Egységes szerkezetbe foglalt SZÖVEG: 32016L0680 — HU

Ez a dokumentum kizárólag tájékoztató jellegű és nem vált ki joghatást. Az EU intézményei semmiféle felelősséget nem vállalnak a tartalmáért. A jogi aktusoknak – ideértve azok bevezető hivatkozásait és preambulumbekezdéseit is – az Európai Unió Hivatalos Lapjában közzétett és az EUR-Lex portálon megtalálható változatai tekintendők hitelesnek. Az említett hivatalos szövegváltozatok közvetlenül elérhetők az ebben a dokumentumban elhelyezett linkeken keresztül

a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

(1)

Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.

(2)

A tagállamok ezen irányelvvel összhangban:

védik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat, és

biztosítják, hogy a személyes adatok illetékes hatóságok közötti, Unión belüli cseréje – ha e cserét az uniós vagy tagállami jog írja elő – ne legyen korlátozás vagy tiltás tárgya a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.

(3)

Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az érintettek jogainak és szabadságainak védelme érdekében a személyes adatok illetékes hatóságok által végzett kezelésére az ezen irányelvben megállapítottnál magasabb védelmi szintet biztosító garanciákról rendelkezzenek.

(1)

Ez az irányelv a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett kezelésére alkalmazandó.

(2)

Ezt az irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(3)

Ezen irányelv nem alkalmazandó:

a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésére;

a személyes adatoknak az Unió intézményei, szervei, hivatalai és ügynökségei által végzett kezelésére.

(1)

A tagállamok előírják, hogy a személyes adatok:

kezelését jogszerűen és tisztességesen kell végezni;

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;

pontosnak és ahol szükséges, naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;

kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

(2)

Az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:

az adatkezelő az uniós vagy tagállami joggal összhangban jogosult az említett személyes adatokat az említett célból kezelni, és

az adatkezelés az uniós vagy tagállami joggal összhangban, az említett egyéb cél szempontjából szükséges és arányos.

(3)

Az azonos vagy más adatkezelő által végzett adatkezelésbe beletartozhat az 1. cikk (1) bekezdésében meghatározott célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás is, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak.

(4)

Az adatkezelő felel az (1), (2) és (3) bekezdésnek való megfelelésért, és képesnek kell lennie a megfelelés bizonyítására.

A tagállamok megfelelő határidőket állapítanak meg a személyes adatok törlésére vagy tárolásuk szükségességének rendszeres felülvizsgálatára. E határidők betartását eljárásjogi intézkedésekkel kell biztosítani.

A tagállamok előírják az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között az alábbiak szerint:

A személyes adatok és a személyes adatok minőségének ellenőrzése közötti különbségtétel

(1)

A tagállamok előírják, hogy amennyire lehetséges, különbséget kell tenni a tényeken alapuló és a személyes értékelésen alapuló személyes adatok között.

(2)

A tagállamok az illetékes hatóságok számára előírják, hogy minden észszerű intézkedést tegyenek meg annak biztosítása érdekében, hogy a pontatlan, hiányos vagy már nem naprakész személyes adatokat ne lehessen továbbítani vagy hozzáférhetővé tenni. E célból az illetékes hatóságok a továbbítást vagy hozzáférhetővé tételt megelőzően – amennyire ez a gyakorlatban megvalósítható – ellenőrzik a személyes adatok minőségét. Amennyire lehetséges, minden személyesadat-továbbításkor csatolni kell azokat a szükséges információkat, amelyek lehetővé teszik az adatokat átvevő illetékes hatóság számára, hogy a személyes adatok pontosságát, teljességét, megbízhatóságát és naprakészségét értékelje.

(3)

Ha kiderül, hogy pontatlan személyes adatokat továbbítottak vagy a személyes adatokat jogszerűtlenül továbbították, a címzettet erről haladéktalanul értesíteni kell. Ebben az esetben a 16. cikkel összhangban a személyes adatokat helyesbíteni, törölni vagy az adatkezelést korlátozni kell.

(1)

A tagállamok biztosítják, hogy az adatkezelés csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az 1. cikk (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.

(2)

Az ezen irányelv hatálya alá tartozó adatkezelést szabályozó tagállami jogban rendelkezni kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.

(1)

Az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból gyűjtött személyes adatok az 1. cikk (1) bekezdésében meghatározottaktól eltérő célból nem kezelhetők, kivéve, ha az az ilyen adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Ha személyes adatokat ilyen más célokból kezelnek, az (EU) 2016/679 rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

(2)

Ha a tagállami jog az 1. cikk (1) bekezdésében meghatározott célokból végzett feladatoktól eltérő feladatok elvégzését írja elő az illetékes hatóságok számára, az ilyen célokból történő adatkezelésre, ideértve a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelést is, az (EU) 2016/679 rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

(3)

A tagállamok előírják, hogy ha a továbbító illetékes hatóságra alkalmazandó uniós vagy tagállami jog az adatkezelésre vonatkozóan különös feltételeket ír elő, a továbbító illetékes hatóság tájékoztassa a személyes adatok címzettjét, az említett feltételekről és a betartásukra vonatkozó követelményről.

(4)

A tagállamok előírják, hogy a továbbító illetékes hatóság ne alkalmazzon más tagállambeli címzettekre, illetve az EUMSZ V. címének 4. és 5. fejezete szerint létrehozott ügynökségekre, hivatalokra és szervekre a (3) bekezdés szerinti olyan feltételeket, amelyeket a továbbító illetékes hatóság szerinti tagállamon belüli hasonló adattovábbításokra sem kell alkalmazni.

►C2 A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése csak akkor megengedett ◄ , az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciák mellett, ha arra feltétlenül szükség van és:

(1)

A tagállamok előírják, hogy az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés, amelynek joghatása az érintettre nézve hátrányos vagy őt jelentős mértékben érinti, tilos, kivéve, ha az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintettek jogaira és szabadságaira vonatkozó megfelelő garanciákról is rendelkezik, ideértve legalább az érintett jogát arra, hogy az adatkezelőtől emberi beavatkozást kérjen.

(2)

Az e cikk (1) bekezdésében említett döntések nem alapulhatnak a személyes adatoknak a 10. cikkben említett különleges kategóriáin, kivéve, ha az érintett jogainak, szabadságainak és jogos érdekeinek védelmét megfelelő intézkedések biztosítják.

(3)

A személyes adatok 10. cikk szerinti különleges kategóriái alapján történő olyan profilalkotást, amely a természetes személyekre vonatkozóan megkülönböztetést eredményez, az uniós joggal összhangban tiltani kell.

(1)

A tagállamok előírják, hogy az adatkezelőnek megfelelő lépéseket kell hoznia annak érdekében, hogy az érintett részére az adatok kezelésére vonatkozó, a 13. cikkben említett valamennyi információt és a 11., a 14–18. és a 31. cikk szerinti bármilyen tájékoztatást tömör, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. Az információ bármilyen megfelelő módon – így elektronikus úton is – nyújtható. Az adatkezelő az információkat főszabályként a kérelem formájával megegyező formában nyújtja.

