A Tanács indokolása: a Tanács (EU) 6/2016 álláspontja első olvasatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló európai parlamenti és tanácsi rendelet elfogadása céljából (általános adatvédelmi rendelet)

(2016/C 159/02)

I.   BEVEZETÉS

A Bizottság 2012. január 25-én javaslatot tett egy átfogó adatvédelmi reformra, amely a következőkből áll:

Az Európai Parlament 2014. március 12-én elfogadta első olvasatbeli álláspontját a javasolt általános adatvédelmi rendeletről (7427/14).

A Tanács 2015. június 15-én általános megközelítést fogadott el, és ezáltal tárgyalási megbízást adott az elnökségnek az Európai Parlament és a Bizottság részvételével tartandó háromoldalú egyeztetésekre (9565/15).

Az Európai Parlament és a Tanács az Állampolgári Jogi, Bel- és Igazságügyi Bizottság, illetve az Állandó Képviselők Bizottsága szintjén 2015. december 17-én, illetve december 18-án megerősítette a háromoldalú egyeztetéseken folytatott tárgyalások eredményeképpen létrejött kompromisszumos szövegről elért megállapodást.

A Tanács 2016. február 12-i ülésén politikai megállapodásra jutott a rendelettervezetről (5455/16). A Tanács 2016. április 8-án elfogadta az első olvasatbeli álláspontját, amely teljes mértékben összhangban áll a rendeletnek a Tanács és az Európai Parlament közötti nem hivatalos tárgyalások során jóváhagyott kompromisszumos szövegével.

Az Európai Gazdasági és Szociális Bizottság 2012-ben véleményt nyilvánított a rendelettel kapcsolatban (HL C 229., 2012.7.31., 90. o.).

A Régiók Bizottsága véleményt nyilvánított a rendelettel kapcsolatban (HL C 391., 2012.12.18., 127. o.).

Az európai adatvédelmi biztossal való konzultáció megtörtént; a biztos először 2012-ben (HL C 192., 2012.6.30., 7. o.), másodjára pedig 2015-ben (HL C 301., 2015.9.12., 1. o.) nyilvánított véleményt.

Az Alapjogi Ügynökség 2012. október 1-jén nyilvánított véleményt.

II.   CÉL

Az általános adatvédelmi rendelet összehangolja az adatvédelmi szabályokat az Európai Unióban. A rendelet célja, hogy megerősítse a természetes személyek adatvédelmi jogait, elősegítse a személyes adatok szabad áramlását az egységes piacon és csökkentese az adminisztrációs terheket.

III.   A TANÁCS ELSŐ OLVASATBAN ELFOGADOTT ÁLLÁSPONTJÁNAK ELEMZÉSE

A.    Általános megjegyzések

Tekintettel az Európai Tanács ama célkitűzésére, hogy 2015 végéig biztosítsa az adatvédelmi reformról való megállapodás létrejöttét, az Európai Parlament és a Tanács nem hivatalos tárgyalásokat folytatott álláspontjaik közelítése céljából. Az általános adatvédelmi rendelettel kapcsolatos, első olvasatban kialakított tanácsi álláspont szövege teljes mértékben tükrözi a két társjogalkotó között az Európai Bizottság segítségével létrejött kompromisszumot.

A Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelv célkitűzéseit: az adatvédelemhez való jog tiszteletben tartását és az adatok szabad áramlásának biztosítását. Ugyanakkor a jelenleg hatályos adatvédelmi szabályok kiigazítására törekszik, tekintettel arra, hogy a technológiai változások és a globalizáció következtében egyre növekszik a kezelt személyes adatok mennyisége. Annak érdekében, hogy a rendelet időtálló legyen, a Tanács első olvasatbeli álláspontjában foglalt adatvédelmi szabályok technológiai szempontból semlegesek.

A természetes személyek egységes szintű védelmének az Unió egész területén való biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében a Tanács első olvasatbeli álláspontja nagyrészt olyan egységes szabályrendszert ír elő, amely az egész Unióban közvetlenül alkalmazandó. Ez a harmonizáció meg fogja szüntetni a 95/46/EK irányelvet végrehajtó, eltérő tagállami jogszabályokból eredő széttagoltságot. Mindazonáltal a konkrét – többek között a közszférát is érintő – adatkezelési helyzetek támasztotta követelmények figyelembevétele érdekében, az első olvasatban kialakított tanácsi álláspont lehetővé teszi a tagállamok számára, hogy a rendeletben meghatározott adatvédelmi szabályok alkalmazását tovább pontosítsák nemzeti jogukban.

A személyes adatok védelmének joga az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdésében rögzített alapvető jog. Ezenfelül az Európai Unió működéséről szóló szerződés 16. cikke megállapítja, hogy állampolgárságától és lakóhelyétől függetlenül mindenkinek joga van a rá vonatkozó személyes adatok védelméhez, továbbá hogy szabályokat kell megállapítani e célból és a személyes adatok szabad áramlásának biztosítása céljából. Ennek alapján a Tanács első olvasatbeli álláspontja megállapítja a természetes személyeknek a személyes adataik kezelése tekintetében való védelméhez kapcsolódó elveket és szabályokat.

A rendelet céljainak elérése érdekében az első olvasatban kialakított tanácsi álláspont megerősíti (a személyes adatok kezelése céljainak és módjainak meghatározásáért felelős) adatkezelők és (a személyes adatoknak az adatkezelő nevében végzett kezeléséért felelős) adatfeldolgozók elszámoltathatóságát egy valódi adatvédelmi kultúra megteremtése céljából. Mindezek alapján a rendelet teljes szövegében olyan kockázatalapú megközelítés kerül bevezetésre, ami lehetővé teszi az adatkezelő és az adatfeldolgozó kötelezettségeinek – az általuk végzett adatkezelési műveletek által jelentett kockázatnak megfelelő – alakítását. Ezen túlmenően a magatartási kódexek és a tanúsítási mechanizmusok hozzájárulnak az adatvédelmi szabályoknak való megfeleléshez. Ez a megközelítés megakadályozza a túlzottan előíró jellegű szabályokat, és csökkenti az adminisztratív terheket anélkül, hogy csökkentené a megfelelés mértékét. Továbbá a kiszabható bírságok visszatartó ereje ösztönzőként szolgál arra nézve, hogy az adatkezelők betartsák a rendelet előírásait.

Az első olvasatban kialakított tanácsi álláspontban foglalt új adatvédelmi szabályok emellett megerősített és érvényesíthető jogokat biztosítanak az állampolgárok számára. Ez lehetővé teszi a természetes személyek számára a személyes adataik feletti nagyobb rendelkezést, ami növeli a fogyasztók határokon átnyúló online szolgáltatásokba vetett bizalmát, ami pedig hozzájárul az egységes digitális piac fellendítéséhez. A gyermekeket különös védelemben kell részesíteni, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésének kockázataival, illetve az adatok kezeléséhez kapcsolódó jogaikkal.

A Tanács első olvasatbeli álláspontja fokozza továbbá a felügyeleti hatóságok függetlenségét, ugyanakkor összehangolja feladataikat és hatásköreiket. A felügyeleti hatóságok közötti, illetve adott esetben a Bizottsággal történő, határokon átnyúló esetekben való együttműködés szabályai (az egységességi mechanizmus) hozzájárulnak majd ahhoz, hogy az Európai Unió egészében egységesen alkalmazzák a rendeletet. Ez fokozza a jogbiztonságot, és csökkenti az adminisztratív terheket. Ezenfelül az egyablakos mechanizmus keretében egyetlen kapcsolattartó áll majd az adatkezelők és adatfeldolgozók rendelkezésére az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban, az újonnan létrehozott Európai Adatvédelmi Testület pedig kötelező erejű döntéseket hozhat a vitarendezési eljárás során. E mechanizmusnak köszönhetően a rendelet alkalmazása egységesebbé válik, valamint nő a jogbiztonság és csökkennek az adminisztratív terhek.

Végezetül, a Tanács első olvasatbeli álláspontja átfogó keretet teremt a személyes adatoknak az Európai Unióból harmadik országbeli címzettek vagy nemzetközi szervezetek részére történő továbbítására vonatkozóan, új eszközöket biztosítva a 95/46/EK irányelvhez képest.

