interactive GDPR 2016/0679 HU

„ személyes_adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„ adatkezelés”: a személyes_adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.	„az adatkezelés korlátozása”: a tárolt személyes_adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„ profilalkotás”: személyes_adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes_adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

„ álnevesítés”: a személyes_adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes_adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes_adatot nem lehet kapcsolni;

6.	„ nyilvántartási_rendszer”: a személyes_adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„ adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes_adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.	„ adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes_adatokat kezel;

„ címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes_adatot közlik, függetlenül attól, hogy harmadik_fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes_adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10.

„ harmadik_fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes_adatok kezelésére felhatalmazást kaptak;

11.

„ az_érintett_hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes_adatok kezeléséhez;

12.	„ adatvédelmi_incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13.

„ genetikai_adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes_adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

14.

„ biometrikus_adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes_adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

15.	„ egészségügyi_adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes_adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16.

„ tevékenységi_központ”:

az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi_központnak tekinteni;

az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

17.

„ képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

18.	„ vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19.	„ vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20.

„ kötelező_erejű_vállalati_szabályok”: a személyes_adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes_adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

21.	„ felügyeleti_hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

22.

„érintett felügyeleti_hatóság”: az a felügyeleti_hatóság, amelyet a személyes_adatok kezelése a következő okok valamelyike alapján érint:

a)	az adatkezelő vagy az adatfeldolgozó az említett felügyeleti_hatóság tagállamának területén rendelkezik tevékenységi hellyel;

b)	az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti_hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

c)	panaszt nyújtottak be az említett felügyeleti_hatósághoz;

23.

„ személyes_adatok határokon átnyúló adatkezelése”:

a)	személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

24.

„ releváns_és_megalapozott_kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes_adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

25.	„ az_információs_társadalommal_összefüggő_szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26.	„ nemzetközi_szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

3. cikk

Területi hatály

(1) E rendeletet kell alkalmazni a személyes_adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.

(2) E rendeletet kell alkalmazni az Unióban tartózkodó érintettek személyes_adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:

a)	áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy

b)	az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.

(3) E rendeletet kell alkalmazni a személyes_adatoknak a nem az Unióban, hanem olyan helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelésére, ahol a nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.

4. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

3.	„az adatkezelés korlátozása”: a tárolt személyes_adatok megjelölése jövőbeli kezelésük korlátozása céljából;

6.	„ nyilvántartási_rendszer”: a személyes_adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

8.	„ adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes_adatokat kezel;

10.

11.

12.	„ adatvédelmi_incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13.

14.

15.	„ egészségügyi_adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes_adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16.

„ tevékenységi_központ”:

17.

18.	„ vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19.	„ vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20.

21.	„ felügyeleti_hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

22.

„érintett felügyeleti_hatóság”: az a felügyeleti_hatóság, amelyet a személyes_adatok kezelése a következő okok valamelyike alapján érint:

a)	az adatkezelő vagy az adatfeldolgozó az említett felügyeleti_hatóság tagállamának területén rendelkezik tevékenységi hellyel;

b)	az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti_hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

c)	panaszt nyújtottak be az említett felügyeleti_hatósághoz;

23.

„ személyes_adatok határokon átnyúló adatkezelése”:

a)	személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

24.

25.	„ az_információs_társadalommal_összefüggő_szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26.	„ nemzetközi_szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

23. cikk

Korlátozások

(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a)	nemzetbiztonság;

b)	honvédelem;

c)	közbiztonság;

d)	bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

e)	az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

f)	a bírói függetlenség és a bírósági eljárások védelme;

g)	a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

h)	az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

i)	az érintett védelme vagy mások jogainak és szabadságainak védelme;

j)	polgári jogi követelések érvényesítése.

(2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a)	az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b)	a személyes_adatok kategóriáira,

c)	a bevezetett korlátozások hatályára,

d)	a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e)	az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,

f)	az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g)	az érintettek jogait és szabadságait érintő kockázatokra, és

h)	az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

IV. FEJEZET

Az adatkezelő és az adatfeldolgozó

1. szakasz

Általános kötelezettségek

27. cikk

Az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői

(1) A 3. cikk (2) bekezdésében meghatározott esetben az adatkezelő vagy az adatfeldolgozó írásban uniós képviselőt jelöl ki.

(2) Az e cikk (1) bekezdésében foglalt kötelezettséget nem kell alkalmazni:

az alkalmi jellegű adatkezelésre, amely nem terjed ki sem a személyes_adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáira, sem a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelésére, és amely – figyelembe véve az adatkezelés jellegét, körülményeit, hatókörét és céljait – valószínűsíthetően nem jelent kockázatot a természetes személyek jogaira és szabadságaira nézve; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervekre.

(3) A képviselőnek tevékenységi hellyel kell rendelkeznie az egyik olyan tagállamban, ahol azon érintettek tartózkodnak, akiknek személyes_adatait áruknak vagy szolgáltatásoknak a részükre történő nyújtása során kezelik vagy akiknek a magatartását megfigyelik.

(4) Az adatkezelő vagy az adatfeldolgozó által a képviselő számára adott megbízásnak ki kell terjednie arra, hogy az adatkezeléssel összefüggő minden ügyben, az e rendeletnek való megfelelés biztosítása érdekében – különösen a felügyeleti_hatóságok és az érintettek megkeresésére – az adatkezelő vagy az adatfeldolgozó helyett vagy mellett a képviselő járjon el.

(5) Az a tény, hogy az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, nem érinti az adatkezelővel vagy az adatfeldolgozóval szembeni keresetindításhoz való jogot.

28. cikk

Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes_adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a személyes_adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes_adatoknak valamely harmadik ország vagy nemzetközi_szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)	biztosítja azt, hogy a személyes_adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)	meghozza a 32. cikkben előírt intézkedéseket;

d)	tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;

e)	az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)	segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)	az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes_adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes_adatok tárolását írja elő;

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.

(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.

(7) A Bizottság – a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8) A felügyeleti_hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

29. cikk

Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes_adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

30. cikk

Az adatkezelési tevékenységek nyilvántartása

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatkezelés céljai;

c)	az érintettek kategóriáinak, valamint a személyes_adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes_adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi_szervezeteket;

adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f)	ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b)	az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)	adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti_hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes_adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatoknak a kezelésére.

31. cikk

Együttműködés a felügyeleti_hatósággal

Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a felügyeleti_hatósággal – annak megkeresése alapján – együttműködik.

2. szakasz

Adatbiztonság

32. cikk

Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a)	a személyes_adatok álnevesítését és titkosítását;

b)	a személyes_adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c)	fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes_adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d)	az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3) Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.

(4) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes_adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

33. cikk

Az adatvédelmi_incidens bejelentése a felügyeleti_hatóságnak

(1) Az adatvédelmi_incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti_hatóságnak, kivéve, ha az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi_incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)	ismertetni kell az adatvédelmi_incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)	közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)	ismertetni kell az adatvédelmi_incidensből eredő, valószínűsíthető következményeket;

d)	ismertetni kell az adatkezelő által az adatvédelmi_incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi_incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi_incidenseket, feltüntetve az adatvédelmi_incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti_hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

35. cikk

Adatvédelmi hatásvizsgálat

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes_adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.

(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)	a 9. cikk (1) bekezdésében említett személyes_adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelése; vagy

c)	nyilvános helyek nagymértékű, módszeres megfigyelése.

(4) A felügyeleti_hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti_hatóság továbbítja az említett jegyzékeket a Testület részére.

(5) A felügyeleti_hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni. A felügyeleti_hatóság továbbítja ezeket a jegyzékeket a Testület részére.

