alapján, amelyeket az üzemeltetőknek be kell tartaniuk, és amelyek kötelezőek. az üzemeltetők által felhatalmazott személyek tiszteletben tartsák, valamint az érintettek személyes adatainak a 47. cikkben említett védelmének biztosításához szükséges további követelmények tekintetében;
j) iránymutatások, ajánlások és bevált gyakorlatok kiadása e bekezdés e) pontjával összhangban a 49. cikk (1) bekezdésében említett személyes adatok továbbítására vonatkozó kritériumok és követelmények részletezése érdekében;
k) iránymutatások kidolgozása a felügyeleti hatóságok számára az 58. cikk (1), (2) és (3) bekezdésében említett intézkedések alkalmazására vonatkozóan, valamint a 83. cikkel összhangban közigazgatási bírság megállapítása;
l 22. tól Javítás tól
23. május 2018.)
m) iránymutatások, ajánlások és bevált gyakorlatok kibocsátása e bekezdés e) pontjával összhangban annak érdekében, hogy az 54. cikk (2) bekezdésével összhangban közös jelentési eljárásokat hozzanak létre a természetes személyek e rendelet megsértése esetén;
n) magatartási kódexek kidolgozásának és tanúsítási mechanizmusok, valamint pecsétek és jelölések kialakításának ösztönzése az adatvédelem területén, a 40. és 42. cikkel összhangban;
l) az iránymutatások, ajánlások és jó gyakorlatok gyakorlati alkalmazásának felülvizsgálata; (23. május 2018-án 70. cikk (1) bekezdés, VII. fejezet L. pontja 3. ponttal módosított
o) a 42. § (5) bekezdése szerinti tanúsítási kritériumok jóváhagyása és nyilvános nyilvántartás vezetése
tanúsítási mechanizmusok és adatvédelmi pecsétek és jelölések a 42. cikk (8) bekezdése szerint, valamint a tanúsított üzemeltetők vagy az üzemeltetők által felhatalmazott személyek
a 42. cikk (7) bekezdése értelmében harmadik országokban letelepedett (letelepedett) tanúsítványok;
(23. május 2018-án 70. cikk (1) bekezdés, VII. fejezet O. pontja, 3. pontja helyesbítette p.
unctul 23. tól Helyreigazítás tól
23. május 2018.)
p) jóváhagyja a 43. § (3) bekezdésében említett követelményeket a testületek akkreditálása érdekében.
a 43. cikkben említett tanúsítás;
(23. május 2018-i állapot, 70. cikk (1) bekezdés, lit
ra P. a VII. fejezet 3. pontja a 24. ponttal helyesbített tól Helyesbítés tól
23. május 2018.)
q) véleményt nyújt be a Bizottságnak a 43. cikk (8) bekezdésében említett tanúsítási követelményekről; r) véleményt nyújtson be a Bizottságnak a 12. cikk (7) bekezdésében említett piktogramokról;
s) véleményt nyújtson be a Bizottságnak egy harmadik országban vagy nemzetközi szervezetben a védelem szintje megfelelőségének értékelésére, beleértve annak meghatározását, hogy egy harmadik ország, egy terület vagy egy vagy több meghatározott ágazata az adott harmadik országnak, vagy egy nemzetközi szervezet már nem biztosítja a megfelelő szintű védelmet. Ebből a célból a Bizottság az összeset a bizottság rendelkezésére bocsátja
a szükséges dokumentáció, beleértve a harmadik ország hatóságaival, az adott harmadik országgal, területtel vagy ágazattal vagy a nemzetközi szervezettel folytatott levelezést;
t) véleményt nyilvánít a felügyeleti hatóságok határozattervezeteiről a 64. cikk (1) bekezdésében említett következetességet biztosító mechanizmusnak megfelelően a 64. cikk (2) bekezdése szerint előterjesztett ügyekben, és kötelező erejű határozatokat bocsát ki a 65. cikk (66) bekezdése szerint. XNUMX. cikk, beleértve a XNUMX. cikkben említett eseteket is;
u) a felügyeleti hatóságok közötti együttműködés, valamint az információk és a legjobb gyakorlatok hatékony két- és többoldalú cseréjének elősegítése;
v. a közös képzési programok előmozdítása és a személyzeti csere elősegítése a felügyeleti hatóságok között, valamint adott esetben harmadik országok felügyeleti hatóságaival vagy nemzetközi szervezetekkel;
w) az adatvédelmi jogszabályokkal és gyakorlatokkal kapcsolatos ismeretek és dokumentumok cseréjének elősegítése az adatvédelmi felügyeleti hatóságokkal világszerte;
x) véleményt nyilvánít a 40. cikk (9) bekezdése alapján uniós szinten kidolgozott magatartási kódexekkel kapcsolatban; és
y) a nyilvánosság számára hozzáférhető elektronikus nyilvántartást a felügyeleti hatóságok és a bíróságok határozatairól a koherencia biztosításának mechanizmusa keretében tárgyalt ügyekben.