B.    A legfontosabb kérdések

A Tanács és az Európai Parlament a nem hivatalos tárgyalások során az Európai Bizottság közreműködésével közelítették álláspontjaikat, melyeket a Tanács általános megközelítése, illetve a Parlament első olvasatban kialakított álláspontja tartalmaz. Az általános adatvédelmi rendelettel kapcsolatos, első olvasatban kialakított tanácsi álláspont teljes mértékben tükrözi a létrejött kompromisszumot. Az első olvasatban kialakított tanácsi álláspontban szabályozott legfontosabb kérdések a következők:

1.    A rendelet hatálya

1.1.   A rendelet tárgyi hatálya és annak elhatárolása az adatvédelmi irányelv hatályától

Az első olvasatban kialakított tanácsi álláspont szerint az általános adatvédelmi rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek a személyes adatok bármely, meghatározott ismérvek alapján hozzáférhető strukturált állományának részét képezik, vagy amelyeket ilyen strukturált állomány részévé kívánnak tenni. Az általános adatvédelmi rendelet tárgyi hatálya és a bűnüldözés területére vonatkozó adatvédelmi irányelv hatálya kölcsönösen kizárja egymást. Rögzítésre került, hogy a rendelet nem alkalmazandó az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése és üldözése, illetve büntetőjogi szankciók végrehajtása, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett adatkezelésre. Ez az elhatárolás lehetővé teszi a bűnüldöző hatóságok, különösen a rendőrség számára, hogy főszabályként az irányelvben meghatározott adatvédelmi rendszert alkalmazzák, és egyúttal biztosítja azon természetes személyek személyes adatainak következetes és magas szintű védelmét, akik ellen bűnüldözési műveleteket folytatnak.

1.2.   Európai uniós intézmények és szervek

Az érintettek személyes adataik kezelése tekintetében való védelmének egységessége és következetessége érdekében a Tanács első olvasatban kialakított álláspontja kimondja, hogy az általános adatvédelmi rendelet elfogadását követően az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó 45/2001/EK rendelet szükséges módosításait is el kell fogadni, hogy e két jogszabály alkalmazása egy időben kezdődhessen meg.

1.3.   Az otthoni tevékenységek mentessége

Annak érdekében, hogy e szabályok ne rójanak szükségtelen terhet a természetes személyekre, a Tanács első olvasatbeli álláspontja előírja, hogy a rendelet nem alkalmazandó a személyes adatok természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett, azaz szakmai vagy kereskedelmi tevékenységgel össze nem függő kezelésére.

1.4.   Területi hatály

A Tanács első olvasatban kialakított álláspontja egyenlő versenyfeltételeket teremt az adatkezelők és adatfeldolgozók számára a területi hatály tekintetében, azáltal, hogy kiterjed valamennyi adatkezelőre és adatfeldolgozóra függetlenül attól, hogy rendelkeznek-e tevékenységi hellyel az Unióban vagy sem.

Először is a rendelet rögzíti, hogy az adatvédelmi szabályokat alkalmazni kell a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére függetlenül attól, hogy az adatkezelés az Unióban vagy azon kívül történik-e. Másodszor, annak biztosítása érdekében, hogy a természetes személyeket ne lehessen megfosztani adataik védelmétől, e rendeletet alkalmazni kell az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére is, amennyiben ezek az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Unión belüli kínálásához kapcsolódnak, illetve az ilyen érintettek magatartásának megfigyeléséhez kapcsolódnak, feltéve, hogy az Európai Unió területén belül tanúsított magatartásukról van szó. Ezen túlmenően a hatály ily módon történő meghatározása javítja a jogbiztonságot mind az adatkezelők, mind az érintettek (azon természetes személyek, akiknek a személyes adatait kezelik) számára.

A Tanács első olvasatban kialakított álláspontja emellett biztosítja, hogy az érintettek és a felügyeleti hatóságok egy kapcsolattartó ponthoz fordulhassanak az Unióban abban az esetben, ha az adatkezelő vagy adatfeldolgozó nem rendelkezik tevékenységi hellyel az Unióban, de a rendelet hatálya alá tartozik: az ilyen adatkezelőknek és adatfeldolgozóknak írásban ki kell jelölniük unióbeli képviselőjüket. A szükségtelen adminisztratív terhek elkerülése érdekében ez a kötelezettség nem alkalmazandó azokra az adatkezelési műveletekre, amelyek vélhetően nem járnak kockázattal a természetes személyek jogaira és szabadságaira nézve, illetve amelyeket a harmadik ország közhatalmi szervei, illetve egyéb, közfeladatot ellátó szervei végeznek.

2.    A személyes adatok kezelésére vonatkozó alapelvek

Az adatvédelem elveit minden azonosítható vagy azonosított természetes személyre vonatkozó információ esetében alkalmazni kell, ideértve azokat az információkat is, amelyek esetében további információk felhasználása nélkül már nem állapítható meg, hogy azok mely konkrét érintettre vonatkoznak, feltéve hogy e további információk külön vannak tárolva, és sor került bizonyos technikai és szervezési intézkedések megtételére annak biztosítása érdekében, hogy a személyes adatokat ne lehessen azonosított vagy azonosítható természetes személyekhez kapcsolni (álnevesítés). A 95/46/EK irányelvvel összevetve a rendelet nagyrészt biztosítja a folytonosságot a személyes adatok kezelése alapjául szolgáló elvek tekintetében. Ugyanakkor az „adattakarékosság” elve kiigazításra került a digitális valóság figyelembevétele érdekében, valamint egyrészt a személyes adatok védelme, másrészt az adatkezelők adatkezelési lehetőségei közötti egyensúly megteremtése érdekében.

3.    Az adatkezelés jogszerűsége

3.1.   A jogszerűség feltételei

A jogbiztonság megvalósítása céljából a Tanács első olvasatbeli álláspontja a 95/46/EK irányelven alapul, mivel kimondja, hogy a személyes adatok kezelése kizárólag akkor jogszerű, ha az alábbi feltételek közül legalább az egyik teljesül:

Az említett feltételek közül kettő bővebb magyarázatra szorul: az érintett hozzájárulása, illetve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése.

3.1.1.   Az érintett hozzájárulása

Személyes adatai kezelésének engedélyezése céljából az érintett egyértelmű megerősítő cselekedettel, vagyis önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű egyetértésének kinyilvánításával a hozzájárulását adhatja a rá vonatkozó személyes adatok kezeléséhez. E hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan kell megadni. Az adatkezelőnek továbbá képesnek kell lennie annak bizonyítására, hogy az érintett hozzájárult az adatkezelési művelethez. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás fogalmának megszövegezése biztosítja a 95/46/EK irányelv alapján e fogalom használata tekintetében kialakult uniós vívmányokkal való folytonosságot, és ugyanakkor elősegíti a hozzájárulás fogalmának egységes módon történő értelmezését és alkalmazását az Unió egész területén.

Az érintettek adatvédelmi jogainak védelme érdekében továbbá rögzítésre került, hogy amennyiben az érintett a hozzájárulását más ügyekre is vonatkozó írásbeli nyilatkozat keretében adta meg, e nyilatkozat bármely olyan része, amely sérti e rendeletet, nem bír kötelező erővel. Annak megállapítása során pedig, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni egyebek mellett azt is, hogy valamely szerződés teljesítésének feltételéül szabták-e az olyan adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

Végezetül a személyes adatok különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérés lehetővé tétele érdekében a Tanács első olvasatbeli álláspontja szigorúbb követelményeket fogalmaz meg, mint az egyéb adatkezelés esetében, mivel az érintettnek kifejezett hozzájárulását kell adnia az ilyen különleges személyes adatok kezeléséhez.

A gyermekek tekintetében a Tanács első olvasatbeli álláspontja egyedi védelmi rendszert állapít meg, amennyiben az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan gyermek adja hozzájárulását személyes adatainak kezeléséhez. A 16 éves felső korhatárnál fiatalabb gyermekek személyes adatainak kezelése csak akkor jogszerű, ha – a rendelkezésére álló technológia figyelembevételével – megbízható módon ellenőrizhető, hogy a hozzájárulást a gyermek feletti szülői felügyelet gyakorlója adta meg, illetve engedélyezte. A tagállamok e tekintetben alacsonyabb felső korhatárt is meghatározhatnak, amennyiben azt megfelelőbbnek tartják, amely azonban nem lehet alacsonyabb 13 évnél.