(2)

A tagállamok előírják, hogy az adatkezelőnek elő kell segítenie az érintett 11. és 14–18. cikk szerinti jogainak gyakorlását.

(3)

A tagállamok előírják, hogy az érintettet az adatkezelőnek írásban és indokolatlan késedelem nélkül tájékoztatnia kell kérelme elbírálásának fejleményeiről.

(4)

A tagállamok előírják, hogy a 13. cikk alapján rendelkezésre bocsátott információkat, valamint a 11., a 14–18. és a 31. cikk alapján végzett minden tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő:

▼B

észszerű összegű díjat számíthat fel, figyelemmel a kért információ vagy tájékoztatás nyújtásával, illetve a kért intézkedés meghozatalával járó adminisztratív költségekre; vagy

megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(5)

Ha az adatkezelőnek megalapozott kétségei vannak a 14. vagy 16. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk

(1)

A tagállamok előírják, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania legalább az alábbi információkat:

az adatkezelő személye és elérhetőségei;

adott esetben az adatvédelmi tisztviselő elérhetőségei;

a személyes adatok tervezett kezelésének célja;

panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását.

(2)

Annak érdekében, hogy az érintett gyakorolni tudja jogait, a tagállamok jogszabályban rendelkeznek arról, hogy az adatkezelőnek meghatározott esetekben az (1) bekezdésben említetteken felül tájékoztatnia kell az érintettet:

▼B

az adatkezelés jogalapjáról;

a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

adott esetben a személyes adatok címzettjeinek kategóriáiról, beleértve a harmadik országbeli címzetteket vagy a nemzetközi szervezeteket is;

szükség esetén további információkról, különösen akkor, ha az adatok gyűjtésére az érintett tudomása nélkül került sor.

(3)

A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintett (2) bekezdés szerinti tájékoztatásának annyiban és addig történő késleltetésére, korlátozására vagy mellőzésére, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

biztosított legyen a közbiztonság védelme;

biztosított legyen a nemzetbiztonság védelme;

biztosított legyen mások jogainak és szabadságainak védelme.

(4)

A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen a (3) bekezdés valamely pontjának hatálya alá.

A 15. cikkre is figyelemmel a tagállamok előírják, hogy az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

(1)

A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintettek hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

biztosított legyen a közbiztonság védelme;

biztosított legyen a nemzetbiztonság védelme;

biztosított legyen mások jogainak és szabadságainak védelme.

(2)

A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen az (1) bekezdés a)–e) pontjának hatálya alá.

(3)

A tagállamok előírják, hogy az (1) és (2) bekezdésben említett esetekben az adatkezelőnek írásban haladéktalanul tájékoztatnia kell az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha e tájékoztatás nyújtása ellentétes lenne az (1) bekezdésbe foglalt valamelyik céllal. A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet a felügyeleti hatósághoz címezhető panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

(4)

A tagállamok előírják, hogy az adatkezelőnek nyilván kell tartania a döntés ténybeli vagy jogi indokait. Ezeket az információkat a felügyeleti hatóságok rendelkezésére kell bocsátani.

A személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog

(1)

A tagállamok előírják, hogy az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatok kezelésének célját, a tagállamok előírják, hogy az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

(2)

A tagállamok előírják, hogy az adatkezelőnek indokolatlan késedelem nélkül törölnie kell a személyes adatokat, az érintett pedig jogosult arra, hogy kérésére a rá vonatkozó személyes adatokat az adatkezelő indokolatlan késedelem nélkül törölje, ha az adatkezelés sérti a 4., 8. vagy 10. cikk alapján elfogadott rendelkezéseket, vagy ha a személyes adatokat az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez törölni kell.

(3)

Az adatkezelő törlés helyett korlátozza az adatkezelést, ha:

az érintett vitatja a személyes adatok pontosságát, és azok pontossága vagy pontatlansága nem állapítható meg egyértelműen; vagy

a személyes adatokat bizonyítás céljából meg kell őrizni.

Az adatkezelés első albekezdés a) pontja szerinti korlátozása esetén az adatkezelő az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja az érintettet.

(4)

A tagállamok előírják, hogy az adatkezelőnek az érintettet írásban tájékoztatnia kell a helyesbítésnek, a törlésnek vagy az adatkezelés korlátozásának a megtagadásáról és a megtagadás indokairól. A tagállamok jogalkotási intézkedéseket fogadhatnak el az ilyen információkra vonatkozó tájékoztatási kötelezettség annyiban történő teljes vagy részleges korlátozására, amennyiben e korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül ahhoz, hogy:

ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;

ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;

biztosított legyen a közbiztonság védelme;

biztosított legyen a nemzetbiztonság védelme;

biztosított legyen mások jogainak és szabadságainak védelme.

A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

(5)

A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell a pontatlan személyes adatok helyesbítéséről azt az illetékes hatóságot, amelytől a pontatlan személyes adat származik.

(6)

A tagállamok előírják, hogy amennyiben a személyes adatokat helyesbítették vagy törölték, illetve az adatkezelést korlátozták az (1), (2) és (3) bekezdés szerinti esetekben, az adatkezelőnek értesítenie kell a címzetteket, akiknek vagy amelyeknek saját felelősségi körükön belül kell a személyes adatokat helyesbíteniük vagy törölniük, illetve azok kezelését korlátozniuk.

Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés

(1)

A 13. cikk (3) bekezdése, a 15. cikk (3) bekezdése és a 16. cikk (4) bekezdése szerinti esetekben a tagállamok olyan rendelkezéseket fogadnak el, amelyek értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet.

(2)

A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy jogait a felügyeleti hatóság közreműködésével is gyakorolhatja az (1) bekezdésnek megfelelően.

(3)

Amennyiben az (1) bekezdés szerinti jog gyakorlására sor kerül, a felügyeleti hatóság az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. A felügyeleti hatóság az érintetett a bírósági jogorvoslathoz való jogáról is tájékoztatja.

Az érintettet a bűnügyi nyomozások és büntetőeljárások során megillető jogok

A tagállamok előírhatják, hogy a 13., 14. és 16. cikkben említett jogokat a tagállami joggal összhangban kell gyakorolni, ha a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy jegyzőkönyv vagy ügyirat tartalmazza.

(1)

A tagállamok előírják, hogy az adatkezelőnek az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatok figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából, hogy az adatok kezelése ezen irányelvvel összhangban történik. Ezeket az intézkedéseket felül kell vizsgálni és szükség esetén naprakésszé kell tenni.

(2)

Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

(1)

A tagállamok előírják, hogy az adatkezelőnek a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezésii intézkedéseket – például álnevesítést – kell végrehajtania, amelyek célja egyrészt adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2)

A tagállamok előírják, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítják, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne váljanak hozzáférhetővé meghatározatlan számú személy számára.

(1)

A tagállamok előírják, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, közös adatkezelőnek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák az ezen irányelv teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót kell kijelölni. A tagállamok kijelölhetik, hogy a közös adatkezelők közül melyik az az egyedüli kapcsolattartó, akihez az érintettek jogaik gyakorlása érdekében fordulhatnak.