(2) Ha a Bizottság konzultál a bizottsággal, az ügy sürgősségére tekintettel határidőt jelölhet.
(3) A bizottság továbbítja véleményét, iránymutatásait, ajánlásait és bevált gyakorlatait a Bizottságnak és a 93. cikkben említett bizottságnak, és nyilvánosságra hozza azokat.
(4) A bizottság szükség esetén konzultál az érdekelt felekkel, és lehetőséget biztosít számukra észrevételeik ésszerű határidőn belüli megtételére. A 76. cikk rendelkezéseinek sérelme nélkül a bizottság közzéteszi a konzultációs eljárás eredményeit.
71. cikk: Jelentések
(1) A bizottság éves jelentést készít a természetes személyeknek az Unióban és adott esetben harmadik országokban és nemzetközi szervezetekben történő adatkezeléssel szembeni védelméről. A jelentést hozzáférhetővé teszik a nyilvánosság számára, és megküldik az Európai Parlamentnek, a Tanácsnak és a Bizottságnak.
(2) Az éves jelentés tartalmazza a 70. cikk (1) bekezdésének l) pontjában említett iránymutatások, ajánlások és jó gyakorlatok gyakorlati alkalmazásának áttekintését, valamint a 65. cikkben említett kötelező határozatokat.
72. cikk: Eljárás
(1) A bizottság – e rendelet eltérő rendelkezése hiányában – tagjainak egyszerű szótöbbségével hozza meg határozatait.
(2) A bizottság tagjai kétharmados többségével elfogadja saját ügyrendjét, és megszervezi működési mechanizmusait.
73. cikk: Az elnök
(1) A bizottság tagjai közül egyszerű szótöbbséggel elnököt és két alelnököt választ. (2) Az elnök és az alelnökök megbízatása öt évre szól, és csak egyszer újítható meg.
74. cikk: Az elnök feladatai
(1) Az elnök az alábbi feladatokat látja el:
a) a bizottsági ülések összehívása és a napirend megállapítása;
b) a bizottság által a 65. cikkel összhangban hozott határozatokról értesíteni kell a fő felügyeleti hatóságokat és az érintett felügyeleti hatóságokat;
c) a bizottság feladatainak időben történő teljesítésének biztosítása, különös tekintettel a 63. cikkben említett koherencia biztosítására szolgáló mechanizmusra.
(2) A bizottság szabályzatában és eljárási rendjében megállapítja az elnök és az alelnökök közötti feladatmegosztást.
75. cikk: A Titkárság
(1) A bizottság titkársággal rendelkezik, amelyet az Európai Adatvédelmi Hatóság lát el.
(2) A titkárság feladatait kizárólag a bizottsági elnök utasítása alapján látja el.
(3) Az Európai Adatvédelmi Hatóságnak az e rendelet alapján a bizottságra ruházott feladatok ellátásában részt vevő munkatársairól külön beszámolási sorok vonatkoznak az Európai Adatvédelmi Hatóságra ruházott feladatok ellátásában részt vevő személyzet vonatkozásában. Hatóság. (4) Adott esetben a bizottság és az Európai Adatvédelmi Hatóság egyetértési nyilatkozatot készít és tesz közzé e cikk végrehajtása érdekében, amely meghatározza az együttműködés feltételeit, és vonatkozik az Európai Adatvédelmi Hatóság azon személyzetére, akik részt vesznek a végrehajtásban. az e rendelet alapján a bizottságra ruházott feladatokat. (5) A titkárság elemzési, adminisztratív és logisztikai támogatást nyújt a bizottságnak.
(6) A Titkárság különösen a következőkért felel:
a) a bizottság tevékenységének mindenkori irányítása;
b) kommunikáció a bizottság tagjai, elnöke és a Bizottság között;
c) kommunikáció más intézményekkel és a nyilvánossággal;
d) a belső és külső kommunikáció elektronikus eszközeinek használata;
e) a vonatkozó információk fordítása;
f) a bizottsági üléseket követő intézkedések előkészítése és nyomon követése;
g) a felügyeleti hatóságok közötti viták rendezésére vonatkozó vélemények, döntések, valamint a bizottság által elfogadott egyéb szövegek elkészítése, megfogalmazása és közzététele.
76. cikk: Titoktartás
(1) A bizottságon belüli megbeszélések bizalmasak, ha a bizottság ezt a rendeletben vagy eljárásban foglaltaknak megfelelően szükségesnek tartja.
(2) A bizottsági tagok, szakértők és harmadik felek képviselői számára bemutatott dokumentumokhoz való hozzáférést az 1049. sz. Az Európai Parlament és a Tanács 2001/1.