3.1.2.   Az adatkezelő jogos érdeke

A személyes adatok kezelése jogszerűnek tekinthető, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Azonban e jogos érdekek nem szolgáltatnak elegendő indokot a jogszerű adatkezelésre, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek a személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A jogos érdek meglétének megállapításához meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy az adott célból adatkezelésre kerülhet sor. Személyes adatok közvetlen üzletszerzési célú kezelése szintén tekinthető jogos érdeken alapulónak. Mivel a jogalkotónak feladata, hogy jogszabályban meghatározza a személyes adatok közhatalmi szervek általi kezelésének jogalapját, a fentiek nem vonatkoznak a közhatalmi szervek által feladataik ellátása során végzett személyesadat-kezelésre.

3.2.   A rendelet alkalmazásának kiigazítását célzó konkrét tagállami szabályok

A Tanács első olvasatbeli álláspontja lehetővé teszi a tagállamok számára, hogy konkrétabb rendelkezéseket tartsanak fenn vagy vezessenek be, amelyek kiigazítják a rendeletben foglalt szabályok alkalmazását, ha a személyes adatok kezelésére jogi kötelezettség teljesítése céljából kerül sor, vagy ha az adatkezelés valamely közérdekű feladat vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ezen túlmenően eltéréseket, konkrét követelményeket és egyéb intézkedéseket irányoz elő bizonyos különös adatkezelési műveletekkel kapcsolatban, melyek révén a tagállamok összeegyeztethetik a személyes adatok védelméhez való jogot a véleménynyilvánítás szabadságához és az információszabadsághoz való joggal, illetve a hivatalos dokumentumokhoz való nyilvános hozzáféréssel, a nemzeti azonosító számok kezelésével, a foglalkoztatással összefüggő adatkezeléssel és a közérdekű archiválás céljából, illetve tudományos és történelmi kutatási vagy statisztikai célból folytatott adatkezeléssel.

3.3.   További adatkezelés

A Tanács első olvasatbeli álláspontja értelmében a személyes adatoknak a gyűjtésük eredeti céljától eltérő célból történő kezelése kizárólag akkor jogszerű, ha a további adatkezelés összeegyeztethető azokkal a célokkal, amelyekre a személyes adatokat eredetileg gyűjtötték. Azonban ha az érintett hozzájárulását adta, illetve ha az adatkezelés uniós vagy tagállami jogszabályon alapul, és egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül bizonyos fontos közérdekek védelme szempontjából, az adatkezelőnek a célok összeegyeztethetőségétől függetlenül jogában áll további adatkezelést végezni a szóban forgó személyes adatokon. Az érintettek jogai fokozottan érvényesülnek a további adatkezelés esetében, különösen a tájékoztatáshoz való jog és a tiltakozáshoz való jog tekintetében, amennyiben nincs szükség további adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében.

Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelőnek figyelembe kell vennie többek között minden, az eredeti célok és a tervezett további adatkezelés célja között fennálló összefüggést, a személyes adatok gyűjtésének körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű várakozásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további adatkezelési műveletek során.

3.4.   A személyes adatok különleges kategóriáinak kezelése

A természetüknél fogva különleges személyes adatok különleges védelmet érdemelnek, mivel a kezelésük körülményei jelentős kockázattal járhatnak a természetes személyek alapvető jogaira és szabadságaira nézve. Ezért – főszabályként – a Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelvben alkalmazott megközelítést, és tiltja a személyes adatok különleges kategóriáinak kezelését.

E szabálytól eltérve, bizonyos – kimerítően felsorolt – helyzetekben megengedett a különleges adatok kezelése, például ha az érintett kifejezett hozzájárulását adta, ha az adatkezelés jelentős közérdek miatt szükséges, vagy ha az adatkezelés más célból szükséges, így például az egészségügy területén.

Végezetül a Tanács első olvasatbeli álláspontja értelmében a tagállamok további feltételeket – többek között korlátozásokat – vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan. Azonban e további feltételek nem akadályozhatják az adatok Unión belüli szabad áramlását.

4.    Az érintettek jogainak fokozott érvényesítése

4.1.   Bevezetés

A Tanács első olvasatbeli álláspontja elősegíti az érintettek jogainak fokozott érvényesítését azáltal, hogy megerősíti adatvédelmi jogaikat és kötelezettségeket ró az adatkezelőkre. Az érintett jogai magukban foglalják a tájékoztatáshoz való jogot, a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez való jogot, a személyes adatok törléséhez, illetve a tárolásuk megszüntetéséhez való jogot, az adatkezelés korlátozásához fűződő jogot, az adathordozhatósághoz és a tiltakozáshoz való jogot, valamint a kizárólag automatizált adatkezelésen – többek között profilalkotáson – alapuló döntések hatálya alóli mentesülés jogát. Azok a jogok, amelyek tekintetében fontos változásokra került sor a 95/46/EK irányelvhez képest, az alábbiakban részletesebb kifejtésre kerülnek.

Az adatkezelők kötelesek megkönnyíteni az érintettek jogainak gyakorlását, valamint a személyes adatok kezelését az átláthatóság elvével összhangban végezni, különösen azáltal, hogy tájékoztatást nyújtanak a személyes adatok általuk végzett kezeléséről.

Azonban amennyiben az adatkezelő által kezelt adatok nem teszik lehetővé az adatkezelő számára valamely érintett azonosítását, akkor az adatkezelő nem kötelezhető további információk megszerzésére az érintett személyazonosságának kizárólag abból a célból történő megállapítása érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének.

Az érintettek említett jogai és az adatkezelők említett kötelezettségei ellenére a Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelvben alkalmazott megközelítést azáltal, hogy lehetővé teszi az általános elvek és a természetes személyek jogainak korlátozását, amennyiben ez a korlátozás az uniós vagy a nemzeti jogon alapul. Az ilyen korlátozásoknak tiszteletben kell tartaniuk az alapvető jogok és szabadságok lényeges tartalmát, továbbá a demokratikus társadalomban bizonyos közérdekek védelméhez szükséges és arányos intézkedésnek kell minősülniük.

4.2.   Átláthatóság

Az átláthatóság elvének megfelelően az adatkezelőnek a személyes adatok kezelésével kapcsolatos információkat és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett információk esetében. Az információkat írásban vagy más módon, adott esetben elektronikusan kell megadni.

A Tanács első olvasatbeli álláspontja továbbá határidőket szab meg az információnak vagy tájékoztatásnak az adatkezelő általi nyújtásával, illetve az adatkezelő általi bármely egyéb intézkedéssel kapcsolatos kérelmek esetében a válaszadásra, melyet – főszabályként – díjmentesen kell nyújtani. Azonban amennyiben az érintett kérelme egyértelműen megalapozatlan vagy például különösen ismétlődő jellege miatt túlzó, az adatkezelő – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – méltányos összegű díjat számíthat fel, vagy megtagadhatja a kérelem nyomán történő intézkedést. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása.

4.3.   Az adatkezelő által nyújtandó információk, illetve tájékoztatás

Az azzal kapcsolatos egyensúly megteremtése érdekében, hogy egyrészt az érintettek elegendő információt kapjanak személyes adataik kezeléséről, másrészt pedig el lehessen kerülni az adatkezelők számára terhet jelentő kötelezettségeket, a Tanács első olvasatbeli álláspontja kétlépcsős megközelítést határoz meg annak biztosítása céljából, hogy az érintettek megfelelő tájékoztatásban részesüljenek akkor is, ha a személyes adatokat az érintettől gyűjtik be, illetve abban az esetben is, ha az adatok begyűjtésére más forrásból került sor. Első lépésként az adatkezelőnek a személyes adatok megszerzésének időpontjában az érintett rendelkezésére kell bocsátania az e rendeletben felsorolt információkat. Második lépésként az adatkezelőnek a rendeletben felsorolt, a tisztességes és hatékony adatkezelés biztosításához szükséges további információkat is rendelkezésre kell bocsátania. Az adatkezelőnek abban az esetben is tájékoztatnia kell az érintetteket, ha a személyes adatokat a gyűjtésük céljától eltérő bármely egyéb célból szándékozik kezelni.