(2)

Az (1) bekezdésben említett megállapodás feltételeitől függetlenül a tagállamok rendelkezhetnek arról, hogy az érintett az ezen irányelv alapján elfogadott rendelkezések szerinti jogait mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja.

(1)

A tagállamok előírják, hogy ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek kellő garanciákat nyújtanak az adatkezelés ezen irányelv követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2)

A tagállamok előírják, hogy az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezzel a változtatásokkal szemben kifogást emeljen.

(3)

A tagállamok előírják, hogy az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan, az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződésnek vagy más jogi aktusnak különösen elő kell írnia, hogy az adatfeldolgozó:

kizárólag az adatkezelő utasítása alapján jár el;

biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogaira vonatkozó rendelkezéseknek történő megfelelés érdekében;

az adatkezelési szolgáltatásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő;

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben foglaltak teljesítésének igazolásához szükséges;

teljesíti a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (3) bekezdésben említett feltételeket.

(4)

A (3) bekezdésben említett szerződést vagy más jogi aktust írásba – ideértve az elektronikus formátumot is – kell foglalni.

(5)

Ha egy adatfeldolgozó ezen irányelvet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

A tagállamok előírják, hogy az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

(1)

A tagállamok előírják, hogy az adatkezelőknek a felelősségükbe tartozóan végzett adatkezelési tevékenységek kategóriáiról nyilvántartást kell vezetniük. E nyilvántartás a következő információkat tartalmazza:

az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelő és az adatvédelmi tisztviselő neve és elérhetősége;

az adatkezelés céljai;

olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket;

az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

adott esetben a profilalkotás alkalmazásának jelzése;

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbításának kategóriái;

azon adatkezelési művelet, ideértve az adattovábbítást is, jogalapjának megjelölése, amelyre a személyes adatok vonatkoznak;

ha lehetséges, a személyes adatok különböző kategóriáinak törlésére előirányzott határidők;

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

(2)

A tagállamok előírják, hogy minden adatfeldolgozónak nyilvántartást kell vezetnie az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, minden olyan adatkezelő neve és elérhetősége, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatvédelmi tisztviselő neve és elérhetőségei;

az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, ha erre az adatkezelő kifejezetten utasítást ad, ideértve a harmadik ország vagy a nemzetközi szervezet azonosítását is;

ha lehetséges, a 29. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedések általános leírása.

(3)

Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

Az adatkezelő és az adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja az említett nyilvántartást.

(1)

A tagállamok előírják, hogy legalább a következő adatkezelési műveleteket automatizált adatkezelési rendszerben kell naplózni: gyűjtés, megváltoztatás, betekintés, közlés – ideértve a továbbítást is –, összekapcsolás, illetve törlés. A betekintésre és a közlésre vonatkozó naplók lehetővé kell, hogy tegyék e műveletek indokoltságának, dátumának és időpontjának, valamint – lehetőség szerint – a személyes adatba betekintő vagy azt közlő személyek személyazonosságának, illetve az ilyen személyes adatok címzettjei személyazonosságának a megállapítását.

(2)

A naplók kizárólag az adatkezelés jogszerűségének ellenőrzésére, önellenőrzésre, a személyes adatok integritásának és biztonságának szavatolására, valamint büntetőeljárások keretében használhatók fel.

(3)

Az adatkezelő és az adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja a a naplókat.

A tagállamok előírják, hogy az adatkezelő és az adatfeldolgozó a feladataik végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködni köteles.

(1)

Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a tagállamok előírják, hogy az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

(2)

Az (1) bekezdésben említett vizsgálat kiterjed legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelése céljából tervezett intézkedésekre, a személyes adatok védelmét és az ezen irányelvben foglalt rendelkezésekkel való összhang igazolására szolgáló garanciákra, biztonsági intézkedésekre és mechanizmusokra, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit.

(1)

A tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak konzultálnia kell a felügyeleti hatósággal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:

a 27. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy

az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.

(2)

A tagállamok előírják, hogy a felügyeleti hatósággal konzultálni kell az adatkezeléshez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre, vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre irányuló javaslatok előkészítése során.

(3)

A tagállamok előírják, hogy a felügyeleti hatóság létrehozhat egy listát azokról az adatkezelési műveletekről, amelyek az (1) bekezdés szerinti előzetes konzultáció tárgyát képezik.

(4)

A tagállamok előírják, hogy az adatkezelőnek a felügyeleti hatóság rendelkezésére kell bocsátania a 27. cikkben előírt adatvédelmi hatásvizsgálatot, valamint megkeresés alapján az összes olyan egyéb információt, amely lehetővé teszi a felügyeleti hatóság számára az adatkezelés megfelelőségének, valamint különösen az érintett személyes adatainak védelmére vonatkozó kockázatoknak és a kapcsolódó garanciáknak a vizsgálatát.

(5)

A tagállamok előírják, hogy ha a felügyeleti hatóság véleménye szerint az e cikk (1) bekezdése szerinti tervezett adatkezelés megsértené az ezen irányelv alapján elfogadott rendelkezéseket – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság köteles az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított hat héten belül írásban tanácsot adni, és gyakorolhatja a 47. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – egy hónappal meghosszabbítható. A felügyeleti hatóság a konzultáció iránti megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól.

(1)

A tagállamok előírják, hogy az adatkezelőnek és az adatfeldolgozónak, hogy a tudomány és a technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a személyek jogaira és szabadságaira jelentett változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, különösen a személyes adatok 10. cikk szerinti különleges kategóriáinak kezelését illetően.

(2)

Az automatizált adatkezelés tekintetében a tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak a kockázatok értékelését követően intézkedéseket kell tennie a következő célok érdekében:

a jogosulatlan személyek számára a hozzáférés megtagadása az adatkezeléshez használt adatkezelő berendezésekhez (berendezésekhez való hozzáférés ellenőrzése);

az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozása (adathordozók ellenőrzése);

a személyes adatok jogosulatlan bevitelének, valamint a tárolt személyes adatok jogosulatlan megtekintésének, módosításának vagy törlésének megakadályozása (tárolás ellenőrzése);

az automatizált adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozása (felhasználók ellenőrzése);

annak biztosítása, hogy az automatizált adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá (az adatokhoz való hozzáférés ellenőrzése);

annak biztosítása, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely szervnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésre (adattovábbítás ellenőrzése);

annak biztosítása, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat vitték be automatizált adatkezelő rendszerekbe, valamint hogy a személyes adatokat mikor és ki vitte be (bevitel ellenőrzése);

▼C2

a személyes adatok továbbítása vagy az adathordozó szállítása közben történő jogosulatlan adatleolvasás, adatmásolás, adatmódosítás vagy adattörlés megakadályozása (szállítás ellenőrzése);

▼B

annak biztosítása, hogy üzemzavar esetén a telepített rendszerek helyreállíthatók (helyreállítás);

annak biztosítása, hogy a rendszer teljesíti feladatait, hogy a feladatok során fellépő hibákról jelentés készül (megbízhatóság), és hogy a tárolt személyes adatok a rendszer hibás működése esetén nem sérülnek (integritás).