(6) A (4) és (5) bekezdésben említett jegyzékek elfogadását megelőzően az illetékes felügyeleti_hatóság igénybe veszi a 63. cikkben említett egységességi mechanizmust, ha ezek a jegyzékek olyan adatkezelési tevékenységeket tartalmaznak, amelyek az érintettek számára történő, több tagállamra kiterjedő áru- vagy szolgáltatás nyújtásához vagy az érintettek viselkedésének több tagállamra kiterjedő megfigyeléséhez kapcsolódnak, vagy érdemben érinthetik a személyes_adatok Unión belüli szabad áramlását.

(7) A hatásvizsgálat kiterjed legalább:

a)	a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;

b)	az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

c)	az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

d)	a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes_adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

(8) Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó adatkezelők, illetve adatfeldolgozók teljesítik-e a 40. cikkben említett jóváhagyott magatartási kódexek előírásait.

(9) Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes_adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

36. cikk

Előzetes konzultáció

(1) Ha a 35. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes_adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti_hatósággal.

(2) Ha a felügyeleti_hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti_hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti_hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti_hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3) Az adatkezelő a felügyeleti_hatósággal folytatott, (1) bekezdés szerinti konzultáció során a felügyeleti_hatóságot tájékoztatja:

a)	adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;

b)	a tervezett adatkezelés céljairól és módjairól;

c)	az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

d)	adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;

e)	a 35. cikk szerinti adatvédelmi hatásvizsgálatról; és

f)	a felügyeleti_hatóság által kért minden egyéb információról.

(4) A tagállamok konzultálnak a felügyeleti_hatósággal minden, a személyes_adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.

(5) Az (1) bekezdéstől eltérve a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti_hatósággal, és szerezzék be a felügyeleti_hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes_adatokat, ideértve a személyes_adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

4. szakasz

Adatvédelmi tisztviselő

37. cikk

Az adatvédelmi tisztviselő kijelölése

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)	az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes_adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

(2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

(3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(4) Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti_hatósággal közli.

38. cikk

Az adatvédelmi tisztviselő jogállása

(1) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes_adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2) Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a 39. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes_adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4) Az érintettek a személyes_adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5) Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

39. cikk

Az adatvédelmi tisztviselő feladatai

(1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

a)	tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes_adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c)	kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;

d)	együttműködik a felügyeleti_hatósággal; és

e)	az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti_hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

(2) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

5. szakasz

Magatartási kódexek és tanúsítás

40. cikk

Magatartási kódexek

(1) A tagállamok, a felügyeleti_hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és közép vállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a)	tisztességes és átlátható adatkezelés;

b)	az adatkezelők jogos érdekei meghatározott körülmények között;

c)	az adatgyűjtés;

d)	személyes_adatok álnevesítése;

e)	a nyilvánosság és az érintettek tájékoztatása;

f)	az érintettek jogainak gyakorlása;

g)	a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h)	a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i)	a felügyeleti_hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi_incidensekről;

j)	a személyes_adatok harmadik országok vagy nemzetközi_szervezetek részére történő továbbítása; vagy

k)	az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(4) Az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság feladat- és hatáskörének sérelme nélkül az e cikk (2) bekezdése szerinti magatartási kódexek olyan mechanizmusokat határoznak meg, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szervezet számára, hogy elvégezze annak kötelező ellenőrzését, hogy a kódex alkalmazását vállaló adatkezelők vagy adatfeldolgozók megfelelnek-e a kódex rendelkezéseinek.

(5) Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti_hatóságnak. A felügyeleti_hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

(6) Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti_hatóság a kódexet nyilvántartásba veszi és közzéteszi.

(7) Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az 55. cikk alapján illetékes felügyeleti_hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően a 63. cikkben említett eljárás keretében benyújtja azt a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezen rendelettel, illetve az e cikk (3) bekezdésében említett esetben arról, hogy megfelelő garanciákat nyújt-e.

(8) Ha a (7) bekezdésben említett vélemény megerősíti, hogy a magatartási kódex tervezete, a módosítás vagy a kiegészítés összhangban van e rendelettel, illetve a (3) bekezdésben említett esetben azt, hogy megfelelő garanciákat nyújt, a Testület benyújtja véleményét a Bizottságnak.

(9) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá az e cikk (8) bekezdése szerint benyújtott, jóváhagyott magatartási kódex, módosítás vagy kiegészítés az Unió területén általános érvénnyel rendelkezik. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(10) A Bizottság biztosítja azon jóváhagyott kódexek megfelelő nyilvánosságát, amelyek esetében a (9) bekezdéssel összhangban úgy határozott, hogy általánosan érvényesek.

(11) A Testület valamennyi jóváhagyott magatartási kódexet, módosítást és kiegészítést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

41. cikk

A jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése

(1) Az 57. vagy az 58. cikk alapján illetékes felügyeleti_hatóság feladat- és hatásköreinek sérelme nélkül a 40. cikk szerinti magatartási kódexnek való megfelelés ellenőrzését olyan szervezet végezheti, amely a kódex tárgya tekintetében megfelelő szakértelemmel rendelkezik, és amelyet az illetékes felügyeleti_hatóság erre akkreditál.

(2) Az (1) bekezdésben említett szervezetet a magatartási kódexnek való megfelelés ellenőrzésére abban az esetben lehet akkreditálni, ha a szervezet:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a kódex tárgyában szakértelemmel bír;

létrehozott olyan eljárásokat, amelyek révén meg tudja állapítani, hogy az érintett adatkezelők és adatfeldolgozók alkalmasak-e a kódex alkalmazására, ellenőrizni tudja, hogy az érintett adatkezelők és adatfeldolgozók betartják-e a kódex rendelkezéseit, és rendszeres időközönként felül tudja vizsgálni a kódex működését;

c)	létrehozott olyan eljárásokat és struktúrákat, amelyek révén kezelni tudja a kódex megsértésével vagy a kódex adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá teszi; és

d)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) A 63. cikkben említett, egységességi mechanizmusnak megfelelően az illetékes felügyeleti_hatóság az e cikk (1) bekezdésében említett szervezet akkreditációjával kapcsolatos szempontok tervezetét a Testületnek benyújtja.

(4) Az illetékes felügyeleti_hatóság feladat- és hatásköreinek, valamint a VIII. fejezet rendelkezéseinek sérelme nélkül az e cikk (1) bekezdésében említett szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti_hatóságot tájékoztatja.

(5) Az illetékes felügyeleti_hatóság visszavonja az (1) bekezdésben említett szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a szerv intézkedései megsértik e rendeletet.

(6) Ez a cikk nem alkalmazandó a közhatalmi szervek és közfeladatot ellátó egyéb szervek által végzett adatkezelésre.

42. cikk

Tanúsítás

(1) A tagállamok, a felügyeleti_hatóságok, a Testület, valamint a Bizottság – különösen uniós szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek e rendelet előírásainak. Figyelembe kell venni a mikro-, kis- és közép vállalkozások sajátos igényeit.

(2) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett az (5) bekezdésnek megfelelően jóváhagyott adatvédelmi tanúsítási mechanizmusokat, bélyegzőket vagy jelöléseket annak bizonyítására is létre lehet hozni, hogy a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók a 46. cikk (2) bekezdésének f) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(3) A tanúsításnak önkéntesnek kell lennie, és átlátható eljáráson keresztül kell elérhetővé tenni.

(4) Az e cikk szerinti tanúsítás nem csökkenti az adatkezelő vagy adatfeldolgozó e rendelet betartásáért való felelősségét, és nem sérti az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóságok feladat- és hatáskörét.

(5) Az e cikk szerinti tanúsítványt a 43. cikkben említett tanúsító szervezetek vagy az illetékes felügyeleti_hatóságok állítják ki, az illetékes felügyeleti_hatóság által az 58. cikk (3) bekezdésének, vagy a Testület által a 63. cikknek megfelelően jóváhagyott szempontok alapján. Ha a szempontokat a Testület hagyja jóvá, ennek eredményeként közös tanúsítvány, az európai adatvédelmi bélyegző állítható ki.