(1) A 1049/2001. Az Európai Parlament és a Tanács 30. május 2001-i 145/31.5.2001 sz. rendelete az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 43., XNUMX., XNUMX. o.).
VIII. FEJEZET: Jogorvoslat, felelősség és szankciók
77. cikk: A felügyeleti hatósághoz történő panasztétel joga
(1) Az egyéb közigazgatási vagy bírósági jogorvoslati lehetőségek sérelme nélkül, minden érintettnek jogában áll panasszal élni a felügyeleti hatóságnál, különösen abban a tagállamban, amelyben szokásos tartózkodási helye van, ahol a telephelye található. a munkavégzés helye, vagy ahol az állítólagos jogsértés történt, ha úgy ítéli meg, hogy a rá vonatkozó személyes adatok kezelése sérti ezt a rendeletet.
(2) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a panasz elbírálásáról és eredményéről, ideértve a 78. § szerinti bírósági fellebbezés gyakorlásának lehetőségét is.
78. cikk: A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
(1) Az egyéb közigazgatási vagy nem bírósági jogorvoslati lehetőségek sérelme nélkül, minden természetes vagy jogi személynek joga van hatékony bírósági jogorvoslatot élni a felügyeleti hatóság őt érintő, kötelező erejű határozatával szemben.
(2) Az egyéb közigazgatási vagy nem bírósági jogorvoslatok sérelme nélkül minden érintettnek joga van hatékony bírósági jogorvoslathoz, ha az 55. és 56. cikk szerint illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy nem tájékoztatja a az érintett három hónapon belül a 77. § szerint benyújtott panasz előrehaladásáról vagy megoldásáról.
(3) A felügyeleti hatósággal szemben indított keresetet a felügyeleti hatóság székhelye szerinti tagállam bíróságai előtt indítják.
(4) Ha a kereset olyan felügyeleti hatósági határozat ellen irányul, amelyet a koherencia biztosítására szolgáló mechanizmus keretében vélemény vagy bizottsági határozat előzött meg, a felügyeleti hatóság a véleményt vagy határozatot továbbítja a bíróságnak.
79. cikk: Hatékony bírósági jogorvoslathoz való jog az üzemeltetővel vagy az üzemeltető által meghatalmazott személlyel szemben
(1) A rendelkezésre álló közigazgatási vagy nem bírósági jogorvoslat sérelme nélkül, ideértve a 77. cikk szerinti panaszt a felügyeleti hatósághoz benyújtani, minden érintett jogosult hatékony bírósági jogorvoslat gyakorlására, ha úgy ítéli meg, hogy a az e rendelet szerinti előnyöket megsértették személyes adatainak e rendelet betartása nélküli kezelése következtében.
(2) Az üzemeltető vagy az üzemeltető által meghatalmazott személy ellen indított keresetet annak a tagállamnak a bírósága előtt terjesztik elő, ahol az üzemeltető vagy az üzemeltető által meghatalmazott személy székhelye található. Alternatív megoldásként az ilyen kereset annak a tagállamnak a bíróságai előtt is benyújtható, ahol az érintett személy szokásos tartózkodási helye van, kivéve, ha az üzemeltető vagy az üzemeltető által meghatalmazott személy valamely tagállam hatósága, amely hatáskörének gyakorlása során jár el. közhatalmak .
80. cikk: Az érintett személyek képviselete
(1) Az érintett jogosult arra, hogy a nemzeti jog szerint szabályszerűen alakult közhasznú testületet, szervezetet vagy egyesületet megbízzon, amelynek törvényi céljai közérdekűek, és amely a jogvédelem területén tevékenykedik. és az érintettek személyes adataik védelmével kapcsolatos szabadságjogait, hogy nevükben panaszt nyújtsanak be, nevükben gyakorolják a 77., 78. és 79. cikkben említett jogaikat, valamint gyakorolják a kártérítéshez való jogukat. a 82. cikket az érintett személy nevére, ha ezt a nemzeti jog előírja.
(2) A tagállamok rendelkezhetnek úgy, hogy az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület az érintett személy megbízatásától függetlenül jogosult panasszal élni az adott tagállamban a felügyelethez. 77. cikk szerint illetékes hatóság, valamint a 78. és 79. cikkben említett jogok gyakorlása, ha úgy ítéli meg, hogy az adatkezelés eredményeként az érintett e rendelet szerinti jogait megsértették.
81. cikk: Az eljárás felfüggesztése
(1) Ha valamely tagállam illetékes bíróságának tudomása van arról, hogy egy másik tagállam bírósága előtt azonos tárgyú kereset van folyamatban ugyanazon üzemeltető vagy az üzemeltető által meghatalmazott ugyanazon személy adatkezelési tevékenysége miatt, az illetékes bíróság felveszi a kapcsolatot. a másik tagállam bíróságát, hogy megerősítse az ilyen cselekmények meglétét.