(1)

A tagállamok előírják, hogy az adatvédelmi incidenst az adatkezelőnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a felügyeleti hatóság felé a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2)

Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3)

Az (1) bekezdésben említett bejelentésben legalább:

ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;

ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4)

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5)

A tagállamok előírják, hogy az adatkezelőnek nyilván kell tartania az (1) bekezdésben említett összes adatvédelmi incidenst, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy, a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

(6)

A tagállamok előírják, hogy amennyiben az adatvédelmi incidens során olyan adat sérült, amelyeket valamely másik tagállam adatkezelője továbbított, vagy amelyeket részére továbbítottak, a (3) bekezdésben említett információkat indokolatlan késedelem nélkül közölni kell ezen másik tagállam adatkezelőjével.

(1)

A tagállamok előírják, hogy ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.

(2)

Az e cikk (1) bekezdésében említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 30. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

(3)

Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintettek jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

(4)

Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

(5)

Az érintettnek az e cikk (1) bekezdése szerinti tájékoztatása a 13. cikk (3) bekezdésében foglalt feltételekkel és okokból késleltethető, korlátozható vagy elhagyható.

(1)

A tagállamok előírják, hogy az adatkezelőnek adatvédelmi tisztviselőt kell kijelölnie. A tagállamok az igazságszolgáltatási feladatkörükben eljáró bíróságokat és egyéb független igazságügyi hatóságokat mentesíthetik e kötelezettség alól.

(2)

Az adatvédelmi tisztviselőt szakmai képességei és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 34. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(3)

Több illetékes hatóság számára szervezeti felépítésük és méretük figyelembevételével közös adatvédelmi tisztviselő is kijelölhető.

(4)

A tagállamok előírják, hogy az adatkezelőnek nyilvánosságra kell hoznia az adatvédelmi tisztviselő nevét és elérhetőségeit, és azokat a felügyeleti hatósággal közölnie kell.

(1)

A tagállamok előírják, hogy az adatkezelőnek biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)

Az adatkezelő támogatja az adatvédelmi tisztviselőt a 34. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

A tagállamok előírják, hogy az adatkezelőnek legalább az alábbi feladatokat az adatvédelmi tisztviselőre kell bíznia:

A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása

(1)

A tagállamok előírják, hogy a személyes adatoknak az illetékes hatóságok általi bármely továbbítására – ideértve egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítást is –, amelyeket harmadik országokba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, az ezen irányelv egyéb rendelkezései alapján elfogadott nemzeti rendelkezések betartása mellett, ha teljesülnek az e fejezetben rögzített feltételek, nevezetesen:

az adattovábbítás az 1. cikk (1) bekezdésében meghatározott célokból szükséges;

a személyes adatokat olyan harmadik országbeli adatkezelőhöz vagy olyan nemzetközi szervezet részére továbbítják, amely az 1. cikk (1) bekezdésében említett célok tekintetében illetékes hatóságnak minősül;

abban az esetben, ha a személyes adatokat egy másik tagállam továbbította vagy bocsátotta rendelkezésre, az említett tagállam a nemzeti jogával összhangban előzetesen engedélyezte az adattovábbítást;

a Bizottság a 36. cikk szerint megfelelőségi határozatot hozott, vagy ilyen határozat hiányában a 37. cikk szerint megfelelő garanciákat nyújtottak vagy azok adottak, vagy a 36. cikk szerinti megfelelőségi határozat hiányában vagy 37. cikk megfelelő garanciák hiányában a 38. cikk szerint meghatározott kivételes esetekben biztosított eltéréseket kell alkalmazni; és

abban az esetben, ha egy további harmadik ország vagy további nemzetközi szervezet részére történő újbóli továbbítás esetén az eredeti továbbítást végző illetékes hatóság vagy ugyanazon tagállam valamely más illetékes hatósága engedélyezi az adatok újbóli továbbítását, miután kellőképpen figyelembe vett minden releváns tényezőt, köztük a bűncselekmény súlyosságát, a személyes adat továbbításának eredeti célját, valamint a személyes adatok védelmének szintjét abban a harmadik országban vagy nemzetközi szervezetnél, amelynek részére a személyes adatokat újból továbbítják.

(2)

A tagállamok előírják, hogy a valamely másik tagállamnak az (1) bekezdés c) pontja szerinti előzetes engedélye nélküli adattovábbítás csak akkor megengedett, ha a személyes adatok továbbítása egy tagállam vagy harmadik ország közbiztonságát vagy egy tagállam alapvető érdekeit fenyegető súlyos és közvetlen veszély megelőzése érdekében szükséges, és az előzetes engedély nem szerezhető be kellő időben. Az előzetes engedélyezésért felelős hatóságot haladéktalanul tájékoztatni kell.

(3)

E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személy számára ebben az irányelvben garantált védelem szintje ne sérüljön.

(1)

A tagállamok előírják, hogy személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, annak valamely területe vagy egy vagy több meghatározott ágazata, vagy az említett nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

(2)

A védelmi szint megfelelőségének értékelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, a nemzetbiztonságra vonatkozó és a büntető anyagi jogi rendelkezések, a közhatalmi szervek személyes adatokhoz való hozzáférését szabályozó rendelkezések, valamint az ilyen jogszabályok végrehajtása, az adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek személyes adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti hatóság – a szóban forgó nemzetközi szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között hatékony kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti hatóságokkal való együttműködésért; továbbá

a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei.

(3)

A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktus útján határozhat arról, hogy harmadik ország vagy a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet az e cikk (2) bekezdése értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – az e cikk (2) bekezdése b) pontjában említett felügyeleti hatóságot, illetve hatóságokat. A végrehajtási jogi aktust az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(4)

A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik a (3) bekezdés alapján elfogadott határozatok végrehajtását.

(5)

A Bizottság – amennyiben a rendelkezésre álló információk azt feltárják, különösen az e cikk (3) bekezdésében említett felülvizsgálat alapján – határoz arról, hogy a harmadik ország vagy a harmadik ország valamely területe vagy meghatározott ágazata, vagy valamely nemzetközi szervezet már nem biztosítja az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, és a szükséges mértékben, visszaható hatály nélkül végrehajtási jogi aktusával hatályon kívül helyezi, módosítja vagy felfüggeszti az e cikk (3) bekezdésében említett határozatot. E végrehajtási jogi aktusokat az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Kellően indokolt, rendkívül sürgős esetben a Bizottság azonnal alkalmazandó végrehajtási jogi aktusokat fogad el az 58. cikk (3) bekezdésében említett eljárás keretében.

(6)

A Bizottság konzultációt kezdeményez a harmadik országgal vagy nemzetközi szervezettel az (5) bekezdés szerinti határozat meghozatalához vezető helyzet orvoslása érdekében.