(6) Az adatkezelő vagy adatfeldolgozó, amely az adatkezelési tevékenységét aláveti a tanúsítási mechanizmusnak, a 43. cikkben említett tanúsító szervezet vagy adott esetben az illetékes felügyeleti_hatóság részére minden olyan információt megad és minden olyan adatkezelési tevékenységéhez hozzáférést biztosít, amely a tanúsítási eljárás lefolytatásához szükséges.

(7) Az adatkezelő vagy adatfeldolgozó részére a tanúsítványt legfeljebb hároméves időtartamra lehet kiállítani, amely azonos feltételek mellett a tanúsítvány megújítható, feltéve, hogy a vonatkozó követelmények továbbra is teljesülnek. Adott esetben, ha a tanúsításra vonatkozó követelmények nem vagy már nem teljesülnek, a 43. cikkben említett tanúsító szervezet vagy az illetékes felügyeleti_hatóság a tanúsítványt visszavonja.

(8) A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt, illetve jelölést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

43. cikk

Tanúsító szervezetek

(1) Az illetékes felügyeleti_hatóság 57. és 58. cikk alapján fennálló feladat- és hatásköreinek sérelme nélkül a tanúsítvány kiállítását és megújítását – a felügyeleti_hatóság a célból való tájékoztatását követően, hogy az szükség esetén gyakorolhassa az 58. cikk (2) bekezdésének h) pontja szerinti hatáskörét – olyan tanúsító szervezet végzi, amely az adatvédelem terén megfelelő szakértelemmel rendelkezik. A tagállamok biztosítják, hogy e tanúsító szervezetek akkreditációját az alábbiak közül egy vagy mindkettő elvégezte:

a)	az a felügyeleti_hatóság, amelyik az 55. vagy az 56. cikk alapján illetékes;

b)	az EN-ISO/IEC 17065/2012 szabványnak megfelelően, a 765/2008/EK európai parlamenti és tanácsi rendelettel (20), valamint az 55. vagy az 56. cikk alapján illetékes a felügyeleti_hatóság által megállapított kiegészítő követelményekkel összhangban megnevezett nemzeti akkreditáló testület.

(2) Az (1) bekezdésben említett tanúsító szervezetet kizárólag abban az esetben lehet az említett bekezdéssel összhangban akkreditálni, ha:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a tanúsítás tárgyában szakértelemmel bír;

b)	vállalja, hogy tiszteletben tartja a 42. cikk (5) bekezdésében említett, az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság, illetve a 63. cikknek megfelelően a Testület által jóváhagyott szempontokat;

c)	eljárásokat hozott létre az adatvédelmi tanúsítványok, bélyegzők, illetve jelölések kibocsátására, rendszeres időközönkénti felülvizsgálatára és visszavonására;

olyan eljárásokat és struktúrákat hozott létre, amelyek révén kezelni tudja a tanúsítvánnyal kapcsolatos jogsértésekkel vagy annak az adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá tudja tenni; és

e)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) Az e cikk (1) és (2) bekezdésében említett tanúsító szervezet akkreditálását az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság által, illetve az 57. cikknek megfelelően a Testület által jóváhagyott szempontok alapján kell elvégezni. Ha az akkreditálásra az e cikk (1) bekezdése b) pontja alapján kerül sor, ezek a követelmények kiegészítik a 765/2008/EK rendeletben előirányzott követelményeket és a tanúsító szervek módszereire és eljárásaira vonatkozó technikai szabályokat.

(4) Az adatkezelő vagy adatfeldolgozó e rendelet betartására vonatkozó felelősségének sérelme nélkül a tanúsítás vagy annak visszavonása alapjául szolgáló megfelelő vizsgálat lefolytatásáért az (1) bekezdésben említett tanúsító szervezet felelős. Az akkreditációt legfeljebb ötéves időtartamra lehet megadni, és az azonos feltételek mellett mindaddig megújítható, feltéve hogy az adott tanúsító szervezet teljesíti az e cikkben meghatározott követelményeket.

(5) Az (1) bekezdésben említett tanúsító szervezet közli az illetékes felügyeleti_hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait.

(6) Az e cikk (3) bekezdésében említett követelményeket és a 42. cikk (5) bekezdésében említett szempontokat a felügyeleti_hatóság könnyen hozzáférhető formában közzéteszi. A felügyeleti_hatóságok ezeket a követelményeket és szempontokat a Testület részére is továbbítják. A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt egy nyilvántartásban állítja össze, és azokat megfelelő módon nyilvánosan elérhetővé teszi.

(7) A VIII. fejezet sérelme nélkül az illetékes felügyeleti_hatóság vagy a nemzeti akkreditáló testület visszavonja az e cikk (1) bekezdésében említett tanúsító szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a tanúsító szervezet intézkedései megsértik e rendeletet.

(8) A Bizottság felhatalmazást kap arra, hogy a 42. cikk (1) bekezdésében említett adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása érdekében a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9) A Bizottság végrehajtási jogi aktusok elfogadása révén a tanúsítási mechanizmusokra és az adatvédelmi bélyegzőkre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és a bélyegzők, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

V. FEJEZET

A személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása

44. cikk

Az adattovábbításra vonatkozó általános elv

Olyan személyes_adatok továbbítására – ideértve a személyes_adatok harmadik országból vagy nemzetközi_szervezettől egy további harmadik országba vagy további nemzetközi_szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi_szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

46. cikk

Megfelelő garanciák alapján történő adattovábbítások

(1) A 45. cikk (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes_adatokat harmadik országba vagy nemzetközi_szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2) A felügyeleti_hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik:

a)	közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok;

c)	a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

d)	a felügyeleti_hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

e)	a 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy

f)	a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

(3) Az illetékes felügyeleti_hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:

a)	az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi_szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes_adatok címzettje között létrejött szerződéses rendelkezések; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

(4) A felügyeleti_hatóság az e cikk (3) bekezdésében említett esetekben a 63. cikkben említett egységességi mechanizmust alkalmazza.

(5) A valamely tagállam vagy felügyeleti_hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti_hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. A Bizottság által a 95/46/EK irányelv 26. cikkének (4) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat szükség esetén az e cikk (2) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

47. cikk

Kötelező erejű vállalati szabályok

(1) Az illetékes felügyeleti_hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező_erejű_vállalati_szabályokat, ha az:

a)	a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;

b)	kifejezetten rendelkezik az érintetteknek a személyes_adataik kezelése tekintetében kikényszeríthető jogairól; és

c)	megfelel a (2) bekezdés szerinti követelményeknek.

(2) Az (1) bekezdésben említett kötelező_erejű_vállalati_szabályok tartalmazzák legalább:

a)	a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;

b)	az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes_adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;

c)	a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;

az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes_adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező_erejű_vállalati_szabályok;

az érintettek személyes_adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 79. cikkben meghatározott jogát, hogy az illetékes felügyeleti_hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező_erejű_vállalati_szabályok megsértése esetén a kártérítéshez való jogát;

a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező_erejű_vállalati_szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;

g)	azt, hogy a 13. és a 14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező_erejű_vállalati_szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;

a 37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező_erejű_vállalati_szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;

i)	a panasztételi eljárásokat;

a kötelező_erejű_vállalati_szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti_hatóság rendelkezésére kell bocsátani őket;

k)	a kötelező_erejű_vállalati_szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti_hatóság számára történő bejelentésére szolgáló mechanizmusokat;

a kötelező_erejű_vállalati_szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti_hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti_hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;

arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti_hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező_erejű_vállalati_szabályokban előírt garanciákat; valamint

n)	a személyes_adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.