(2) Ha egy másik tagállam bírósága előtt ugyanazon szolgáltató vagy az üzemeltető által meghatalmazott ugyanazon személy adatkezelési tevékenységével kapcsolatban ugyanazon tárgyú kereset van folyamatban, az eredetileg bejelentett bíróságon kívül bármely más illetékes bíróság felfüggesztheti a keresetet. függőben vele.
(3) Ha az ilyen keresetet az első bíróságon tárgyalják, bármely utólag átutalt bíróság az egyik fél kérelmére szintén megtagadhatja joghatóságát, feltéve, hogy az említett kereset az elsőként utalt bíróság joghatósága alá tartozik, és a rá vonatkozó jog lehetővé teszi a cselekmények összekapcsolását.
82. cikk: A kártérítéshez való jog és a felelősség
(1) Aki e rendelet megsértése miatt anyagi vagy erkölcsi kárt szenvedett, az elszenvedett kárért az üzemeltetőtől vagy az üzemeltető által meghatalmazott személytől kártérítést kérhet.
(2) Az adatkezelési műveletekben részt vevő bármely üzemeltető felelősséggel tartozik a jelen szabályzatot sértő adatkezelési műveletei által okozott károkért. Az üzemeltető által meghatalmazott személy csak abban az esetben felelős az adatkezeléssel okozott kárért, ha nem tett eleget a jelen szabályzatban foglalt, kifejezetten az üzemeltető által meghatalmazott személyekre háruló kötelezettségeinek, vagy az üzemeltető jogszabályi utasításain kívül vagy azzal ellentétes módon járt el. .
(3) Az üzemeltető vagy az üzemeltető által meghatalmazott személy mentesül a (2) bekezdés szerinti felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért semmilyen felelősséget nem vállal.
(4) Ha több üzemeltető vagy az üzemeltető által meghatalmazott több személy, vagy egy üzemeltető és az üzemeltető által meghatalmazott személy vesz részt (vonnak be) egy adatkezelési műveletbe, és a (2) és (3) bekezdés szerint válaszol az adatkezeléssel okozott kárért minden egyes üzemeltető vagy az üzemeltető által meghatalmazott személy felelős (felelős) a teljes kárért az érintett tényleges kártérítésének biztosítása érdekében.
(5) Abban az esetben, ha az üzemeltető vagy az üzemeltető által meghatalmazott személy a (4) bekezdés szerint az okozott kár teljes megtérítését megfizette, az érintett üzemeltető, vagy az üzemeltető által meghatalmazott személy jogosult. a (2) bekezdésben meghatározott feltételek szerint kérni a többi üzemeltetőtől vagy az üzemeltető által az azonos adatfeldolgozási műveletben részt vevő más személyektől a kártérítés azon részének visszakövetelését, amely megfelel a kárért való felelősségüknek.
(6) A kifizetett kártérítés behajtási jogának gyakorlása iránti keresetet a 79. cikk (2) bekezdésében említett tagállam joga alapján az illetékes bíróságok elé terjesztik.
83. cikk: A közigazgatási bírság kiszabásának általános feltételei
(1) Valamennyi felügyeleti hatóság gondoskodik arról, hogy az e rendelet (4), (5) és (6) bekezdésben említett megsértése miatt e cikk szerinti közigazgatási bírság kiszabása minden esetben hatékony, arányos és visszatartó erejű legyen. .
(2) Az 58. § (2) bekezdésének a)-h) és j) pontjaiban említett intézkedések mellett vagy helyett közigazgatási bírság kiszabására az egyes esetek körülményeitől függően kerül sor. A közigazgatási bírság kiszabásáról és a közigazgatási bírság összegéről szóló döntés meghozatalakor minden egyes esetben megfelelő figyelmet fordítanak a következő szempontokra:
a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, terjedelmét vagy célját, valamint az érintett érintettek számát és az őket ért kár mértékét;
b) ha a jogsértést szándékosan vagy gondatlanságból követték el;
c) az üzemeltető vagy az üzemeltető által meghatalmazott személy által az érintett személy által elszenvedett kár csökkentése érdekében tett minden intézkedés;
d) az üzemeltető vagy az üzemeltető által felhatalmazott személy felelősségének mértéke, figyelembe véve az általuk a 25. és 32. cikk alapján végrehajtott műszaki és szervezési intézkedéseket; e) az üzemeltető vagy az üzemeltető által meghatalmazott személy által korábban elkövetett releváns jogsértések;
f) a felügyeleti hatósággal való együttműködés mértéke a jogsértés orvoslása és a jogsértés esetleges negatív hatásainak mérséklése érdekében;
g) az incidens által érintett személyes adatok kategóriái;
h) a szabálysértésre a felügyeleti hatóság tudomására jutásának módja, különösen, hogy az üzemeltető vagy az üzemeltető által meghatalmazott személy értesítette-e, és milyen mértékben;
i) ha az üzemeltetővel vagy az üzemeltető által az ügyben meghatalmazott személlyel szemben az 58. § (2) bekezdésében említett intézkedéseket korábban ugyanazon tárgy vonatkozásában rendelték el, az intézkedések betartását;
j) a 40. cikkel összhangban jóváhagyott magatartási kódexek vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusok betartása; és
k) az eset körülményeire alkalmazható egyéb súlyosbító vagy enyhítő körülmény, mint például a jogsértésből közvetlenül vagy közvetve szerzett vagyoni haszon vagy elkerült veszteség.