Az adatkezelő nem köteles közölni az első, illetve a második lépés körébe tartozó információkat, ha az érintett már birtokában van ezeknek az információknak. Ha a személyes adatokat nem az érintettől szerezték be, az adatkezelő semmilyen információt nem bocsát az érintett rendelkezésére, amennyiben a szóban forgó személyes adatok rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.

Végezetül az adatkezelő köteles minden olyan címzettet tájékoztatni valamennyi helyesbítésről, törlésről, illetve adatkezelés-korlátozásról, akivel, illetve amellyel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Ezenfelül az adatkezelőnek kérésre tájékoztatnia kell az érintettet e címzettekről.

4.4.   Ikonok

Az átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Ennek alapján a Tanács első olvasatbeli álláspontja megállapítja, hogy az érintettnek nyújtott információkat szabványosított ikonokkal is ki lehet egészíteni. Az adatkezelők önkéntes alapon dönthetnek arról, hogy a szabványosított ikonok használata hasznos lenne-e a személyes adatok általuk végzett kezeléséhez. Az ikonoknak jól látható, könnyen érthető és jól olvasható formában érdemi áttekintést kell adniuk a tervezett adatkezelésről. Az ikonoknak a tájékoztatással egyidejűleg kell megjelenniük. Az elektronikus formában megjelenített ikonoknak géppel olvashatóknak kell lenniük. Az ikonok EU-n belüli egységes használatának elősegítése céljából a rendelet felhatalmazza a Bizottságot, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el az ikonok által megjelenítendő információk, valamint a szabványosított ikonok kialakítását szolgáló eljárások meghatározása céljából. Az Európai Adatvédelmi Testületnek véleményt kell nyilvánítania a Bizottság által javasolt ikonokról. A felhatalmazáson alapuló jogi aktusok elfogadásának lehetősége nem akadályozza meg az Európai Adatvédelmi Testületet abban, hogy iránymutatásokat, véleményeket és bevált gyakorlatokat tegyen közzé az ikonokkal kapcsolatban.

4.5.   A hozzáférés joga

Az érintettnek jogában áll, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy folyamatban van-e rá vonatkozó személyes adatok kezelése, és amennyiben folyamatban van ilyen személyes adatok kezelése, joga van a rendeletben felsorolt információkhoz való hozzáféréshez. Ennek alapján a rendelet kimondja, hogy az adatkezelő köteles ingyenesen, az érintett rendelkezésére bocsátani az adatkezelés tárgyát képező személyes adatok másolatát. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. A másolat megszerzésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

4.6.   A törléshez való jog („a személyes adatok tárolásának megszüntetéséhez való jog”)

A Tanács első olvasatbeli álláspontja feljogosítja az érintetteket a rájuk vonatkozó személyes adatok töröltetésére, amennyiben a szóban forgó adatok kezelése nem felel meg e rendeletnek vagy valamely olyan uniós vagy tagállami jogszabálynak, amelynek hatálya kiterjed az adatkezelőre.

A „személyes adatok tárolásának megszüntetéséhez való jogra” történő hivatkozás elismeri, hogy ki kell igazítani a törléshez való jog fogalmát, különösen digitális környezetben való alkalmazás esetében. Annak az adatkezelőnek, aki olyan személyes adatokat hozott nyilvánosságra, melyeknek tárolását az érintett meg kívánja szüntetni, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az észszerűen elvárható lépéseket – többek között technikai intézkedéseket – annak érdekében, hogy tájékoztassa a szóban forgó személyes adatokat kezelő adatkezelőket arról, hogy az érintett kérte az adatokra mutató linkeknek vagy az adatok másolatának, illetve másodpéldányának a törlését. Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és bevált gyakorlatokat tehet közzé a személyes adatokra mutató linkeknek, azok másolatainak vagy másodpéldányainak a nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő törlésére vonatkozóan.

A törléshez való jog és az adatkezelő azon kötelezettsége, hogy tájékoztassa a többi adatkezelőt a törlési kérelemről, nem alkalmazandó, amennyiben a személyes adatok kezelése a rendeletben kimerítő jelleggel felsorolt – például a véleménynyilvánítás szabadságához és az információszabadsághoz való joggal kapcsolatos – célokból szükséges.

4.7.   Az adathordozhatósághoz való jog

A Tanács első olvasatbeli álláspontja értelmében amennyiben a személyes adatok kezelése automatizált módon történik, az érintetteknek jogukban áll, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokhoz strukturált, széles körben használt, géppel olvasható és interoperábilis formátumban férjenek hozzá, és azokat egy másik adatkezelő részére továbbítsák. Továbbá rögzítésre került, hogy az érintetteknek jogukban áll a személyes adatoknak az adatkezelők közötti közvetlen továbbításáról rendelkezni, amennyiben ez technikailag megvalósítható. Ez tovább erősíti az érintetteknek az adataik feletti rendelkezését. Emellett az adatkezelők közötti versenyt is ösztönzi.

Azonban az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű feladat vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ezenkívül amennyiben egy adott személyesadat-állomány egynél több érintettre vonatkozik, az egyik érintettnek a személyes adatokhoz való hozzáféréshez való joga nem sértheti egyéb személyek jogait és szabadságait.

4.8.   A kifogásoláshoz való jog

Az érintettnek akkor is jogában áll tiltakozni az egyedi helyzetére vonatkozó személyes adatok kezelésével szemben, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott hivatali hatáskör gyakorlása keretében végzett feladat végrehajtásához, illetve az adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség. Ebben az esetben az adatkezelő nem kezelheti tovább a személyes adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Mindezek alapján megállapításra került, hogy amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintettnek jogában áll, hogy bármikor tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen. Ebbe beletartozik a profilalkotás is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Profilalkotáson a személyes adatok automatizált kezelésének bármely olyan formáját kell érteni, amelynek során az említett adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére – különösen a munkahelyi teljesítményhez, anyagi helyzethez, egészséghez, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, magatartáshoz, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére – használják. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban nem kezelhetők e célból. Erre a jogra továbbá legkésőbb az adatkezelő és az érintett közötti első kapcsolatfelvétel során kifejezetten és egyértelműen fel kell hívni az érintett figyelmét.

A Tanács első olvasatbeli álláspontja továbbá utalást tartalmaz a böngészők „ne kövess” funkciójára is, mivel kimondja, hogy az információs társadalommal összefüggő szolgáltatások használata során az érintett a felhasználó-követés elleni tiltakozás jogát automatizált eszközökkel, technikai beállítások használata révén is gyakorolhatja.

4.9.   Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az érintettnek jogában áll az, hogy ne terjedhessen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti. Példa erre egy online hitelkérelem automatikus elutasítása vagy az emberi beavatkozás nélkül lefolytatott online munkaerő-toborzás. Ilyen automatizált adatkezelésnek minősülhet a „profilalkotás” is. Mindazonáltal az automatizált adatkezelés alóli mentesülés joga nem alkalmazandó, amennyiben az automatizált adatkezelés:

Az érintettek jogai ezáltal fokozottabban érvényesülnek, mert a tisztességes és átlátható adatkezelés biztosításához az adatkezelő köteles az érintett rendelkezésére bocsátani az automatizált döntéshozatal – így a profilalkotás – meglétével kapcsolatos információkat, valamint – legalább ezekben az esetekben – érthető információkat annak logikájáról, továbbá az ilyen adatkezelés jelentőségéről és várható következményeiről az érintettre nézve.

Végezetül a személyes adatok különleges kategóriáin alapuló automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezett. Ilyen feltétel például, hogy az érintett kifogást emelhessen az adatkezelés ellen, ha a személyes adatait tudományos vagy történelmi kutatási, illetve statisztikai célból további adatkezelésnek vetik alá, kivéve ha az adatkezelés valamely közérdekű feladat végrehajtásához szükséges.

Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és legjobb gyakorlatokat tehet közzé a profilalkotáson alapuló döntéshozatalra vonatkozó kritériumok és feltételek további pontosítását illetően.