(3) A Bizottság meghatározhatja az e cikk szerinti, a kötelező_erejű_vállalati_szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

48. cikk

Az uniós jog által nem engedélyezett továbbítás és közlés

Valamely harmadik ország bíróságának bármely olyan ítélete, illetve közigazgatási hatóságának bármely olyan döntése, amely valamely adatkezelő vagy adatfeldolgozó számára személyes_adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható bármely módon végre, ha az az adatok megismerését igénylő harmadik ország és az Unió vagy egy tagállama között létrejött, hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyszerződésen alapul, az adattovábbítás e fejezet szerinti egyéb módozatainak sérelme nélkül.

49. cikk

Különös helyzetekben biztosított eltérések

(1) A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező_erejű_vállalati_szabályokat is –, a személyes_adatok harmadik ország vagy nemzetközi_szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a)	az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b)	az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c)	az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d)	az adattovábbítás fontos közérdekből szükséges;

e)	az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

f)	az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező_erejű_vállalati_szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi_szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes_adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti_hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

(2) Az (1) bekezdés első albekezdésének g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes_adatok vagy személyes_adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(3) Az (1) bekezdés első albekezdésének a), b) és c) pontja, valamint második albekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

(4) Az (1) bekezdés első albekezdésének d) pontjában említett közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy az adatkezelőre vonatkozó tagállami jog elismeri.

(5) Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes_adatok valamely harmadik országba vagy nemzetközi_szervezethez történő továbbítását. A tagállamok az ilyen rendelkezéseket bejelentik a Bizottságnak.

(6) Az adatkezelő vagy az adatfeldolgozó az e cikk (1) bekezdésének második albekezdésében említett vizsgálatot és megfelelő garanciákat a 30. cikkben említett nyilvántartásban dokumentálja.

56. cikk

A fő felügyeleti_hatóság illetékessége

(1) Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatóság jogosult fő felügyeleti_hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.

(2) Az (1) bekezdéstől eltérve, minden felügyeleti_hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti_hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti_hatóságot. A fő felügyeleti_hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti_hatósága a fő felügyeleti_hatóságot tájékoztatta.

(4) Ha a fő felügyeleti_hatóság úgy határoz, hogy eljár az ügyben, a 60. cikkben meghatározott eljárást kell alkalmazni. A fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság döntéstervezetet nyújthat be a fő felügyeleti_hatóságnak. A fő felügyeleti_hatóság a 60. cikk (3) bekezdésében említett döntéstervezet elkészítése során a lehető legnagyobb mértékben figyelembe veszi az említett tervezetet.

(5) Abban az esetben, ha a fő felügyeleti_hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság jár el a 61. és a 62. cikknek megfelelően.

(6) A fő felügyeleti_hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban.

57. cikk

Feladatok

(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti_hatóság a saját területén ellátja a következő feladatokat:

a)	nyomon követi és kikényszeríti e rendelet alkalmazását;

b)	elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes_adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában. Különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;

c)	a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes_adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d)	felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;

e)	kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti_hatóságaival;

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 80. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti_hatósággal való együttműködés válik szükségessé;

g)	együttműködik más felügyeleti_hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;

h)	vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti_hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

i)	figyelemmel kíséri a személyes_adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák, valamint a kereskedelmi gyakorlatok fejlődését;

j)	megállapítja a 28. cikk (8) bekezdésében és a 46. cikk (2) bekezdésének d) pontjában említett általános szerződési feltételeket;

k)	a 35. cikk (4) bekezdésének megfelelően jegyzéket állít össze és az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban vezeti azt;

l)	tanácsot ad a 36. cikk (2) bekezdésében említett adatkezelési műveletekkel kapcsolatban;

m)	ösztönzi a 40. cikk (1) bekezdése szerinti magatartási kódex kidolgozását, valamint a 40. cikk (5) bekezdésével összhangban véleményezi, illetve jóváhagyja a megfelelő garanciákat kínáló ilyen magatartási kódexeket;

n)	ösztönzi a 42. cikk (1) bekezdése szerinti az adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, és a 42. cikk (5) bekezdésének megfelelően jóváhagyja a tanúsítási szempontokat;

o)	adott esetben rendszeres időközönként felülvizsgálja a 42. cikk (7) bekezdésének megfelelően kiadott tanúsítványokat;

p)	meghatározza és közzéteszi a magatartási kódexnek való megfelelést ellenőrző 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációjára vonatkozó szempontokat;

q)	elvégzi a magatartási kódexnek való megfelelést ellenőrző, a 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációját;

r)	engedélyezi a 46. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;

s)	jóváhagyja a 47. cikk szerinti kötelező_erejű_vállalati_szabályokat;

t)	hozzájárul a Testület tevékenységeihez;

u)	belső nyilvántartást vezet e rendelet megsértéséről és az 58. cikk (2) bekezdése szerint meghozott intézkedésekről; és

v)	a személyes_adatok védelméhez kapcsolódó minden más feladatot ellát.

(2) A felügyeleti_hatóság megkönnyíti az (1) bekezdés f) pontjában említett panasz benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(3) A felügyeleti_hatóság úgy látja el feladatait, hogy az az érintett és adott esetben az adatvédelmi tisztviselő számára térítésmentes legyen.

(4) Ha a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti_hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti_hatóságot terheli.

58. cikk

Hatáskörök

(1) A felügyeleti_hatóság vizsgálati hatáskörében eljárva:

a)	utasítja az adatkezelőt és az adatfeldolgozót, illetve adott esetben az adatkezelő vagy az adatfeldolgozó képviselőjét, hogy számára a feladatai elvégzéséhez szükséges tájékoztatást megadja;

b)	vizsgálatot folytat adatvédelmi auditok formájában;

c)	elvégzi a 42. cikk (7) bekezdésének megfelelően kiadott tanúsítványok felülvizsgálatát;

d)	értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;

e)	hozzáférést kap az adatkezelőtől vagy az adatfeldolgozótól a feladatainak teljesítéséhez szükséges minden személyes_adathoz és minden információhoz; és

f)	az uniós vagy tagállami eljárásjoggal összhangban hozzáférést kap az adatkezelő vagy az adatfeldolgozó bármely helyiségéhez, ideértve minden adatkezeléshez használt felszerelést és eszközt.

(2) A felügyeleti_hatóság korrekciós hatáskörében eljárva:

a)	figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)	elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

c)	utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;

d)	utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

e)	utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi_incidensről;

f)	átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes_adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes_adatokat közölték;

h)	visszavonja a tanúsítványt vagy utasítja a tanúsító szervezetet a 42. és a 43. cikknek megfelelően kiadott tanúsítvány visszavonására, vagy utasítja a tanúsító szervezetet, hogy ne adja ki a tanúsítványt, ha a tanúsítás feltételei nem vagy már nem teljesülnek;

i)	a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett; és

j)	elrendeli a harmadik országbeli címzett vagy nemzetközi_szervezet felé irányuló adatáramlás felfüggesztését.

(3) A felügyeleti_hatóság engedélyezési és tanácsadási hatáskörében eljárva:

a)	tanácsot ad az adatkezelőnek a 36. cikkben említett előzetes konzultációs eljárás keretében;

b)	saját kezdeményezésére vagy kérésre a személyes_adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki a nemzeti parlament, a tagállami kormány vagy a tagállami joggal összhangban más intézmények és szervek, valamint a nyilvánosság részére;

c)	engedélyezi a 36. cikk (5) bekezdése szerinti adatkezelést, ha a tagállam joga azt előzetes engedélyhez köti;

d)	a 40. cikk (5) bekezdésével összhangban véleményezi és jóváhagyja a magatartási kódexek tervezetét;

e)	akkreditálja a 43. cikk szerinti tanúsító szervezeteket;

f)	a 42. cikk (5) bekezdésével összhangban tanúsítványokat állít ki és a jóváhagyja a tanúsítási szempontokat;

g)	elfogadja a 28. cikk (8) bekezdésben és a 46. cikk (2) bekezdésének d) pontjában említett általános adatvédelmi kikötéseket

h)	engedélyezi a 46. cikk (3) bekezdésének a) pontjában említett szerződéses rendelkezéseket;

i)	engedélyezi a 46. cikk (3) bekezdésének b) pontjában említett közigazgatási megállapodásokat; és

j)	jóváhagyja a 47. cikk szerinti kötelező_erejű_vállalati_szabályokat.