(7)

A tagállamok rendelkeznek arról, hogy az e cikk (5) bekezdése szerinti határozat nem érinti az említett személyes adatok továbbítását a 37. és 38. cikk alapján a harmadik ország, annak valamely területe vagy meghatározott ágazata, illetve az adott nemzetközi szervezet részére.

(8)

A Bizottság az Európai Unió Hivatalos Lapjában és annak weboldalán közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

(1)

A 36. cikk (3) bekezdése szerinti határozat hiányában a tagállamok rendelkeznek arról, hogy harmadik ország vagy nemzetközi szervezet részére személyes adatok akkor továbbíthatók, ha:

a személyes adatok védelmére kötelező erejű jogi eszköz útján megfelelő garanciákat nyújtottak; vagy

az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta, és megállapította, hogy a személyes adatok védelme tekintetében megfelelő garanciák állnak fenn.

(2)

Az adatkezelő tájékoztatja a felügyeleti hatóságot az (1) bekezdés b) pontja szerinti adattovábbítások kategóriáiról.

(3)

Ha az adattovábbítás az (1) bekezdés b) pontján alapul, e továbbításokat dokumentálni kell, és kérelemre a dokumentációt a felügyeleti hatóság rendelkezésére kell bocsátani, beleértve a továbbítás napját és időpontját, az átvevő illetékes hatóságra vonatkozó információt, a továbbítás indokát és a továbbított személyes adatokat.

(1)

A tagállamok előírják, hogy a 36. cikk szerinti megfelelőségi határozat vagy a 37. cikk szerinti megfelelő garanciák hiányában a személyes adatok vagy személyes adatok kategóriáinak harmadik ország vagy nemzetközi szervezet részére történő továbbítására csak azzal a feltétellel kerülhet sor, hogy az adattovábbítás szükséges:

az érintett vagy egy másik személy létfontosságú érdekeinek védelme érdekében;

az érintett jogos érdekeinek biztosításához, amennyiben a személyes adatokat továbbító tagállam joga így rendelkezik;

valamely tagállam vagy harmadik ország közbiztonságának fenntartását közvetlenül és komolyan fenyegető veszély elhárítása érdekében;

egyedi esetekben az 1. cikk (1) bekezdésében meghatározott célokból; vagy

▼C2

valamely, az 1. cikk (1) bekezdésében meghatározott célokhoz kapcsolódó jogi igények megállapítására, érvényesítésére, illetve védelmére irányuló egyedi ügyben.

▼B

(2)

Nem továbbítható a személyes adat, amennyiben az adatokat továbbító illetékes hatóság megállapítja, hogy az érintett alapvető jogai és szabadságai, az (1) bekezdés d) és e) pontjában említett adattovábbítást igénylő közérdekkel szemben elsőbbséget élveznek.

(3)

Ha az adattovábbítás az (1) bekezdésen alapul, e továbbításokat dokumentálni kell, és kérésre a dokumentációt a felügyeleti hatóság rendelkezésére kell bocsátani, beleértve a továbbítás napját és időpontját, az átvevő illetékes hatóságra vonatkozó információt, a továbbítás indokát és a továbbított személyes adatokat.

(1)

A 35. cikk (1) bekezdésének b) pontjától eltérve és az e cikk (2) bekezdésében említett bármely nemzetközi megállapodás sérelme nélkül, az uniós vagy tagállami jog előírhatja, hogy a 3. cikk (7) bekezdésének a) pontjában említett illetékes hatóságok egyedi és kivételes esetekben továbbíthatnak személyes adatokat közvetlenül harmadik országbeli címzettek részére, de kizárólag az ezen irányelvben foglalt egyéb rendelkezések betartása és a következő feltételek együttes teljesülése esetén:

az adattovábbítás feltétlenül szükséges valamely olyan feladat ellátásához, amelyet az adatokat továbbító illetékes hatóság az uniós vagy tagállami jog alapján végez az 1. cikk (1) bekezdésében meghatározott célokból;

az adatokat továbbító illetékes hatóság megállapítja, hogy az adott ügyben, az érintettnek az adattovábbítást igénylő közérdekkel szemben nincs olyan alapvető joga és szabadsága, amely elsőbbséget élvez;

az adatokat továbbító illetékes hatóság úgy véli, hogy az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóság számára történő továbbítás nem hatékony vagy nem célszerű, különösen azért, mert arra nem kerülhet kellő időben sor;

az 1. cikk (1) bekezdésében említett célok tekintetében illetékes harmadik országbeli hatóságot indokolatlan késedelem nélkül tájékoztatják, kivéve, ha ez nem hatékony vagy nem célszerű, és

az adatokat továbbító illetékes hatóság tájékoztatja a címzettet arról a konkrét célról vagy azokról a konkrét célokról, amelyek érdekében a személyes adatokat a címzett kezelheti, feltéve, hogy az ilyen adatkezelésre szükség van.

(2)

Az (1) bekezdésben említett nemzetközi megállapodásnak minősül a tagállamok és a harmadik országok között létrejött, a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén hatályos bármely kétoldalú vagy többoldalú nemzetközi megállapodás.

(3)

Az adatokat továbbító illetékes hatóság tájékoztatja a felügyeleti hatóságot az e cikk szerinti adattovábbításokról.

(4)

Amennyiben az adattovábbítás az (1) bekezdésen alapul, akkor azt dokumentálni kell.

A Bizottság és a tagállamok a harmadik országok és nemzetközi szervezetek viszonylatában megfelelő lépéseket tesznek annak érdekében, hogy:

(1)

A tagállamok előírják, hogy a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében ezen irányelv alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv feleljen („felügyeleti hatóság”).

(2)

Valamennyi felügyeleti hatóság elősegíti ezen irányelv egységes alkalmazását az Unió egész területén. A felügyeleti hatóságok e célból a VII. fejezetben meghatározottak szerint együttműködnek egymással és a Bizottsággal.

(3)

A tagállamok előírhatják, hogy az ezen irányelvben említett felügyeleti hatóság az (EU) 2016/679 rendelet alapján létrehozott felügyeleti hatóság legyen, és ez a hatóság lássa el az e cikk (1) bekezdése értelmében létrehozandó felügyeleti hatóság feladatait.

(4)

Ha valamely tagállamban egynél több felügyeleti hatóságot hoztak létre, a tagállam kijelöli azt a felügyeleti hatóságot, amelyik ellátja az említett hatóságok képviseletét az 51. cikk szerinti Testületben.

(1)

A tagállamok előírják, hogy felügyeleti hatóságaik az ezen irányelvvel összhangban rájuk ruházott feladatok végzése és hatásköreik gyakorlása során teljesen függetlenül kell, hogy eljárjanak.

(2)

A tagállamok előírják, hogy felügyeleti hatóságaik tagja vagy tagjai az ezen irányelvvel összhangban rájuk ruházott feladatok végzése és hatáskörök gyakorlása során mindennemű – közvetlen vagy közvetett – külső befolyástól mentesen kell, hogy eljárjanak, és utasítást senkitől sem kérhetnek vagy fogadhatnak el.