5.    Az adatkezelő és az adatfeldolgozó

5.1.   Bevezetés

A Tanács első olvasatbeli álláspontja megállapítja a személyes adatoknak az adatkezelő által – vagy az adatkezelő nevében az adatfeldolgozó által – végzett bárminemű kezelése tekintetében fennálló hatáskörre és felelősségre vonatkozó jogi keretet. Az elszámoltathatóság elvének megfelelően az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania, és bizonyítani kell tudnia, hogy az általa végzett adatkezelési műveletek megfelelnek a rendeletnek. A fentiekre tekintettel a rendelet szabályokat állapít meg arra vonatkozóan, hogy az adatkezelőre milyen felelősség hárul a hatásvizsgálatok, az adatkezelés nyilvántartása, az adatvédelmi incidensek, az adatvédelmi tisztviselő kijelölése, a magatartási kódex és a tanúsítási mechanizmusok vonatkozásában.

5.2.   Hatásvizsgálatok

Amennyiben az adatkezelés valószínűsíthetően nagy kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. A Tanács első olvasatbeli álláspontja meghatározza, hogy mely esetekben van különösen szükség adatvédelmi hatásvizsgálat végzésére – ilyenek például bizonyos nagy volumenű adatkezelési műveletek. Amennyiben a hatásvizsgálat szerint az adatkezelési műveletek olyan nagy kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően konzultálni kell a felügyeleti hatósággal. A felügyeleti hatóság tanácsot adhat az adatkezelőnek, és bármely hatáskörét gyakorolhatja.

Az Európai Adatvédelmi Testület iránymutatásokat adhat ki az olyan adatkezelési műveletekre vonatkozóan, amelyek vélhetően nagy kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, és megadhatja, hogy ilyen esetben mely intézkedésekre van szükség a potenciális kockázat kielégítő kezeléséhez.

5.3.   Az adatkezelés nyilvántartása

Annak érdekében, hogy a felügyeleti hatóság utólagos ellenőrzéseket végezhessen, az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének, vagy az adatfeldolgozónak nyilvántartást kell vezetnie a felelőssége mellett végzett adatkezelési tevékenységekről, ideértve az adatvédelmi incidenseket is. Az adminisztratív terhek csökkentése érdekében a nyilvántartási kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra vagy szervezetekre, kivéve ha az általuk végzett adatkezelési tevékenység valószínűsíthetően kockázattal jár az érintett jogaira és szabadságaira nézve, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés különleges adatok vagy büntetőítéletekre és bűncselekményekre vonatkozó adatok kezelését foglalja magában.

5.4.   Adatvédelmi incidensek

Az adatvédelmi incidensek fizikai sérülést, vagyoni vagy nem vagyoni kárt okozhatnak a természetes személyek számára, ideértve többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérülését, a szakmai titoktartási kötelezettség által védett adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb gazdasági vagy szociális hátrányt. A Tanács első olvasatbeli álláspontja értelmében az adatkezelőnek értesítenie kell a felügyeleti hatóságot az adatvédelmi incidensről, kivéve ha az vélhetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatkezelőnek továbbá tájékoztatnia kell az érintetteket, amennyiben az adatvédelmi incidens vélhetően nagy kockázattal jár. Az értesítésnek köszönhetően a felügyeleti hatóságok szükség esetén intézkedéseket hozhatnak, az érintettek pedig óvintézkedéseket tehetnek.

Az adminisztratív terhek csökkentése érdekében a Tanács első olvasatbeli álláspontja eltérő határidőket állapít meg a felügyeleti hatóságnak szóló értesítést és az érintettnek címzett tájékoztatást illetően: az előbbire szigorúbb határidő vonatkozik. Amint az adatvédelmi incidens az adatkezelő tudomására jut, indokolatlan késedelem nélkül, és amennyiben lehetséges, legkésőbb 72 órán belül értesítenie kell arról az illetékes felügyeleti hatóságot. Az adatkezelő ugyanakkor eltekinthet az értesítéstől, amennyiben bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Néhány kivételtől eltekintve az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintetteket az adatvédelmi incidensről, amennyiben az valószínűsíthetően nagy kockázattal jár az érintettek jogaira és szabadságaira nézve.

Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és legjobb gyakorlatokat tehet közzé az adatvédelmi incidens és az indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelőnek értesítést kell küldenie az adatvédelmi incidensről, továbbá azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens várhatóan nagy kockázattal jár az egyének jogaira és szabadságaira nézve.

5.5.   Adatvédelmi tisztviselő

Adatvédelmi tisztviselő kijelölésére azért van szükség, hogy javítani lehessen a rendeletnek való megfelelést. Az adatvédelmi tisztviselőnek ezért olyan személynek kell lennie, aki szakértelemmel rendelkezik az adatvédelmi jog és gyakorlat terén. Az adatvédelmi tisztviselőnek segítenie kell az adatkezelőt vagy adatfeldolgozót abban, hogy házon belül ellenőrizni tudja, tevékenysége megfelel-e e rendeletnek. Az adatvédelmi felelős az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Vállalkozáscsoport esetében, illetve amennyiben az adatkezelő vagy az adatfeldolgozó közhatalmi szerv, egyetlen közös adatvédelmi felelős is kijelölhető. A Tanács első olvasatbeli álláspontja előírja, hogy kötelező adatvédelmi tisztviselőt kijelölni, ha:

5.6.   Magatartási kódexek és tanúsítási mechanizmus

A Tanács első olvasatbeli álláspontja magatartási kódexek alkalmazására, valamint az adatvédelmi tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések szélesebb körű használatára ösztönöz, mivel ezek elősegítik az adatvédelmi szabályoknak való megfelelést, ugyanakkor nem túlzottan előíró jellegűek és csökkentik a végrehajtásért felelős közhatalmi szervekre, illetve egyéb, közfeladatot ellátó szervekre háruló költségeket. A magatartási kódexekben ezen túlmenően figyelembe lehet venni a meghatározott ágazatokban végzett adatkezelés sajátosságait, valamint a mikro-, kis- és középvállalkozások sajátos szükségleteit. A tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések pedig annak révén segítik elő a rendeletnek való megfelelést, hogy lehetővé teszik az érintettek számára az adott termékek és szolgáltatások tekintetében biztosított adatvédelmi szint könnyű felmérését.

A Tanács első olvasatbeli álláspontja több szabályt is tartalmaz a magatartási kódexekre és tanúsítási mechanizmusokra, adatvédelmi védjegyekre és jelölésekre vonatkozóan, amely szabályok teret hagynak a magánkezdeményezéseknek, a felügyeleti hatóságoknak biztosított szerep révén ugyanakkor gondoskodnak a megfelelő adatvédelmi szabványok védelméről.

5.6.1.   Magatartási kódexek

A felügyeleti hatóság jóváhagyhat magatartási kódexeket, továbbá jóváhagyhatja azok módosításait vagy bővítéseit. Amennyiben a magatartási kódex tervezete több tagállamot is érintő adatkezelői tevékenységekre vonatkozik, az illetékes felügyeleti hatóságnak a jóváhagyás előtt véleményezésre be kell nyújtania az Európai Adatvédelmi Testülethez a kódex tervezetét, illetve a módosított vagy kibővített változatot.

A Bizottság végrehajtási aktusok útján határozhat úgy, hogy az illetékes felügyeleti hatóság által jóváhagyott új magatartási kódexek, illetve a hatályos magatartási kódexek illetékes felügyeleti hatóság által jóváhagyott módosításai vagy bővítései általános érvénnyel bírnak az Unió területén.

Az Európai Adatvédelmi Testületnek ösztönöznie kell magatartási kódexek kidolgozását. Emellett valamennyi jóváhagyott magatartási kódexet és azok módosításait egy nyilvántartásban kell összegyűjtenie, és azokat megfelelő módon nyilvánosan elérhetővé kell tennie.

5.6.2.   Tanúsítási mechanizmusok, adatvédelmi védjegyek, illetve jelölések

A Tanács első olvasatbeli álláspontja értelmében minden tagállamnak meg kell győződnie arról, hogy a tanúsító szervezeteket akkreditálta-e a felügyeleti hatóság vagy a nemzeti akkreditáló testület. Az akkreditált tanúsító szervezetek az illetékes felügyeleti hatóság által, illetve az egységességi mechanizmusnak megfelelően az Európai Adatvédelmi Testület által jóváhagyott kritériumok alapján végezhetik az adatkezelők és adatfeldolgozók tanúsítását. Ez utóbbi esetben az Európai Adatvédelmi Testület által jóváhagyott kritériumok eredményeként közös tanúsítvány állítható ki, az európai adatvédelmi védjegy. Az adatkezelők vagy adatfeldolgozók részére legfeljebb három évre szóló, megújítható tanúsítvány állítható ki. A tanúsító szervezetnek közölnie kell a felügyeleti hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait. Ezt követően a felügyeleti hatóság megtagadhatja vagy érvénytelennek nyilváníthatja a tanúsítványt.