(4) Az e cikk alapján a felügyeleti_hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.

(5) A tagállamok jogszabályban előírják, hogy a felügyeleti_hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.

(6) A tagállamok jogszabályban előírhatják, hogy felügyeleti_hatóságuk az (1), (2) és (3) bekezdésben említetteken kívüli hatáskörökkel is rendelkezzen. E hatáskörök gyakorlása nem hátráltathatja a VII. fejezet hatékony végrehajtását.

60. cikk

Együttműködés a fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság között

(1) A fő felügyeleti_hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti_hatósággal. A fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok minden releváns információt kicserélnek egymással.

(2) A fő felügyeleti_hatóság bármikor kérheti más érintett felügyeleti_hatóságoktól a 61. cikk szerinti kölcsönös segítségnyújtást és végezhet a 62. cikk szerinti közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak.

(3) A fő felügyeleti_hatóság késedelem nélkül közli a többi érintett felügyeleti_hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.

(4) Ha a többi érintett felügyeleti_hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns_és_megalapozott_kifogást emel a döntéstervezettel szemben, a fő felügyeleti_hatóság, ha nem ért egyet a releváns_és_megalapozott_kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.

(5) Ha a fő felügyeleti_hatóság helyt kíván adni a releváns_és_megalapozott_kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.

(6) Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti_hatóság egyike sem emel kifogást a fő felügyeleti_hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

(7) A fő felügyeleti_hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi_központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti_hatóságot és a Testületet. Az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

(8) Amennyiben a panaszt visszautasították vagy elutasították, a (7) bekezdéstől eltérve az a felügyeleti_hatóság fogadja el a döntést, közli a panaszosal, és tájékoztatja az adatkezelőt, amelyhez a panaszt benyújtották.

(9) Ha a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek abban, hogy a panasz egyes részeit visszautasítják vagy elutasítják, más részeivel kapcsolatban viszont eljárnak, külön döntést fogadnak el az ügy minden ilyen részére vonatkozóan. Az adatkezelővel kapcsolatos intézkedéseket érintő részre vonatkozó döntést a fő felügyeleti_hatóság fogadja el, és közli az adatkezelőnek, illetve az adatfeldolgozónak a hatóság tagállama területén lévő tevékenységi_központjával vagy egyetlen tevékenységi helyével, valamint tájékoztatja a panaszost; a panasz visszautasított vagy elutasított részére vonatkozó döntést a panaszos felügyeleti_hatósága fogadja el, és közli a panaszossal, valamint tájékoztatja az adatkezelőt vagy az adatfeldolgozót.

(10) Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti_hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti_hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti_hatóság tájékoztatja a többi érintett felügyeleti_hatóságot.

(11) Ha egy érintett felügyeleti_hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni.

(12) A fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság elektronikus úton, egységes formátum alkalmazásával továbbítja egymásnak az e cikkben előírt információkat.

62. cikk

A felügyeleti_hatóságok közös műveletei

(1) A felügyeleti_hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti_hatóságainak tagjai vagy alkalmazottai is részt vesznek.

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti_hatósága jogosult részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdése alapján illetékes felügyeleti_hatóság felkéri az összes szóban forgó tagállam felügyeleti_hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti_hatóság részvételre irányuló megkeresésére.

(3) A felügyeleti_hatóság a tagállami joggal összhangban, valamint a kirendelő felügyeleti_hatóság engedélyével, hatáskört – ideértve a vizsgálati hatáskört is – ruházhat át a kirendelő felügyeleti_hatóság közös műveletben részt vevő tagjaira vagy alkalmazottaira, vagy – amennyiben a fogadó felügyeleti_hatóság tagállamának joga lehetővé teszi –, engedélyezheti a kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai számára, hogy vizsgálati hatáskörüket a kirendelő felügyeleti_hatóság tagállami jogának megfelelően gyakorolják. A vizsgálati hatáskört kizárólag a fogadó felügyeleti_hatóság tagjainak vagy alkalmazottainak irányítása mellett és jelenlétében lehet gyakorolni. A kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai a fogadó felügyeleti_hatóság tagállami jogának hatálya alá tartoznak.

(4) Ha egy kirendelő felügyeleti_hatóság alkalmazottai az (1) bekezdésnek megfelelően egy másik tagállamban végeznek tevékenységet, cselekedeteikért, ideértve a tevékenységük során általuk okozott károkat is, a fogadó felügyeleti_hatóság tagállama viseli a felelősséget a tevékenységvégzés helye szerinti tagállam jogának megfelelően.

(5) A károkozás helye szerinti tagállam a kárt ugyanolyan feltételek mellett téríti meg, mintha azt a saját alkalmazottai okozták volna. Azon kirendelő felügyeleti_hatóság tagállama, amelynek alkalmazottai egy másik tagállam területén valamely személynek kárt okoztak, teljes mértékben megtéríti ennek a másik tagállamnak azt az összeget, amelyet az a kártérítésre jogosult személynek kifizetett.

(6) A harmadik felekkel szembeni jogai gyakorlásának sérelme nélkül és az (5) bekezdésben foglaltak kivételével, az (1) bekezdésben meghatározott esetben minden tagállam eltekint attól, hogy a (4) bekezdésben említett károk megtérítését követelje egy másik tagállamtól.

(7) Ha egy felügyeleti_hatóság egy tervezett közös művelet esetében, egy hónapon belül nem tesz eleget az e cikk (2) bekezdése második mondatában foglalt kötelezettségnek, a többi felügyeleti_hatóság az 55. cikkel összhangban a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében véleményt bocsát ki vagy kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban.

2. szakasz

Egységesség

65. cikk

A Testület vitarendezési eljárása

(1) Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, a Testület kötelező erejű döntést fogad el az alábbi esetekben:

ha a 60. cikk (4) bekezdésében említett esetben valamely érintett felügyeleti_hatóság releváns_és_megalapozott_kifogást emelt a fő felügyeleti_hatóság döntéstervezetével szemben, vagy ha a fő felügyeleti_hatóság elutasított egy ilyen kifogást arra hivatkozva, hogy az nem releváns vagy nem megalapozott. A kötelező erejű döntésnek ki kell terjednie a releváns_és_megalapozott_kifogásban szereplő összes kérdésre, különösen arra, hogy a rendelet sérült-e;

b)	ha eltérnek az álláspontok azt illetően, hogy az érintett felügyeleti_hatóságok közül melyik illetékes a tevékenységi_központ tekintetében;

ha valamely illetékes felügyeleti_hatóság nem kéri ki a Testület véleményét a 64. cikk (1) bekezdésében említett esetekben, vagy nem a Testület által a 64. cikk alapján kibocsátott vélemény alapján jár el. Ebben az esetben bármely érintett felügyeleti_hatóság vagy a Bizottság a Testület tudomására hozhatja az ügyet.

(2) Az (1) bekezdésben említett döntést a Testület az ügy benyújtásától számított egy hónapon belül, tagjainak kétharmados többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további egy hónappal meghosszabbítható. Az (1) bekezdésben említett döntést indokolni kell, és meg kell küldeni a fő felügyeleti_hatóságnak és minden érintett felügyeleti_hatóságnak, amelyekre nézve kötelező erővel rendelkezik.

(3) Ha a Testület döntését nem képes a (2) bekezdésben említett határidőkön belül elfogadni, a döntést a (2) bekezdésben említett második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el. A Testület tagjainak szavazategyenlősége esetén a döntés elfogadásáról az elnök szavazata dönt.