(3) Ha az üzemeltető vagy az üzemeltető által meghatalmazott személy szándékosan vagy gondatlanságból ugyanazon adatkezelési műveletre vagy az ahhoz kapcsolódó adatkezelési műveletekre e rendelet több rendelkezését megsérti, a közigazgatási bírság együttes összege nem haladhatja meg az e rendeletben meghatározott összeget. legsúlyosabb megsértése.
(4) Az alábbi rendelkezések megsértéséért a (2) bekezdésben foglaltak szerint 10 000 000 euróig terjedő közigazgatási bírság, vállalkozás esetén a törvény 2%-áig terjedő bírság.
az előző pénzügyi évnek megfelelő teljes éves globális üzleti tevékenység, figyelembe véve a legmagasabb értéket:
a) az üzemeltető és az üzemeltető által meghatalmazott személy kötelezettségei a 8., 11., 25-39., 42. és 43. cikkek szerint;
b) a tanúsító szervezet kötelezettségei a 42. és 43. cikkel összhangban;
c) az ellenőrző szerv 41. § (4) bekezdése szerinti kötelezettségei.
(5) Az alábbi rendelkezések megsértéséért a (2) bekezdés szerint 20 000 000 euróig terjedő közigazgatási bírság, vállalkozás esetén az előző pénzügyi évnek megfelelő teljes éves világméretű forgalom 4%-áig terjedő közigazgatási bírság. alkalmazzák, figyelembe véve a legmagasabb értéket:
a) a feldolgozás alapelvei, beleértve a hozzájárulás feltételeit is, az 5., 6., 7. és 9. cikkel összhangban;
b) az érintett személyek jogai a 12-22. cikkekkel összhangban;
c) személyes adatok harmadik országból vagy nemzetközi szervezetből származó címzett részére történő továbbítása a 44–49. cikkekkel összhangban;
d) a IX. fejezet szerint elfogadott nemzeti jogszabályok szerinti kötelezettségek;
e) a felügyeleti hatóság által az 58. cikk (2) bekezdése alapján kiadott végzés vagy az adatkezelés ideiglenes vagy végleges korlátozásának, illetve az adatáramlás felfüggesztésének elmulasztása, vagy a hozzáférés elmulasztása az 58. cikk (1) bekezdésének megsértésével. XNUMX).
(6) A felügyeleti hatóság által az 58. § (2) bekezdése szerint kiadott végzés megsértéséért e § (2) bekezdése szerint 20 000 000 euróig terjedő közigazgatási bírsággal sújtható, ill. egy vállalkozás, az előző pénzügyi évnek megfelelő éves világméretű forgalom legfeljebb 4%-a, a legmagasabb értéket is figyelembe véve. (7) Az 58. cikk (2) bekezdésében említett felügyeleti hatóságok korrekciós jogkörének sérelme nélkül, minden tagállam szabályokat írhat elő annak megállapítására, hogy kiszabható-e közigazgatási bírság a hatósággal és köztestülettel szemben, és ha igen, milyen mértékben. az adott tagállam.
(8) A felügyeleti hatóság az e cikk szerinti hatásköreit az uniós joggal és a nemzeti joggal összhangban álló megfelelő eljárási garanciák megléte mellett gyakorolhatja, ideértve a hatékony bírósági fellebbezést és a tisztességes eljáráshoz való jogot.
(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírság kiszabásáról, e cikk úgy is alkalmazható, hogy a bírságot az illetékes felügyeleti hatóság kezdeményezi és az illetékes nemzeti bíróság szabja ki, egyúttal garantálva a tény, hogy ezek a fellebbezések hatékonyak és a felügyeleti hatóságok által kiszabott közigazgatási bírságokkal azonos hatásúak. Mindenesetre a kiszabott bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie. Az érintett tagállamok 25. május 2018-ig tájékoztatják a Bizottságot az e bekezdés alapján általuk elfogadott nemzeti jog rendelkezéseiről, valamint haladéktalanul minden módosító jogszabályról vagy annak későbbi módosításáról.