A Bizottság felhatalmazáson alapuló jogi aktusokat fogadhat el az adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása céljából. Az Európai Adatvédelmi Testületnek véleményt kell nyilvánítania ezekről a követelményekről. A Bizottság végrehajtási aktusok útján a tanúsítási mechanizmusokra és az adatvédelmi védjegyekre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és az adatvédelmi védjegyek, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg.

Végezetül, az Európai Adatvédelmi Testületnek ösztönöznie kell adatvédelmi tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések kialakítását.

6.    A személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítása

6.1.   Bevezetés

A globális kereskedelem és a határokon átnyúló digitális gazdaság összefüggésében elengedhetetlen a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló, határokat átlépő forgalma. Az uniós polgárok személyes adatainak az Unión kívülre továbbításakor nem sérülhet az Unióban biztosított védelem szintje.

Általános elvként a személyes adatok harmadik országba vagy nemzetközi szervezet részérő történő továbbítására csak akkor kerülhet sor, ha az adatkezelő és az adatfeldolgozó megfelel a rendeletben foglalt előírásoknak. A Tanács első olvasatbeli álláspontja maradéktalanul figyelembe veszi az Európai Unió Bíróságának ítélkezési gyakorlatát, ideértve a C-362/14. sz. ügyben 2015. október 6-án hozott ítéletét. A Tanács álláspontja a személyes adatok határokon átnyúló továbbítását illetően megtartja a különböző lehetőségeket, ugyanakkor szigorúbb garanciákat ír elő az adatvédelmi jogok tiszteletben tartása érdekében. A személyes adatok továbbítására megfelelőségi határozatok, megfelelő garanciák és eltérések révén van lehetőség.

A Tanács első olvasatbeli álláspontja egyértelműen megállapítja, hogy valamely harmadik ország bíróságának vagy törvényszékének bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan határozata, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az a megkereső harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson alapul. Az első olvasatban elfogadott tanácsi álláspont továbbá világosan kimondja, hogy az említett nemzetközi megállapodások nem érintik a határokon átnyúló adattovábbítás e rendelet szerinti egyéb indokait.

6.2.   Megfelelőségi határozatok

Határokon átnyúló adattovábbításra a Bizottság által hozott megfelelőségi határozat alapján kerülhet sor, amennyiben a Bizottság megállapította, hogy a harmadik ország, annak valamely területe vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő, az Unióban biztosítottal lényegében megegyező védelmi szintet biztosít. Ezzel az Unió egészében biztosított a jogbiztonság és az egységesség.

A Bizottság a harmadik országnak vagy nemzetközi szervezetnek küldött, teljes körű indokolással ellátott értesítést követően vissza is vonhatja a megfelelőségi határozatot. A Bizottság a megfelelőségi határozatokat és az e határozatok visszavonásáról szóló határozatokat végrehajtási aktusok útján fogadja el. Az adott végrehajtási aktusokban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról. A Bizottságnak emellett nyomon kell követnie a harmadik országokban és a nemzetközi szervezeteknél végbement azon fejleményeket, amelyek érinthetik a megfelelőségi határozatok végrehajtását. A nyomon követés és az időszakos felülvizsgálatok céljából a Bizottságnak figyelembe kell vennie az Európai Parlament és a Tanács, valamint az egyéb érintett szervek és források véleményét és megállapításait. A rendelet értékelésének és felülvizsgálatának keretében a Bizottságnak rendszeres időközönként jelentést kell benyújtania a Tanács és az Európai Parlament számára. Az Európai Adatvédelmi Testületnek véleményt kell benyújtania a Bizottság számára annak értékeléséhez, hogy egy adott harmadik ország vagy nemzetközi szervezet megfelelő szintű adatvédelmet biztosít-e, ideértve annak megállapítását is, hogy esetleg már nem biztosított a megfelelő szintű védelem.

A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat egy, a Bizottság által elfogadott határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. Hasonlóképpen, a valamely tagállam vagy felügyeleti hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek és a Bizottság által a 95/46/EK irányelv 26. cikkének (4) bekezdése alapján elfogadott határozatok hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti hatóság, vagy a Bizottság által elfogadott határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. A folytonosság biztosítása révén a Tanács első olvasatbeli álláspontja jogbiztonságot nyújt.

6.3.   Megfelelő garanciák

Határokon átnyúló adattovábbításra nemcsak megfelelőségi határozatok révén van lehetőség, hanem akkor is, ha az adatkezelő vagy adatfeldolgozó az adatvédelem harmadik országbeli hiányosságainak ellensúlyozására megfelelő garanciákat nyújt. Ezek a garanciák magukban foglalhatják a közhatalmi szervek vagy szervezetek közötti, jogilag kötelező erejű, végrehajtható eszközöket, a vállalkozások kötelező adatvédelmi szabályzatát, valamint a Bizottság által elfogadott általános adatvédelmi kikötéseket, a felügyeleti hatóság által elfogadott általános adatvédelmi kikötéseket vagy a felügyeleti hatóság által engedélyezett szerződési feltételeket. A harmadik országbeli adatkezelők és adatfeldolgozók szintén nyújthatnak megfelelő garanciákat személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítására vonatkozóan. Ennek egyik módja az, hogy egy elfogadott magatartási kódexet alkalmaznak, valamint szerződéses vagy más, jogilag kötelező eszközök révén kötelező erejű és érvényesíthető kötelezettségvállalásokat tesznek arra vonatkozóan, hogy alkalmazzák a megfelelő garanciákat, többek között az érintettek jogait illetően is. A másik módja az, hogy az illetékes felügyeleti hatóság által jóváhagyott tanúsítási mechanizmust alkalmaznak, valamint kötelező erejű és érvényesíthető kötelezettségvállalást tesznek arra vonatkozóan, hogy alkalmazzák a megfelelő garanciákat, többek között az érintettek jogait illetően is.

6.4.   Eltérések

Megfelelőségi határozat vagy megfelelő garanciák hiányában személyes adatokat csak a rendeletben tételesen felsorolt eltérések alapján lehet harmadik ország vagy nemzetközi szervezet részére továbbítani. Az említett eltérések egyike az adatkezelő jogos érdekeinek érvényesítése, feltéve, hogy az érintett érdekei, jogai és szabadságai nem élveznek elsőbbsége. Annak érdekében, hogy a személyes adatok határokon átnyúló továbbítása tekintetében megfelelő garanciák álljanak rendelkezésre, az adatkezelő jogos érdekeit a rendelet szigorú keretek közé szorítja, és e jogos érdekre csak mint ultimum remedium lehet hivatkozni. A rendelet egységes alkalmazásának érdekében az Európai Adatvédelmi Testületnek saját kezdeményezésre vagy a Bizottság kérésére iránymutatásokat, ajánlásokat és legjobb gyakorlatokat kell kidolgoznia és felülvizsgálnia a megfelelőségi határozat vagy megfelelő garanciák hiányában történő adattovábbításra vonatkozó kritériumok és követelmények pontosítása céljából.

7.    Felügyeleti hatóság

7.1.   Függetlenség

A természetes személyeket személyes adataik kezelésével kapcsolatban megillető alapvető jogok és szabadságok védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam köteles előírni, hogy e rendeletnek a saját területén történő alkalmazását egy vagy több független közhatalmi szervnek, illetve egyéb, közfeladatot ellátó szervnek ellenőriznie kell. A felügyeleti hatóságoknak és tagjaiknak teljesen függetlenül, tisztességesen kell eljárniuk a rájuk ruházott feladat- és hatáskörök gyakorlása során.

Mindegyik felügyeleti hatóságnak elő kell segítenie a rendelet Unió-szerte egységes alkalmazását. E célból a felügyeleti hatóságoknak együtt kell működniük egymással és az Európai Adatvédelmi Testülettel, valamint a Bizottsággal. Az egységes alkalmazást a fentiek mellett elősegíti az is, hogy a rendelet meghatározza a felügyeleti hatóságok illetékességét, a feladataikat, továbbá azokat a vizsgálati, korrekciós, engedélyezési és tanácsadási hatásköreiket, melyekkel a felügyeleti hatóságoknak mindenképpen rendelkezniük kell.