(4) Az érintett felügyeleti_hatóságok a (2) és (3) bekezdésben említett határidők lejártáig nem fogadhatnak el döntést az (1) bekezdés alapján a Testület elé terjesztett ügyről.

(5) A Testület elnöke indokolatlan késedelem nélkül értesíti az érintett felügyeleti_hatóságokat az (1) bekezdésben említett döntésről. Erről tájékoztatnia kell a Bizottságot. A döntést haladéktalanul közzé kell tenni a Testület honlapján azt követően, hogy a felügyeleti_hatóság bejelentette a (6) bekezdésben említett jogerős döntést.

(6) A fő felügyeleti_hatóság vagy – az esettől függően – az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett döntés alapján indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy a Testület bejelentette döntését elfogadja jogerős döntését. A fő felügyeleti_hatóság vagy – az esettől függően – az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a Testületet arról a dátumról, amikor az adatkezelővel, az adatfeldolgozóval, illetve az érintettel közli jogerős döntését. Az érintett felügyeleti_hatóságok jogerős döntését a 60. cikk (7), (8) és (9) bekezdésében foglaltaknak megfelelően kell elfogadni. A jogerős döntésben utalni kell az e cikk (1) bekezdésben említett döntésre, valamint közölni kell, hogy az (1) bekezdésében említett döntést a (5) bekezdéssel összhangban közzé fogják tenni a Testület honlapján. A jogerős döntéshez csatolni kell az e cikk (1) bekezdésében említett döntést.

70. cikk

Az Európai Adatvédelmi Testület feladatai

(1) A Testület biztosítja e rendelet egységes alkalmazását. Ennek érdekében a Testület saját kezdeményezésére vagy adott esetben a Bizottság kérésére ellátja különösen a következő feladatokat:

a)	ellenőrzi és biztosítja e rendelet helyes alkalmazását a 64. és 65. cikkben meghatározott esetekben, a nemzeti felügyeleti_hatóságok feladatainak sérelme nélkül;

b)	tanácsot ad a Bizottságnak a személyes_adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az e rendelet módosítására irányuló javaslatokat is;

c)	tanácsot ad a Bizottságnak az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között a kötelező_erejű_vállalati_szabályokkal kapcsolatban folytatott információcsere formátumára és eljárásaira vonatkozóan;

iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatokra mutató linkeknek, az ilyen adatok másolatainak vagy másodpéldányainak a nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő törlésére vonatkozóan, a 17. cikk (2) bekezdésben említettek szerint;

e)	saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az e rendelet alkalmazását érintő kérdéseket, valamint e rendelet egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

f)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 22. cikk (2) bekezdése szerinti profilalkotáson alapuló döntéshozatalra vonatkozó szempontok és feltételek további pontosítása érdekében;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 33. cikk (1) és (2) bekezdésében említett adatvédelmi_incidens és indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelőnek vagy az adatfeldolgozónak be kell jelentenie az adatvédelmi_incidenst;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi_incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 34. cikk (1) bekezdésében említettek szerint;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatkezelők, illetve az adatfeldolgozók által követett, a kötelező_erejű_vállalati_szabályokon alapuló, személyes_adatok továbbítására vonatkozó, a 47. cikkben említett szempontok és követelmények, valamint az érintettek személyes_adatainak védelmét biztosítani hivatott ugyanazon cikkben említett egyéb szükséges követelmények további pontosítása céljából;

j)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatoknak a 49. cikk (1) bekezdése alapján történő továbbítására vonatkozó szempontok és előírások további pontosítása céljából;

k)	iránymutatásokat dolgoz ki a felügyeleti_hatóságok számára az 58. cikk (1), (2) és (3) bekezdésében említett intézkedések alkalmazására, valamint a 83. cikk szerinti közigazgatási bírságok megállapítására vonatkozóan;

l)	felülvizsgálja az e), illetve f) pontban említett iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

m)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az 54. cikk (2) bekezdésben említett, a természetes személyek által e rendelet megsértését illetően tett bejelentésekre vonatkozó közös eljárások megállapítása érdekében,;

n)	ösztönzi a magatartási kódexek kidolgozását, valamint az adatvédelmi tanúsítási mechanizmusok és az adatvédelmi bélyegzők, illetve jelölések létrehozását a 40. és 42. cikkben említettek szerint;

a 43. cikknek megfelelően elvégzi a tanúsító szervezetek akkreditációját és annak rendszeres felülvizsgálatát, nyilvános nyilvántartást vezet egyrészt a 43. cikk (6) bekezdése szerint az akkreditált szervezetekről, másrészt a 42. cikk (7) bekezdése szerint a harmadik országban tevékenységi hellyel rendelkező akkreditált adatkezelőkről és adatfeldolgozókról;

p)	részletesen meghatározza a 43. cikk (3) bekezdésében említett követelményeket a tanúsító szervezetek 42. cikk szerinti akkreditációja céljából;

q)	véleményezi a Bizottság számára a 43. cikk (8) bekezdésében említett tanúsítási követelményeket;

r)	véleményezi a Bizottság számára a 12. cikk (7) bekezdésében említett ikonokat;

véleményt bocsát ki a Bizottság számára a valamely harmadik országban vagy nemzetközi_szervezetben biztosított védelmi szint megfelelőségének megítéléséhez, ideértve annak megállapítását is, ha a harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, vagy a nemzetközi_szervezet már nem biztosít megfelelő védelmi szintet. A Bizottság e célból biztosítja a Testület számára az összes szükséges dokumentációt, köztük a harmadik ország kormányával, a harmadik ország, annak valamely területe vagy meghatározott ágazata tekintetében, illetve a nemzetközi_szervezettel folytatott levélváltást;

az egységességi mechanizmus keretében véleményt bocsát ki a felügyeleti_hatóságok 64 cikk (1) bekezdése szerinti döntéstervezeteiről, a 64. cikk (2) bekezdésének megfelelően elé terjesztett ügyekről,, valamint a 65. cikk értelmében – ideértve a 66. cikkben említett eseteket is – kötelező erejű döntéseket hoz;

u)	előmozdítja az együttműködést, valamint az információk és gyakorlatok hatékony két- vagy többoldalú cseréjét a felügyeleti_hatóságok között;

v)	támogatja a közös képzési programokat, továbbá megkönnyíti a csereprogramokat a felügyeleti_hatóságok között, valamint adott esetben harmadik országok felügyeleti_hatóságaival vagy nemzetközi_szervezetekkel;

w)	az adatvédelmi felügyeleti_hatóságok körében világszerte előmozdítja az adatvédelmi jogszabályokra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét;

x)	véleményt bocsát ki a 40. cikk (9) bekezdése szerinti, uniós szinten kidolgozott magatartási kódexekről; és

y)	nyilvánosan hozzáférhető elektronikus nyilvántartást vezet az egységességi mechanizmus keretében kezelt ügyekkel kapcsolatban a felügyeleti_hatóságok és a bíróságok által hozott határozatokról.

(2) A Bizottság, ha tanácsot kér a Testülettől, az ügy sürgősségét figyelembe véve határidőt jelölhet meg.

(3) A Testület továbbítja a véleményeit, iránymutatásait, ajánlásait és legjobb gyakorlatait a Bizottságnak és a 93. cikkben említett bizottságnak, és nyilvánosságra hozza azokat.

(4) A Testület adott esetben konzultál az érintett felekkel, és lehetőséget biztosít számukra, hogy észszerű határidőn belül közöljék észrevételeiket. A Testület, a 76. cikk sérelme nélkül,nyilvánosan elérhetővé teszi a konzultációs eljárás eredményeit.

79. cikk

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

(1) A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti_hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes_adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

(2) Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

81. cikk

Az eljárás felfüggesztése

(1) Ha valamely tagállam illetékes bírósága információval rendelkezik arról, hogy ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, köteles megkeresni e másik tagállam bíróságát, hogy megbizonyosodjon arról, valóban folyamatban van-e ilyen eljárás.