84. cikk: Szankciók
(29. december 2017-én a VIII. fejezet 84. cikke a 2226/30. november 2017-i rendelethez kapcsolódott)
(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó egyéb szankciókra vonatkozó szabályokat, különösen azokra a jogsértésekre vonatkozóan, amelyekre a 83. cikk értelmében nem szabnak ki közigazgatási bírságot, és minden szükséges intézkedést megtesznek azok végrehajtásának garantálására. A vonatkozó szankciók hatékonyak, arányosak és visszatartó erejűek.
(2) Minden tagállam 1. május 25-ig tájékoztatja a Bizottságot az (2018) bekezdés alapján általa elfogadott nemzeti jog rendelkezéseiről, valamint azok későbbi módosításáról.
IX. FEJEZET: Különleges feldolgozási helyzetekre vonatkozó rendelkezések
85. cikk: Feldolgozás, véleménynyilvánítás és információszabadság
(1) A tagállamok belső joguk révén biztosítják az egyensúlyt a személyes adatok e rendelet szerinti védelméhez való jog és a véleménynyilvánítás szabadságához, valamint
információk, beleértve az újságírói célú vagy tudományos, művészeti vagy irodalmi kifejezési célú feldolgozást.
(2) Az újságírói célból, illetve tudományos, művészi vagy irodalmi kifejezésmód céljából végzett adatkezelések esetében a tagállamok mentességet vagy eltérést biztosítanak a II. fejezet (elvek), a III. fejezet (az érintett jogai) rendelkezései alól. ), a IV. fejezet (az üzemeltető és az üzemeltető által meghatalmazott személy), az V. fejezet (személyes adatok továbbítása harmadik országokba vagy nemzetközi szervezetekbe), a VI. fejezet (független felügyeleti hatóságok), a VII. fejezet (együttműködés és koherencia) fejezetének (az adatkezelés sajátos helyzetei), valamint a IX.
(3) Minden tagállam tájékoztatja a Bizottságot a (2) bekezdés alapján általa elfogadott nemzeti jog rendelkezéseiről, valamint haladéktalanul minden olyan jogszabályt módosító vagy későbbi módosításáról.
86. cikk: Hivatalos dokumentumok feldolgozása és nyilvános hozzáférés
A hatóság vagy közjogi vagy magánjogi szerv közérdekű feladat ellátása céljából birtokában lévő hivatalos iratokból származó személyes adatokat az adott hatóság vagy szerv az uniós jognak vagy annak a belső jognak megfelelően nyilvánosságra hozhatja, amely alapján a hatóság, ill. a testület a hivatalos dokumentumokhoz való nyilvános hozzáférés és a személyes adatok védelméhez való e rendelet szerinti jog közötti egyensúly megteremtése érdekében.
87. cikk: Nemzeti azonosító szám feldolgozása
A tagállamok tovább részletezhetik a nemzeti azonosító szám vagy bármely más általános érvényű azonosító feldolgozásának különleges feltételeit. Ebben az esetben a nemzeti azonosító szám vagy bármely más általános érvényű azonosító csak az érintett személy e rendelet szerinti jogainak és szabadságainak megfelelő garanciái alapján kerül felhasználásra.
rt. 88: Feldolgozás a foglalkoztatással összefüggésben
(1) A tagállamok törvényben vagy kollektív szerződésben részletesebb szabályokat állapíthatnak meg a jogok és szabadságok védelmének biztosítására a munkavállalók személyes adatainak foglalkoztatással összefüggésben történő feldolgozásával kapcsolatban, különös tekintettel a munkaerő-felvételre, a munkaviszony teljesítésére. a munkaszerződés kikötései, ideértve a törvényben vagy kollektív szerződésben megállapított kötelezettségek teljesítését, a munka irányítását, tervezését és megszervezését, a munkahelyi egyenlőséget és sokszínűséget, a munkahelyi egészség és biztonság biztosítását, védelmét. a munkáltató vagy az ügyfél vagyonát, valamint a munkaviszonyhoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és gyakorlása, valamint a munkaviszony megszüntetése céljából.
(2) E szabályok megfelelő és konkrét intézkedéseket tartalmaznak az érintett személyek emberi méltóságának, jogos érdekeinek és alapvető jogainak biztosítására, különös tekintettel az adatkezelés átláthatóságára, a személyes adatok cégcsoporton vagy csoporton belüli továbbítására. a közös gazdasági tevékenységet folytató vállalkozások és a munkahelyi monitoringrendszerek.
(3) Minden tagállam 1. május 25-ig tájékoztatja a Bizottságot az (2018) bekezdés alapján általa elfogadott nemzeti jog rendelkezéseiről, valamint azok későbbi módosításáról.
89. cikk: A közérdekű archiválási, tudományos vagy történelmi kutatási vagy statisztikai célú feldolgozásra vonatkozó garanciák és lemondások.