7.2.   Szakmai titoktartás

A Tanács első olvasatbeli álláspontja szabályokat ír elő a felügyeleti hatóságok és tagjaik szakmai titoktartási kötelezettségét illetően. Először is, az uniós vagy tagállami jognak megfelelően mindegyik felügyeleti hatóság tagját vagy tagjait, továbbá személyzetét a hivatali idejük alatt és annak leteltét követően is szakmai titoktartási kötelezettség terheli a feladataik ellátása és hatásköreik gyakorlása során tudomásukra jutott bármely bizalmas információ tekintetében. Az álláspont továbbá kimondja, hogy hivatali idejük alatt ez a szakmai titoktartási kötelezettség különösen vonatkozik a természetes személyek által e rendelet megsértését illetően tett bejelentésekre. Ezen túlmenően az Európai Adatvédelmi Testületnek iránymutatásokat, ajánlásokat és legjobb gyakorlatokat kell közzétennie a természetes személyek által e rendelet megsértését illetően tett bejelentésekre vonatkozó közös eljárások megállapítása céljából.

8.    Együttműködés és egységesség

8.1.   Európai Adatvédelmi Testület

A Tanács első olvasatbeli álláspontja létrehozza az Európai Adatvédelmi Testületet olyan jogi személyiséggel rendelkező, uniós szervként, amelynek biztosítania kell a rendelet helyes és egységes alkalmazását. A testület feladatai közé a véleményezés mellett az tartozik, hogy a felügyeleti hatóságok közötti jogviták rendezése céljából jogilag kötelező döntéseket hozzon, valamint hogy iránymutatásokat adjon az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozóan, a rendelet egységes alkalmazását biztosítandó.

Az Európai Adatvédelmi Testület tagállamonként egy-egy felügyeleti hatóság vezetőjéből és az európai adatvédelmi biztosból, vagy azok képviselőiből áll. A Bizottságnak joga van részt venni az Európai Adatvédelmi Testület tevékenységében és ülésein, de szavazati joggal nem rendelkezik. Az Európai Adatvédelmi Testület megbeszélései – amennyiben a Testület azt az eljárási szabályzat előírásai szerint szükségesnek tartja – titkosak.

Amennyiben az Európai Adatvédelmi Testület egy jogvita rendezése keretében kötelező döntést fogad el, az európai adatvédelmi biztos kizárólag az uniós intézményekre, szervekre, hivatalokra és ügynökségekre alkalmazandó azon elveket és szabályokat érintő döntések tekintetében rendelkezik szavazati joggal, amelyek lényegükben megfelelnek az e rendeletben foglalt elveknek és szabályoknak.

8.2.   Az egységességi mechanizmus

Azokban az esetekben, amelyekben a személyes adatok határokon átnyúló kezelésében egynél több felügyeleti hatóság is érintett, az egységességi mechanizmus biztosítja, hogy a különböző érintett felügyeleti hatóságok véleményét figyelembe vevő, egyetlen döntés szülessen, amely az Unió egészében alkalmazandó. Az egységességi mechanizmus így „közelíti” egymáshoz az érintetteket és a döntéshozó felügyeleti hatóságokat, hiszen bevonja a „helyi” felügyeleti hatóságokat a döntéshozatali folyamatba. Ezenfelül a különböző tagállamok felügyeleti hatóságai közötti jogviták esetében az újonnan létrehozott Európai Adatvédelmi Testület illetékes kötelező döntések meghozatalára.

Az egységességi mechanizmusra vonatkozó szabályok nem alkalmazandók abban az esetben, ha az adatkezelést közhatalmi szervek, illetve egyéb, közfeladatot ellátó szervek vagy közérdekből eljáró magánjogi szervezetek végzik. Ilyen esetben kizárólag az a felügyeleti hatóság az illetékes, amely annak a tagállamnak a felügyeleti hatósága, ahol az adott közhatalmi szerv, illetve egyéb, közfeladatot ellátó szerv vagy magánjogi szervezet székhelye található.

A Tanács első olvasatbeli álláspontja előírja, hogy a rendelet Bizottság általi értékelésének keretében meg kell vizsgálni az együttműködési és egységességi mechanizmus működését.

9.    Jogorvoslat, felelősség és szankciók

A Tanács első olvasatbeli álláspontja olyan kidolgozott szabálycsomagot állapít meg, amely különböző jogorvoslati lehetőségeket kínál az érintettek számára, ideértve azt is, hogy a rendelet megsértése következtében elszenvedett kárért kártérítést követeljenek.

9.1.   Panasztételi jog és bírósági jogorvoslathoz való jog

A Tanács első olvasatbeli álláspontja úgy rendelkezik, hogy minden érintettnek joga van panaszt tenni egy felügyeleti hatóságnál, ha megítélése szerint a rá vonatkozó személyes adatok kezelése nem felel meg e rendeletnek. Ezenfelül minden érintettnek jogában áll, hogy hatékony bírósági jogorvoslatot kérjen a felügyeleti hatóság rá vonatkozó, jogilag kötelező döntésével szemben. Ezen túlmenően minden érintettnek jogában áll, hogy hatékony bírósági jogorvoslatot kérjen abban az esetben, ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy nem tájékoztatja az érintettet a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

Minden érintettnek joga van továbbá a hatékony bírósági jogorvoslathoz, ha megítélése szerint a személyes adatait nem e rendeletnek megfelelően kezelték, és ennek következtében megsértették a rendelet szerinti jogait.

A rendelet „közelíti” egymáshoz az érintetteket és a nemzeti bíróságokat, mivel előírja, hogy az érintetteknek jogukban áll kérni, hogy a nemzeti bíróság vizsgálja felül az adatvédelmi hatóság döntéseit, függetlenül attól, hogy az adatkezelő tevékenységi helye melyik tagállamban található. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogosítványát gyakorló közhatalmi szerve, illetve egyéb, közfeladatot ellátó szerve.

Végezetül minden természetes vagy jogi személynek jogában áll, hogy az EUMSZ 263. cikkében meghatározott feltételek szerint keresetet nyújtson be az Európai Unió Bíróságához az Európai Adatvédelmi Testület döntéseinek megsemmisítése érdekében.

9.2.   Az érintettek képviselete

Az érintettnek jogában áll, hogy amennyiben a tagállam joga ezt lehetővé teszi, konkrét kritériumoknak (például a nonprofit alapú tevékenység kritériumának) megfelelő és az adatvédelem területén tevékenykedő szervet, szervezetet vagy egyesületet bízzon meg azzal, hogy a nevében panaszt nyújtson be, a nevében gyakorolja a bírósági jogorvoslathoz való jogát, valamint a nevében érvényesítse kártérítési jogát. Az említett konkrét kritériumokra azért van szükség, hogy az adatvédelem területén ne alakuljon ki egyfajta „panasztételi üzletág”. A tagállamok ezenfelül rendelkezhetnek úgy, hogy az adott tagállamban az említett bármely szerv, szervezet vagy egyesület számára – az érintettől kapott megbízástól függetlenül – biztosítani kell azt a jogot, hogy az illetékes felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a bírósági jogorvoslathoz való jogot, ha megítélése szerint sérültek valamely érintett jogai annak következtében, hogy a személyes adatok kezelése nem e rendeletnek megfelelően történt.

9.3.   Az eljárás felfüggesztése

Amennyiben ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, valamennyi olyan illetékes bíróság, amely előtt az eljárás később indult meg, felfüggesztheti az általa folytatott eljárást, vagy valamely fél kérelmére megállapíthatja joghatóságának hiányát.