(2) Ha ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, valamennyi olyan illetékes bíróság, amely előtt az eljárás később indult meg, felfüggesztheti az előtte folyó eljárást.

(3) Ha ezen eljárások első fokon vannak folyamatban, valamennyi olyan bíróság, amely előtt az eljárás később indult meg, valamely fél kérelmére joghatóságának hiányát is megállapíthatja, ha az említett eljárásokra az a bíróság, amely előtt elsőként indult meg az eljárás, joghatósággal rendelkezik, és a rá vonatkozó jog az eljárások egyesítését lehetővé teszi.

82. cikk

A kártérítéshez való jog és a felelősség

(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

(4) Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és – a (2) és (3) bekezdés alapján – felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

(5) Ha valamely adatkezelő vagy adatfeldolgozó a (4) bekezdéssel összhangban teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon adatkezelésben érintett többi adatkezelőtől vagy adatfeldolgozótól visszaigényelje a kártérítésnek azt a részét, amely megfelel a (2) bekezdésben megállapított feltételek értelmében a károkozásért viselt felelősségük mértékének.

(6) A kártérítéshez való jog érvényesítését célzó bírósági eljárást az előtt a bíróság előtt kell megindítani, amely a 79. cikk (2) bekezdésében említett tagállam joga szerint illetékes.

83. cikk

A közigazgatási bírságok kiszabására vonatkozó általános feltételek

(1) Valamennyi felügyeleti_hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti_hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes_adatok kategóriái;

h)	az, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25-39., a 42. és a 43. cikkben meghatározott kötelezettségek;

b)	a tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek;

c)	az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek;

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

c)	személyes_adatoknak harmadik országbeli címzett vagy nemzetközi_szervezet részére történő továbbítása a 44–49. cikknek megfelelően;

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)	a felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6) A felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti_hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti_hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti_hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti_hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25-ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.

85. cikk

A személyes_adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog

(1) A tagállamok jogszabályban összeegyeztetik a személyes_adatok e rendelet szerinti védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal, ideértve a személyes_adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelését is.

(2) A személyes_adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelésére vonatkozóan a tagállamok kivételeket vagy eltéréseket határoznak meg a II. fejezet (elvek), a III. fejezet (az érintett jogai), a IV. fejezet (az adatkezelő és az adatfeldolgozó), az V. fejezet (a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása), a VI. fejezet (független felügyeleti_hatóságok), a VII. fejezet (együttműködés és egységesség) és a IX. fejezet (az adatkezelés különös esetei) alól, ha e kivételek vagy eltérések szükségesek ahhoz, hogy a személyes_adatok védelméhez való jogot össze lehessen egyeztetni a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal.

(3) A tagállamok értesítik a Bizottságot azon jogi rendelkezésekről, amelyeket a (2) bekezdés alapján elfogadtak, továbbá haladéktalanul értesítik a Bizottságot az említett jogi rendelkezéseket érintő későbbi módosító jogszabályokról, illetve módosításokról.

90. cikk

Titoktartási kötelezettségek

(1) A tagállamok egyedi szabályokat fogadhatnak el annak érdekében, hogy meghatározzák a felügyeleti_hatóságoknak az 58. cikk (1) bekezdésének e) és f) pontjában foglalt hatáskörét olyan adatkezelőkre vagy adatfeldolgozókra vonatkozóan, amelyek az uniós vagy a tagállami jog alapján, vagy az illetékes nemzeti szervek által alkotott szabályok alapján szakmai titoktartási kötelezettség vagy azzal egyenértékű egyéb titoktartási kötelezettség hatálya alá tartoznak, ha ez szükséges és arányos a személyes_adatok védelméhez való jog és a titoktartási kötelezettség összeegyeztetése érdekében. E szabályokat csak azokra a személyes_adatokra kell alkalmazni, amelyeket az adatkezelő vagy az adatfeldolgozó e titoktartási kötelezettség hatálya alá tartozó tevékenység során kapott vagy szerzett.

(2) Minden tagállam legkésőbb 2018. május 25-ig értesíti a Bizottságot az (1) bekezdés alapján elfogadott szabályokról, továbbá haladéktalanul értesíti a Bizottságot az említett szabályokat érintő későbbi módosításokról.

whereas

(13) A természetes személyek egységes, uniós-szintű védelmének biztosítása, valamint a személyes_adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro-, kis- és közép vállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes_adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti_hatóságai közötti hatékony együttműködést.
A belső piac megfelelő működése érdekében a személyes_adatok Unión belüli szabad áramlását a természetes személyeknek a személyes_adatok kezelése tekintetében történő védelmével összefüggő okokból nem szabad korlátozni vagy megtiltani.
A mikro-, kis- és közép vállalkozások sajátos helyzetének figyelembevétele érdekében a 250 főnél kevesebb személyt foglalkoztató szervezetek esetében e rendelet a nyilvántartás vezetése tekintetében eltérést tartalmaz.
Emellett, e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti_hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és közép vállalkozások sajátos szükségleteit.
A mikro-, kis- és közép vállalkozások fogalma kapcsán a 2003/361/EK bizottsági ajánlás (5) mellékletének 2.
cikkét kell alapul venni.

- = -

(18) Ez a rendelet nem alkalmazandó a személyes_adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe.
Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon törté ő kapcsolattartás és online tevékenységek.
E rendeletet kell alkalmazni azonban azokra az adatkezelőkre és adatfeldolgozókra, akik a személyes_adatok ilyen személyes vagy otthoni tevékenység keretében végzett kezeléséhez az eszközöket biztosítják.

- = -

(22) Az adatkezelő vagy adatfeldolgozó a tevékenységi helyén folytatott működése során, az Unió területén végzett bármely személyesadat-kezelést e rendelettel összhangban kell végezni, tekintet nélkül arra, hogy maga az adatkezelés az Unió területén történik-e.
A tevékenységi hely valamely tevékenység tényleges és valós, tartós jelleget biztosító keretek közötti gyakorlását feltételezi.
E keretek jogi formája – legyen szó akár fióktelepről vagy jogi személyiséggel rendelkező leányvállalatról – e tekintetben nem meghatározó tényező.

- = -

(23) Annak biztosítása érdekében, hogy a természetes személyeket e rendelet szerinti védelemtől ne lehessen megfosztani, helyénvaló, hogy ha az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az említett érintettek részére történő nyújtásához kapcsolódnak, az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó az Unióban tartózkodó érintettek személyes_adatainak kezelését e rendelet betartásával végezze, függetlenül attól, hogy ahhoz társul-e kifizetés.
Annak megállapítása érdekében, hogy az ilyen adatkezelő vagy adatfeldolgozó kínál-e termékeket és szolgáltatásokat Unió területén lévő érintetteknek, meg kell bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő vagy adatfeldolgozó az Unió egy vagy több tagállamában az érintettek számára szolgáltatásokat tervez nyújtani.
Nem tekintendő e szándék nyilvánvaló jelének az a puszta tény, hogy az adatkezelő, adatfeldolgozó vagy valamely közvetítő honlapja, e-mail címe vagy más elérhetősége hozzáférhető az Unió területén, sem pedig az adatkezelő tevékenységi helye szerinti harmadik országban általánosan használt nyelv használata, ha viszont például az adatkezelő olyan nyelvet vagy pénznemet használ, amely egy vagy több tagállamban is általánosan használatos, és így lehetőséget biztosít termékeknek és szolgáltatásoknak az említett másik nyelven történő megrendelésére, vagy az Unióban tartózkodó fogyasztókra vagy felhasználókra tesz utalást, az egyértelműen jelezheti, hogy az adatkezelő említett érintetteknek az Unió területén termékeket vagy szolgáltatásokat szándékozik kínálni.