(1) A közérdekű archiválási, tudományos vagy történeti kutatási, illetve statisztikai célú feldolgozás az érintettek jogaira és szabadságaira vonatkozó, e rendelet szerinti megfelelő garanciák megléte mellett történik. A megfelelő garanciák biztosítják, hogy a szükséges technikai és szervezési intézkedéseket meghozzák különösen az adatminimalizálás elvének való megfelelés érdekében. Ezek az intézkedések magukban foglalhatják a pszeudonimizálást, feltéve, hogy a vonatkozó célok ily módon teljesülnek. Ha az érintett célokat olyan utólagos adatkezeléssel lehet teljesíteni, amely nem teszi lehetővé, vagy már nem teszi lehetővé az érintett személyek azonosítását, akkor az adott célok ily módon teljesülnek.
(2) Ha a személyes adatokat tudományos vagy történelmi kutatási vagy statisztikai célból dolgozzák fel, az uniós jog vagy a belső jog mentességet írhat elő a 15., 16., 18. és 21. cikkben említett jogok alól, a 1., XNUMX., XNUMX. és XNUMX. cikkben említett jogok alól, figyelemmel a XNUMX., XNUMX., XNUMX. és XNUMX. cikkben meghatározott feltételekre és garanciákra. § (XNUMX) bekezdésében foglaltak szerint, amennyiben az illető jogok olyan jellegűek, hogy a meghatározott célok elérését lehetetlenné teszik vagy súlyosan befolyásolják, és az eltérések e célok eléréséhez szükségesek.
(3) Ha a személyes adatokat közérdekű archiválási célból dolgozzák fel, az uniós jog vagy a nemzeti jog a 15., 16., 18., 19., 20. és 21. cikkben említett jogok alól mentességet írhat elő, a biztosított feltételek és garanciák függvényében. § (1) bekezdésében foglaltak szerint, amennyiben az illető jogok a meghatározott célok elérését lehetetlenné teszik vagy súlyosan befolyásolják, és az ezektől való eltérések e célok eléréséhez szükségesek.
(4) Ha a (2) és (3) bekezdésben említett adatkezelés egyidejűleg más célt is szolgál, az eltérések csak a mindenkori bekezdésben említett célból történő adatkezelésre vonatkoznak.
90. cikk: Titoktartási kötelezettségek
(1) A tagállamok különleges szabályokat fogadhatnak el a felügyeleti hatóságoknak az 58. cikk (1) bekezdésének e) és f) pontjában meghatározott hatásköreinek megállapítására az olyan üzemeltetők vagy üzemeltetők által felhatalmazott személyek tekintetében, akik az uniós jog szerint. vagy a nemzeti jog vagy az illetékes nemzeti szervek által megállapított szabályok értelmében kötelesek a szakmai titoktartásra vagy más egyenértékű titoktartási kötelezettségre, ha ez szükséges és arányos a személyes adatok védelméhez való jog és a személyes adatok védelméhez való jog közötti egyensúly megteremtéséhez és arányos. titoktartási kötelezettség. A vonatkozó szabályok csak azokra a személyes adatokra vonatkoznak, amelyeket az üzemeltető vagy az üzemeltető által meghatalmazott személy e titoktartási kötelezettség alá tartozó tevékenység eredményeként vagy annak keretében kapott. (2) Minden tagállam 1. május 25-ig értesíti a Bizottságot az (2018) bekezdés szerint elfogadott szabályokról, valamint azok későbbi módosításairól.
91. cikk: Az egyházak és vallási egyesületek adatvédelmére vonatkozó hatályos normák
(1) Ha valamely tagállamban az egyházak és vallási egyesületek vagy közösségek e rendelet hatálybalépésének napján a természetes személyek védelmére az adatkezelés tekintetében átfogó szabályrendszert alkalmaznak, e szabályok továbbra is alkalmazni kell, feltéve, hogy összhangban vannak e rendelettel.
(2) Azok az egyházak és vallási egyesületek, amelyek e cikk (1) bekezdése szerint átfogó szabályrendszert alkalmaznak, külön meghatározható független felügyeleti hatóság felügyelete alatt állnak, feltéve, hogy megfelelnek a törvény VI. ezt a rendeletet.
X. FEJEZET: Felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok
92. cikk: A felhatalmazás gyakorlása
(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozó hatáskört az e cikkben meghatározott feltételek szerint ruházzák a Bizottságra.
(2) A 12. cikk (8) bekezdésében és a 43. cikk (8) bekezdésében meghatározott felhatalmazás 24. május 2016-től határozatlan időre szól.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 12. cikk (8) bekezdésében és a 43. cikk (8) bekezdésében említett felhatalmazást. A visszavonó határozat megszünteti az adott határozatban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon vagy a határozatban említett későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul egyidejűleg értesíti az Európai Parlamentet és a Tanácsot.