(3)

A tagállamok felügyeleti hatóságainak tagjai tartózkodnak a feladataik ellátásával összeférhetetlen cselekményektől, és hivatali idejük alatt sem javadalmazás ellenében, sem anélkül nem vállalhatnak azzal összeférhetetlen szakmai tevékenységet.

(4)

A tagállamok biztosítják, hogy a felügyeleti hatóság rendelkezésére álljanak a feladatai eredményes ellátásához és hatáskörei – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvétel keretei között végzett tevékenységeket is – eredményes gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.

(5)

A tagállamok biztosítják, hogy a felügyeleti hatóság kiválaszthassa saját személyzetét és rendelkezzen e személyzettel, amely a felügyeleti hatóság tagjának vagy tagjainak kizárólagos irányítása alá tartozik.

(6)

A tagállamok biztosítják, hogy a felügyeleti hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozzon és saját, nyilvános éves költségvetéssel rendelkezzen, amely az állami vagy nemzeti költségvetés részét képezheti.

(1)

A tagállamok előírják, hogy felügyeleti hatóságaik minden tagját átlátható eljárás keretében nevezze ki az alábbiak egyike:

—

parlamentjük,

—

kormányuk,

—

államfőjük, vagy

—

a tagállami jog alapján a kinevezéssel megbízott független szerv.

(2)

A felügyeleti hatóságok valamennyi tagjának rendelkeznie kell a feladatai ellátásához és hatásköre gyakorlásához szükséges képesítéssel, tapasztalattal és készségekkel, különösen a személyes adatok védelme területén.

(3)

A tagok feladatköre a hivatali idő lejártával, lemondással vagy kötelező nyugdíjazással szűnik meg, az érintett tagállam jogában előírtaknak megfelelően.

(4)

Tag felmentésére kizárólag súlyos kötelességszegés esetén, vagy abban az esetben kerülhet sor, ha a tag már nem felel meg a feladatai ellátásához szükséges feltételeknek.

(1)

A tagállamok jogszabályban rendelkeznek valamennyi alábbi kérdésről:

minden egyes felügyeleti hatóság létrehozásáról;

az egyes felügyeleti hatóságok tagjává való kinevezéshez szükséges képesítésekről és a pályázati feltételekről;

az egyes felügyeleti hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályokról és eljárásokról;

az egyes felügyeleti hatóságok tagja vagy tagjai megbízatásának időtartamáról, amelynek legalább négy évre kell szólnia, kivéve a 2016. május 6-át követő első kinevezést, amely rövidebb időtartamra is szólhat, ha ez a felügyeleti hatóság függetlenségének megőrzése érdekében a kinevezéseket több lépcsőben kell végrehajtani;

arról, hogy az egyes felügyeleti hatóságok tagja vagy tagjai újra kinevezhetők-e, és ha igen, hány ciklusra;

az egyes felügyeleti hatóságok tagja vagy tagjai, személyzete kötelezettségeinek ellátására vonatkozó feltételekről, a hivatali idő alatt és azt követően a feladatuk ellátásával összeférhetetlen szakmai tevékenységre, foglalkozásokra és juttatásokra vonatkozó tiltó rendelkezésekről, valamint a munkavégzésre irányuló jogviszony megszűnésére vonatkozó szabályokról.

(2)

Az uniós vagy tagállami jognak megfelelően minden egyes felügyeleti hatóság tagját vagy tagjait és személyzetét a feladataik ellátása és hatáskörük gyakorlása során tudomásukra jutott bármely bizalmas információ tekintetében hivatali idejük alatt és annak lejártát követően is szakmai titoktartási kötelezettség terheli. Hivatali idejük alatt ez a szakmai titoktartási kötelezettség különösen vonatkozik a természetes személyek által ezen irányelv megsértését illetően tett bejelentésekre.

(1)

A tagállamok rendelkeznek arról, hogy felügyeleti hatóságaik a saját tagállamuk területén illetékesek az ezen irányelv alapján rájuk ruházott feladatok végzésére és hatáskörök gyakorlására.

(2)

A tagállamok rendelkeznek arról, hogy felügyeleti hatóságaik hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére. A tagállamok rendelkezhetnek úgy, hogy az egyes felügyeleti hatóságaik hatásköre nem terjed ki az egyéb független igazságügyi hatóságok által igazságszolgáltatási feladataik körében végzett adatkezelési műveletek felügyeletére.

(1)

Valamennyi tagállam rendelkezik arról, hogy a területén felügyeleti hatóság:

nyomon követi és érvényre juttatja az ezen irányelv alapján elfogadott rendelkezések és az azt végrehajtó intézkedések alkalmazását;

elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes adatok kezelésével kapcsolatos kockázatok, szabályok, garanciák és jogok vonatkozásában;

a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adatok kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

felhívja az adatkezelők és az adatfeldolgozók figyelmét az ezen irányelv szerinti kötelezettségeikre;

►C2 kérelemre tájékoztatást ad bármely ◄ érintettnek az ezen irányelv alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival;

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által az 55. cikkel összhangban benyújtott panaszokat, és a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű időn belül tájékozatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

a 17. cikkel összhangban ellenőrzi az adatkezelés jogszerűségét, valamint észszerű határidőn belül tájékozatja az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól;

együttműködik más felügyeleti hatósággal, ideértve az információcserét és kölcsönös segítséget nyújt az ezen irányelv egységes alkalmazásának és érvényesítésének biztosítása érdekében;

vizsgálatot folytat le az ezen irányelv alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

figyelemmel kíséri személyes adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák fejlődését;

tanácsot ad a 28. cikkben említett adatkezelési műveletekkel kapcsolatban; és

hozzájárul a Testület tevékenységeihez.

(2)

A felügyeleti hatóság megkönnyíti az (1) bekezdés f) pontjában említett panaszok benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközöket sem.

(3)

A felügyeleti hatóság úgy látja el feladatait, hogy az az érintett és az adatvédelmi tisztviselő számára térítésmentes legyen.

(4)

Ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a felügyeleti hatóság észszerű összegű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása a felügyeleti hatóságot terheli.

(1)

Valamennyi tagállam jogszabályban írja elő, hogy minden felügyeleti hatóság tényleges vizsgálati hatáskörrel rendelkezik. E hatáskörök magukban foglalják legalább azt, hogy a felügyeleti hatóság hozzáférjen az adatkezelő és az adatfeldolgozó által valamennyi kezelt személyes adathoz és a feladatainak teljesítéséhez szükséges valamennyi információhoz.

(2)

Valamennyi tagállam jogszabályban írja elő, hogy minden felügyeleti hatóság olyan tényleges korrekciós hatáskörökkel rendelkezik, mint például:

az adatkezelő vagy az adatfeldolgozó figyelmeztetése azzal kapcsolatban, hogy a tervezett adatkezelési tevékenységei valószínűleg sértik az ezen irányelv alapján elfogadott rendelkezéseket;

az adatkezelő vagy az adatfeldolgozó utasítása arra, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba ezzel az irányelv alapján elfogadott rendelkezésekkel, különösen a 16. cikkben foglaltaknak megfelelően a személyes adat helyesbítésének vagy törlésének, vagy az adatkezelés korlátozásának elrendelésével;

az adatkezelés átmeneti vagy végleges korlátozásának, többek között tilalmának elrendelése.