9.4.   Kártérítéshez való jog és felelősség

A Tanács első olvasatbeli álláspontja értelmében minden olyan érintett, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. A rendelet egyrészről lehetőséget kínál az érintettek számára ahhoz, hogy kár esetén kártérítést igényeljenek, másrészről pedig ezzel párhuzamosan jogbiztonságot kínál az adatkezelők és adatfeldolgozók számára azzal, hogy meghatározza felelősségeiket. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az adatkezeléssel okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel, amennyiben nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyva vagy azok ellenében járt el. Az adatkezelőt, illetve az adatfeldolgozót ugyanakkor fel kell menteni a felelősség alól, amennyiben bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

Amennyiben több adatkezelő vagy adatfeldolgozó, illetve egy adatkezelő és egy adatfeldolgozó is érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, az érintett tényleges kártérítésének biztosítása érdekében minden egyes adatkezelő vagy adatfeldolgozó felelősséggel tartozik a teljes kárért. Amennyiben azonban valamely adatkezelő vagy adatfeldolgozó teljes kártérítést fizetett az elszenvedett kárért, jogában áll az ugyanazon adatkezelésben érintett többi adatkezelőtől vagy adatfeldolgozótól visszaigényelni a kártérítésnek azt a részét, amely megfelel a károkozásért viselt felelősségük mértékének.

9.5.   Szankciók

A rendeletnek való megfelelés biztosítása érdekében a Tanács első olvasatbeli álláspontja úgy rendelkezik, hogy a felügyeleti hatóságok közigazgatási bírságokat róhatnak ki. Ezeknek a bírságoknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. A tagállamok megállapíthatják az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi, illetve egyéb, közfeladatot ellátó szervekkel és más szervekkel szemben szabható-e ki közigazgatási bírság, és ha igen, milyen mértékben. A közigazgatási bírságok kiszabásán kívül a felügyeleti hatóságok más korrekciós hatáskörrel is rendelkeznek, így például figyelmeztetéseket vagy elmarasztalásokat fogalmazhatnak meg. A nagyobb fokú harmonizáció érdekében az Európai Adatvédelmi Testületnek iránymutatásokat kell kidolgoznia a felügyeleti hatóságok számára a korrekciós hatáskörök alkalmazását és a közigazgatási bírságok megállapítását illetően.

A Tanács első olvasatbeli álláspontja egy felsorolásban tartalmazza azokat a kritériumokat, amelyeket a felügyeleti hatóságnak figyelembe kell vennie akkor, amikor arról dönt, hogy kiró-e közigazgatási bírságot, és ha igen, az mekkora összegű legyen. Ezek a kritériumok többek között a rendelet megsértésének jellegére, súlyosságára, időtartamára, szándékos vagy gondatlan voltára vonatkoznak. A rendelet felsorolja a jogsértéseket és az azokhoz kapcsolódóan maximálisan kiszabható közigazgatási bírságokat is. E maximálisan kiszabható közigazgatási bírságokon belül a felügyeleti hatóságnak az egyes jogsértések körülményeire figyelemmel kell megállapítania a konkrét összeget. Annak érdekében, hogy az adatkezelők és adatfeldolgozók számára jogbiztonságot nyújtson, és az Unión belül úgy fokozza a közigazgatási bírságok harmonizációját, hogy közben némi mozgásteret biztosítson a felügyeleti hatóságok számára, a rendelet a jogsértéseket három kategóriába osztja. Az első kategóriába tartozó, az adatkezelők és adatfeldolgozók kötelezettségei tekintetében megállapított jogsértések legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújthatók; a kettő közül a magasabb összeget kell kiszabni. A második kategóriában az érintettek jogait és az adatkezelés általános elveit sértő jogsértések szerepelnek, ezek legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve vállalatok esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújthatók. A jogsértések harmadik kategóriája nem más, mint a felügyeleti hatóságok utasításainak be nem tartása, és az ilyen esetekben is legfeljebb 20 000 000 EUR összegű közigazgatási bírságot, illetve vállalatok esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegnek megfelelő bírságot lehet kiszabni.

10.    Az adatkezelés különös esetei

10.1.   A személyes adatok kezelése és a véleménynyilvánítás szabadságához és az információszabadsághoz való jog

A tagállamoknak jogszabályban kell összeegyeztetniük a személyes adatok e rendelet szerinti védelméhez való jogot a véleménynyilvánítás szabadságához és az információszabadsághoz való joggal, ideértve a személyes adatoknak az újságírás, illetve a tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelését is. Annak érdekében, hogy az említett jogok összeegyeztetését illetően biztosított legyen az átláthatóság, a tagállamoknak értesíteniük kell a Bizottságot releváns nemzeti jogi rendelkezéseikről, azok módosításairól, valamint a vonatkozó új rendelkezésekről.

10.2.   Foglalkoztatással összefüggő adatkezelés

A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokról rendelkezhetnek annak érdekében, hogy a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében biztosítsák a jogok és szabadságok védelmét.

E szabályok részeként olyan konkrét intézkedéseket kell meghatározni, melyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak a megóvására. Minden tagállamnak értesítenie kell a Bizottságot releváns nemzeti jogi rendelkezéseiről, azok módosításairól, valamint a vonatkozó új rendelkezésekről.

10.3.   A személyes adatok közérdekű archiválás céljából, illetve tudományos és történelmi kutatási célból vagy statisztikai célból való kezelésére vonatkozó garanciák és eltérések

A Tanács első olvasatbeli álláspontja egyedi szabályokat állapít meg a személyes adatok közérdekű archiválás céljából történő kezelését, illetve tudományos és történelmi kutatási célokból vagy statisztikai célokból való kezelését illetően. A szabályok arra hivatottak, hogy megfelelő egyensúlyt teremtsenek az adatvédelmi jogok érvényesülése és a között a szükségszerűség között, hogy archívumok fenntartása, statisztikák készítése és kutatások végzése céljából elérhető személyes adatok álljanak rendelkezésre.

A személyes adatok közérdekű archiválás céljából, illetve tudományos és történelmi kutatási célokból vagy statisztikai célból való kezelésére a rendelet alapján megfelelő biztosítékoknak kell vonatkozniuk az érintettek jogai és szabadságai tekintetében. A tagállamok számára engedélyezett, hogy konkrét feltételekkel és az érintettek számára nyújtott megfelelő biztosítékok mellett pontosításokat és eltéréseket alkalmazzanak a tájékoztatási követelményekre, a helyesbítéshez, a törléshez, az elfeledtetéshez és az adatkezelés korlátozásához való jogra, valamint az adathordozhatósághoz való jogra, továbbá a közérdekű archiválás célját, illetve tudományos és történelmi kutatási vagy statisztikai célokat szolgáló személyesadat-kezelés kifogásolásához való jogra vonatkozóan.

A Tanács első olvasatbeli álláspontja emellett eltérést tesz lehetővé a különleges személyes adatok kezelésének tilalma alól, amennyiben az adatkezelés közérdekű archiválás céljából, illetve tudományos és történelmi kutatási célból vagy statisztikai célból történik. Ilyen eltérésre akkor van lehetőség, ha a szóban forgó adatkezelés alapjául uniós vagy nemzeti jog szolgál; az adott jogszabálynak arányosnak kell lennie az elérni kívánt céllal, tiszteletben kell tartania a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására alkalmas és konkrét intézkedéseket kell előírnia.

11.    Korábban kötött megállapodások

A Tanács első olvasatbeli álláspontja meghatározza, hogy a tagállamok által az e rendelet hatálybalépése előtt kötött azon nemzetközi megállapodások, amelyek személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbításáról rendelkeznek, és amelyek megfelelnek az e rendelet hatálybalépése előtt alkalmazandó uniós jognak, módosításukig, felváltásukig vagy visszavonásukig változatlanul hatályban maradnak. Ez a megközelítés jogbiztonságot nyújt az adatkezelők számára, és nem ró szükségtelen adminisztratív terheket a tagállamokra, továbbá szem előtt tartja azt a tényt, hogy a meglévő megállapodások módosítását illetően a tagállamok függnek a harmadik ország vagy nemzetközi szervezet együttműködésétől.

IV.   ÖSSZEGZÉS

A Tanács első olvasatban elfogadott álláspontja tükrözi a Tanács és az Európai Parlament közötti nem hivatalos tárgyalások során – a Bizottság közreműködésével – kialakított kompromisszum tartalmát. A Tanács felkéri az Európai Parlamentet, hogy módosítások nélkül hivatalosan hagyja jóvá a Tanács első olvasatban elfogadott álláspontját, hogy létre lehessen hozni az új uniós adatvédelmi jogszabályi keretet, mely megerősíti az adatvédelemmel kapcsolatos jogokat, egyúttal elősegíti a személyes adatok áramlását a digitális piacon.