(5) A 12. cikk (8) bekezdésével és a 43. cikk (8) bekezdésével összhangban elfogadott felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha sem az Európai Parlament, sem a Tanács nem emelt kifogást az arról szóló értesítéstől az Európai Parlamentnek és a Tanácsnak küldött három hónapon belül. Tanács, vagy be
ha az adott időszak lejárta előtt az Európai Parlament és a Tanács tájékoztatta a Bizottságot, hogy nem emel kifogást. Az Európai Parlament vagy a Tanács kezdeményezésére az adott időszak három hónappal meghosszabbodik.
93. cikk: Bizottsági eljárás
(1) A bizottság munkáját bizottság segíti. Az érintett bizottság az (EU) rendelet értelmében vett bizottság. 182/2011.
(2) Az e bekezdésre történő hivatkozás esetén az (EU) sz. 5/182.
(3) Az e bekezdésre történő hivatkozás esetén az (EU) 8. sz. 182/2011, az említett rendelet 5. cikkével összefüggésben.
XI. FEJEZET: Záró rendelkezések
94. cikk: A 95/46/EK irányelv hatályon kívül helyezése
(1) A 95/46/EK határozat 25. május 2018-i hatállyal hatályát veszti.
(2) A hatályon kívül helyezett irányelvre való hivatkozásokat e rendeletre való hivatkozásként kell értelmezni. A 29/95/EK irányelv 46. cikke által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoportra való hivatkozásokat az e rendelettel létrehozott Európai Adatvédelmi Bizottságra való hivatkozásként kell értelmezni.
95. cikk: Kapcsolat a 2002/58/EK irányelvvel
Ez a rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az Unióban a nyilvános hírközlő hálózatokban a nyilvánosságnak szánt elektronikus hírközlési szolgáltatások nyújtásával kapcsolatos adatkezelések tekintetében, azon szempontok tekintetében, amelyek tekintetében külön kötelezettségeik vannak a ugyanaz a cél, mint a 2002/58/EK irányelv.
96. cikk: Kapcsolat a korábban megkötött megállapodásokkal
A tagállamok által 24. május 2016. előtt kötött, az ezen időpont előtt hatályos uniós joggal összhangban lévő, a személyes adatok harmadik országokba vagy nemzetközi szervezetekbe történő továbbítását magában foglaló nemzetközi megállapodások módosításuk, lecserélésükig hatályban maradnak. vagy visszavonták.
97. cikk: Bizottsági jelentések
(1) A Bizottság 25. május 2020-ig, majd ezt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet értékeléséről és felülvizsgálatáról. A jelentéseket nyilvánosságra hozzák.
(2) Az (1) bekezdésben említett értékelések és felülvizsgálatok keretében a Bizottság különösen a következők alkalmazását és működését vizsgálja:
a) a személyes adatok harmadik országokba vagy nemzetközi szervezetekbe történő továbbítására vonatkozó V. fejezet, különös tekintettel az e rendelet 45. cikkének (3) bekezdése alapján hozott határozatokra, valamint az irányelv 25. cikkének (6) bekezdése alapján hozott határozatokra. 95/46/CE;
b) az együttműködésről és a koherenciáról szóló VII.
(3) Az (1) bekezdés alkalmazásában a Bizottság tájékoztatást kérhet a tagállamoktól és a felügyeleti hatóságoktól.
(4) A Bizottság az (1) és (2) bekezdésben említett értékelések és felülvizsgálatok elvégzése során figyelembe veszi az Európai Parlament, a Tanács, valamint más érintett szervek vagy források álláspontját és megállapításait.
(5) A bizottság szükség esetén megfelelő javaslatokat terjeszt elő e rendelet módosítására, különös tekintettel az információtechnológiai fejlődésre és az információs társadalom fejlődésére.
98. cikk: Az Unió egyéb adatvédelmi jogi aktusainak felülvizsgálata
A Bizottság szükség esetén jogalkotási javaslatokat terjeszt elő a személyes adatok védelmével kapcsolatos egyéb uniós jogi aktusok módosítására, a természetes személyek egységes és következetes védelmének biztosítása érdekében az adatkezelés tekintetében. Ez különösen a természetes személyeknek az Unió intézményei, szervei, hivatalai és ügynökségei általi feldolgozás tekintetében történő védelmére vonatkozó szabályokat, valamint ezen adatok szabad áramlására vonatkozó szabályokat érinti.
99. cikk: Hatálybalépés és alkalmazás
(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2) Ezt a rendeletet 25. május 2018-től kell alkalmazni.
Ez a szabályozás minden elemében kötelező, és minden tagállamban közvetlenül alkalmazandó.
-****-
Kelt Brüsszelben, 27. április 2016-én.
JA HENNIS-PLASSCHAERT
Megjelent a Hivatalos Lap 119. május 4-i 2016L számában
az Európai Parlament részéről az elnök
M SCHULZ
A Tanács részéről az elnök