(3)

Valamennyi tagállam jogszabályban biztosítja, hogy minden felügyeleti hatóság tényleges tanácsadási hatáskörrel rendelkezik arra, hogy tanácsot adjon az adatkezelő részére a 28. cikkben említett előzetes konzultációs eljárás keretében, valamint hogy ►C2 saját kezdeményezésre vagy kérelemre ◄ a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt adjon a nemzeti parlament, a tagállami kormány vagy – saját nemzeti jogával összhangban – más intézmények és szervek, valamint a nyilvánosság részére.

(4)

Az e cikk szerint a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartának megfelelően előírt hatékony bírósági jogorvoslatot és tisztességes eljárást is.

(5)

A tagállamok jogszabályban előírják, hogy minden felügyeleti hatóság hatáskörrel rendelkezik arra, hogy az ezen irányelv alapján elfogadott rendelkezések megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen az ezen irányelv alapján elfogadott rendelkezések érvényre juttatása érdekében.

A tagállamok előírják, hogy az illetékes hatóságok hatékony mechanizmusokat dolgoznak ki annak érdekében, hogy az ezen irányelv megsértésére vonatkozó bizalmas jellegű bejelentések megtételét ösztönözzék.

Minden felügyeleti hatóság éves jelentést készít tevékenységéről, amely tartalmazhatja a bejelentett jogsértések típusainak és a kiszabott szankciók típusainak a jegyzékét is. A jelentéseket a nemzeti parlamentnek, a kormánynak és a tagállami jogban megjelölt más hatóságoknak kell benyújtani. A jelentéseket a nyilvánosság, a Bizottság és a Testület számára elérhetővé kell tenni.

(1)

A tagállamok előírják, hogy felügyeleti hatóságaik ezen irányelv egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat és kölcsönösen segítséget nyújtanak egymásnak, valamint hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen az információkérésekre és felügyeleti intézkedésekre, például az egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.

(2)

A tagállamok előírják, hogy minden felügyeleti hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok folytatásával kapcsolatos releváns információk továbbítása.

(3)

A segítségnyújtás iránti megkeresésnek minden szükséges információt tartalmaznia kell, beleértve a megkeresés célját és okait. A kicserélt információk kizárólag a megkeresésben meghatározott célra használhatók fel.

(4)

A felügyeleti hatóság csak abban az esetben tagadhatja meg a hozzá érkezett segítségnyújtás teljesítését, ha:

a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

a megkeresés teljesítése sértené ezen irányelvet, az uniós jogot vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti hatóság tartozik.

(5)

A megkeresett felügyeleti hatóság tájékoztatja a megkereső felügyeleti hatóságot az ügyben elért eredményekről vagy adott esetben a megkeresés teljesítése érdekében hozott intézkedésekkel kapcsolatos fejleményekről. Ha a felügyeleti hatóság megtagadja a megkeresés teljesítését, ezt köteles a (4) bekezdésnek megfelelően indokolni.

(6)

A felügyeleti hatóságok főszabályként elektronikus úton, egységes formátum alkalmazásával továbbítják a más felügyeleti hatóság által kért információt.

(7)

A megkeresett felügyeleti hatóság által a kölcsönös segítségnyújtás iránti megkeresés nyomán tett intézkedések térítésmentesek. A felügyeleti hatóságok megállapodhatnak más felügyeleti hatóságokkal a rendkívüli körülmények közötti kölcsönös segítségnyújtásból eredő különleges költségek megtérítésére vonatkozó szabályokról.

(8)

A Bizottság végrehajtási jogi aktusok révén meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formáját és eljárásait, valamint a felügyeleti hatóságok közötti, illetve a felügyeleti hatóságok és a Testület közötti, elektronikus információcserére vonatkozó szabályokat. Ezeket a végrehajtási jogi aktusokat az 58. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(1)

Az (EU) 2016/679 rendelettel létrehozott Testület („a Testület”) az ezen irányelv hatálya alá tartozó adatkezeléssel kapcsolatban az alábbi feladatokat látja el:

tanácsot ad a Bizottságnak a személyes adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az ezen irányelv módosítására irányuló javaslatokat is;

saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az ezen irányelv alkalmazását érintő kérdéseket, valamint ezen irányelv egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

iránymutatásokat dolgoz ki a felügyeleti hatóságok számára a 47. cikk (1) és (3) bekezdése szerinti intézkedések alkalmazására;

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatvédelmi incidensek és a 30. cikk (1) és (2) bekezdésében említett indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelő vagy az adatfeldolgozó köteles bejelenteni az adatvédelmi incidenst;

ezen albekezdés b) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 31. cikk (1) bekezdésében említettek szerint;

▼C1

felülvizsgálja az iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

▼B

véleményt bocsát ki a Bizottság számára annak értékeléséhez, hogy egy adott harmadik ország, egy harmadik ország valamely területe vagy egy vagy több meghatározott ágazata vagy egy adott nemzetközi szervezet megfelelő szintű védelmet biztosít-e, ezen belül annak megállapításához, hogy a harmadik ország vagy a harmadik ország valamely területe, meghatározott ágazata vagy a nemzetközi szervezet már nem nyújt megfelelő szintű védelmet;

előmozdítja az együttműködést, valamint az információk és a legjobb gyakorlatok hatékony két- és többoldalú cseréjét a felügyeleti hatóságok között;

támogatja a közös képzési programokat, továbbá megkönnyíti a személyzeti csereprogramokat a felügyeleti hatóságok között, valamint adott esetben a harmadik országok felügyeleti hatóságaival vagy a nemzetközi szervezetekkel;

az adatvédelmi felügyeleti hatóságok körében világszerte előmozdítja az adatvédelmi jogra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét.

Az első albekezdés g) pontja tekintetében a Bizottság a Testület számára az összes szükséges dokumentációt rendelkezésre bocsátja, köztük a harmadik ország kormányával, a harmadik ország területével vagy meghatározott ágazatával, illetve a nemzetközi szervezettel folytatott levélváltást.

(2)

A Bizottság, ha tanácsot kér a Testülettől, az ügy sürgősségét figyelembe véve erre határidőt jelölhet meg.

(3)

A Testület továbbítja véleményeit, iránymutatásait, ajánlásait és legjobb gyakorlatait a Bizottságnak és az 58. cikk (1) bekezdésében említett bizottságnak, és nyilvánosságra hozza azokat.

(4)

A Bizottság tájékoztatja a Testületet arról, hogy milyen intézkedéseket hozott a Testület által kibocsátott vélemények, iránymutatások, ajánlások és legjobb gyakorlatok nyomán.

(1)

Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a tagállamok előírják, hogy minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az ezen irányelv alapján elfogadott rendelkezéseket.

(2)

A tagállamok előírják, hogy amennyiben a panaszt nem a 45. cikk (1) bekezdése szerint illetékes felügyeleti hatósághoz nyújtják be, akkor az a felügyeleti hatóság, amelyhez a panaszt benyújtották, indokolatlan késedelem nélkül továbbítja azt az illetékes felügyeleti hatósághoz. A továbbításról az érintettet tájékoztatni kell.

(3)

A tagállamok előírják, hogy az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az érintett kérésére további segítséget nyújt.

(4)

Az illetékes felügyeleti hatóság tájékoztatja az érintettet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az 53. cikk szerint jogosult bírósági jogorvoslattal élni.

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

(1)

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül a tagállamok úgy rendelkeznek, hogy minden természetes és jogi személy hatékony bírósági jogorvoslatra jogosult a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

(2)

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül minden érintett hatékony bírósági jogorvoslatra jogosult, ha a 45. cikk (1) bekezdése alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet az 52. cikknek megfelelően benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

(3)

A tagállamok előírják, hogy a felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 52. cikk szerinti jog – sérelme nélkül, a tagállamok előírják, hogy az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint, a személyes adatainak az ezen irányelv alapján elfogadott rendelkezésekkel ellentétes kezelése következtében megsértették az e rendelkezések szerinti jogait.

A tagállamok a tagállami eljárási joggal összhangban rendelkeznek arról, hogy az érintett jogosult arra, hogy panaszának nevében történő benyújtásával, és az 52., 53. és 54. cikkben említett jogoknak a nevében történő gyakorlásával olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

A tagállamok előírják, hogy minden olyan személy, aki jogszerűtlen adatkezelési művelet vagy az ezen irányelv alapján elfogadott nemzeti rendelkezéseket sértő egyéb intézkedés eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy a tagállami jog szerint illetékes bármely más hatóságtól kártérítésre jogosult.

A tagállamok megállapítják az ezen irányelv alapján elfogadott rendelkezések megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

(1)

A Bizottságot az (EU) 2016/679 rendelet 93. cikkével létrehozott bizottság segíti. Ez a bizottság a 182/2011/EU rendelet szerinti bizottságnak minősül.

(2)

Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

(3)

Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 8. cikkét kell alkalmazni, összefüggésben annak 5. cikkével.

(1)

A 2008/977/IB tanácsi kerethatározat 2018. május 6-ával hatályát veszti.

(2)

Az (1) bekezdésben említett, hatályon kívül helyezett kerethatározatra történő hivatkozásokat ezen irányelvre való hivatkozásnak kell tekinteni.

Változatlanul hatályban maradnak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén 2016. május 6-án vagy azt megelőzően hatályba lépett, a személyes adatok védelmére vonatkozó uniós jogi aktusok olyan különös rendelkezései, amelyek a tagállamok közötti adatkezelést és a kijelölt tagállami hatóságoknak a Szerződések alapján létrehozott, ezen irányelv hatálya alá tartozó információs rendszerekhez való hozzáférését szabályozzák.

Kapcsolat a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén korábban megkötött nemzetközi megállapodásokkal

A tagállamok által a 2016. május 6. előtt kötött olyan nemzetközi megállapodások, amelyek keretében harmadik országok vagy nemzetközi szervezetek részére személyes adatok továbbítására kerül sor, és amelyek megfelelnek az említett időpontot megelőzően alkalmazandó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig változatlanul hatályban maradnak.

(1)

A Bizottság legkésőbb 2022. május 6-ig, ezt követően pedig négyévente rendszeres időközönként jelentést terjeszt az Európai Parlament és a Tanács elé ezen irányelv értékeléséről és felülvizsgálatáról. E jelentéseket nyilvánosságra kell hozni.

(2)

Az (1) bekezdésben említett értékelések és felülvizsgálatok keretében a Bizottság mindenekelőtt a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbításáról szóló V. fejezetben foglalt rendelkezések alkalmazását és hatékonyságát vizsgálja, különös tekintettel a 36. cikk (3) bekezdése és a 39. cikk alapján elfogadott határozatokra.

(3)

A Bizottság az (1) és a (2) bekezdésben említett célokból információkat kérhet a tagállamoktól és a felügyeleti hatóságoktól.

(4)

A Bizottság az (1) és a (2) bekezdésben említett értékelések és felülvizsgálatok elvégzése során figyelembe veszi az Európai Parlament, a Tanács és az egyéb érintett szervek vagy források álláspontját és megállapításait.

(5)

A Bizottság szükség esetén megfelelő javaslatokat nyújt be ezen irányelv módosítására, figyelembe véve különösen az információs technológia fejlődését és az információs társadalom fejlődési szintjét.

(6)

A Bizottság 2019. május 6-ig felülvizsgálja az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett adatkezelést szabályozó egyéb – többek között a 60. cikkben említett – uniós jogi aktusokat, annak érdekében, hogy megvizsgálja, hogy szükséges-e azokat ezen irányelvhez igazítani, valamint hogy adott esetben megtegye az említett jogi aktusok módosítására irányuló szükséges javaslatokat azzal a céllal, hogy az irányelv hatályán belül biztosított legyen a személyes adatok védelmének következetes megközelítése.

(1)

A tagállamok 2018. május 6-ig elfogadják és kihirdetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. E rendelkezések szövegét haladéktalanul közlik a Bizottsággal. A tagállamok ezeket a rendelkezéseket 2018. május 6-tól kezdődően alkalmazzák.

Amikor a tagállamok elfogadják ezeket a rendelkezéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

(2)

A tagállamok az (1) bekezdéstől eltérve rendelkezhetnek úgy, hogy – amennyiben az aránytalanul nagy erőfeszítést igényel – a 2016. május 6-át megelőzően létrehozott automatizált adatkezelési rendszereket kivételesen 2023. május 6-ig feleltetik meg a 25. cikk (1) bekezdésének.

(3)

E cikk (1) és (2) bekezdésétől eltérve kivételes körülmények között a tagállam az e cikk (2) bekezdésében említett automatizált adatkezelési rendszerét az e cikk (2) bekezdésében említett időtartamot követő meghatározott időn belül is megfeleltetheti a 25. cikk (1) bekezdésének, ha különben komoly nehézségek lépnének fel az adott automatizált adatkezelési rendszer működésében. Az érintett tagállamnak értesítenie kell a Bizottságot a komoly nehézségek okairól és annak az időtartamnak az indokolásáról, amelyen belül a tagállam az adott automatizált adatkezelési rendszert megfelelteti a 25. cikk (1) bekezdésének. Ez a meghatározott időtartam záró időpontja semmilyen körülmények között nem lehet később, mint 2026. május 6.

(4)

A tagállamok közlik a Bizottsággal a nemzeti jog azon főbb rendelkezéseit, amelyeket az ezen irányelv által szabályozott területen fogadnak el.

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.

►C1	Helyesbítés, HL L 127, 23.5.2018, o 7 (2016/680)
►C2	Helyesbítés, HL L 074, 4.3.2021, o 39 (2016/680)