- = -

(24) Az Unióban tartózkodó érintettek személyes_adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó általi kezelése abban az esetben is e rendelet hatálya alá tartozik, amennyiben az érintettek Unión belüli magatartásának a megfigyeléséhez kapcsolódnak.
Annak meghatározása, hogy az adatkezelés az érintettek magatartásának megfigyelésének minősül-e, meg kell megvizsgálni, hogy a természetes személyeket nyomon követik-e az interneten, illetve ezt követően a természetes személy profiljának megalkotását is magában foglaló adatkezelési technikákat alkalmaznak-e, annak érdekében, hogy elsősorban a természetes személyre vonatkozó döntéseket hozzanak, valamint, hogy elemezzék vagy előre jelezzék a természetes személy személyes preferenciáit, magatartását vagy beállítottságát.

- = -

(28) A személyes_adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek megfeleljenek.
Az „ álnevesítés” e rendeletbe történő kifejezett bevezetése nem irányul más adatvédelmi intézkedés kizárására.

- = -

(36) Az adatkezelő Unión belüli tevékenységi_központja az Unión belüli központi ügyvitelének helye, kivéve, ha a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy másik Unión belüli tevékenységi helyén hozzák, amely esetben ez utóbbi másik tevékenységi_központot kell a tevékenységi_központnak tekinteni.
Az adatkezelő Unión belüli tevékenységi_központját objektív szempontok alapján kell meghatározni, és e fogalom magában foglalja az adatkezelés céljára és eszközeire vonatkozó fő döntéseket meghatározó ügyvezetési tevékenység tényleges és valós, tartós jelleget biztosító körülmények közötti gyakorlását.
E szempont nem függhet attól, hogy a személyes_adatok kezelése a szóban forgó helyszínen zajlik-e.
A személyes_adatok kezelésére szolgáló műszaki eszközök jelenléte és használata, illetve az adatkezelési tevékenység önmagában nem jár tevékenységi_központként való minősítéssel, és ezért nem meghatározó szempontja a tevékenységi_központnak.
Az adatfeldolgozó tevékenységi_központja az Unión belüli központi ügyvitelének helye kell, hogy legyen, vagy ha az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az a hely, ahol az Unióban a fő adatkezelési tevékenységek zajlanak.
Az adatkezelőt és az adatfeldolgozót egyaránt érintő esetekben továbbra is annak a tagállamnak a felügyeleti_hatósága az illetékes fő felügyeleti_hatóság, amelynek területén az adatkezelő tevékenységi_központja található, azonban az adatfeldolgozó felügyeleti_hatósága érintett felügyeleti_hatóságnak tekintendő, ennek a felügyeleti_hatóságnak részt kell vennie az e rendeletben meghatározott együttműködési eljárásban.
Az olyan tagállam(ok) felügyeleti_hatóságai, amely(ek) területén az adatfeldolgozó egy vagy több tevékenységi hellyel rendelkezik, semmi esetre sem tekinthetők érintett felügyeleti_hatóságnak, ha az adott döntéstervezet csak az adatkezelőre vonatkozik.
Ha az adatkezelést vállalkozáscsoport végzi, az ellenőrző vállalkozás tevékenységi_központja tekintendő a vállalkozáscsoport tevékenységi_központjának, kivéve, ha az adatkezelés céljait és eszközeit valamely más vállalkozás határozza meg.

- = -

(77) A megfelelő intézkedéseknek az adatkezelő vagy adatfeldolgozó általi végrehajtásához, valamint a megfelelés általuk való bizonyításához – különösen ami az adatkezeléssel kapcsolatos kockázat beazonosítását, valamint a kockázat forrásának, jellegének, valószínűségének és súlyosságának a felmérését illeti –, továbbá a kockázat mérséklésével kapcsolatos bevált gyakorlatoknak az azonosításához útmutatással szolgálhatnak különösen a jóváhagyott magatartási kódexek, a jóváhagyott tanúsítási eljárások, a Testület iránymutatásai vagy az adatvédelmi tisztviselő által nyújtott iránymutatások.
A Testület emellett iránymutatásokat adhat ki az olyan adatkezelési műveletekre vonatkozóan is, amelyek valószínűsíthetően nem járnak magas kockázattal a természetes személyek jogaira és szabadságaira nézve, és megadhatják, hogy ilyen esetben mely intézkedések elegendők a szóban forgó kockázat kezeléséhez.

- = -

(78) A természetes személyeket személyes_adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát.
Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit.
Az említett intézkedések magukban foglalhatják a személyes_adatok kezelésének minimálisra csökkentését, a személyes_adatok mihamarabbi álnevesítését, a személyes_adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
Az olyan alkalmazások, szolgáltatások és termékek kifejlesztésekor, tervezésekor, kiválasztásakor és felhasználásakor, amelyek személyes_adatok kezelésén alapulnak vagy rendeltetésük teljesítéséhez személyes_adatokat kezelnek, a termékek, szolgáltatások és alkalmazások előállítóit arra kell ösztönözni, hogy e termékek, szolgáltatások és alkalmazások kifejlesztésekor és tervezésekor szem előtt tartsák a személyes_adatok védeleméhez való jogot, és a tudomány és technológia állását kellően figyelembe véve gondoskodjanak arról, hogy az adatkezelők és az adatfeldolgozók adatvédelmi kötelezettségeiknek eleget tegyenek.
A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

- = -

(79) Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége – a felügyeleti_hatóságok általi ellenőrzéssel és azok intézkedéseivel összefüggésben is – megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

- = -

(80) Ha az Unióban tartózkodó érintettek személyes_adatait az Unióban tevékenységi hellyel nem rendelkező olyan adatkezelő vagy adatfeldolgozó kezeli, amelynek az adatkezelési tevékenysége termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Unión belüli kínálásához – függetlenül attól, hogy az érintetteknek fizetniük kell-e azokért – vagy az ilyen érintettek Unión belüli magatartásának a megfigyeléséhez kapcsolódik, az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, kivéve, ha az általa végzett adatkezelés alkalmi jellegű, nem terjed ki a személyes_adatok különleges kategóriáinak, illetve a büntetőjogi felelősség megállapításával és bűncselekményekkel kapcsolatos személyes_adatoknak nagy számban történő kezelésére, továbbá a jellegét, hatókörét, körülményeit és céljait tekintve valószínűsíthetően nem jelent kockázatot az érintettek jogaira és szabadságaira nézve, illetve ha az adatkezelő közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv.
A képviselő az adatkezelő vagy az adatfeldolgozó nevében jár el, és e minőségében bármelyik felügyeleti_hatóság megkeresheti.
Az adatkezelő vagy az adatfeldolgozó írásbeli megbízás útján kifejezetten kijelöli a képviselőt arra, hogy nevében az e rendelet értelmében fennálló kötelezettségei tekintetében eljárjon.
A képviselő kijelölése nem érinti az adatkezelőre, illetve adatfeldolgozóra e rendelet értelmében háruló hatásköröket és felelősséget.
A képviselő feladatait az adatkezelőtől vagy az adatfeldolgozótól kapott – és ideértve az illetékes felügyeleti_hatóságokkal az e rendeletnek való megfelelés biztosítása érdekében tett bármely lépés tekintetében való együttműködést is előíró – megbízással összhangban látja el.
Meg nem felelés esetén, a kijelölt képviselővel szemben az adatkezelő vagy az adatfeldolgozó kikényszerítési eljárásokat indíthat.

- = -

(81) Annak biztosítása érdekében, hogy az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelmények teljesüljenek, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Az adatkezelő kötelezettségei teljesítésének bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz.
Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes_adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
Az adatkezelő és az adatfeldolgozó dönthet egyedi szerződés vagy általános szerződési feltételek alkalmazása mellett, mely utóbbiakat vagy közvetlenül a Bizottság, vagy az egységességi mechanizmus alapján valamely felügyeleti_hatóság, majd pedig a Bizottság fogad el.
Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes_adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

- = -

(82) Az adatkezelő vagy az adatfeldolgozó az e rendeletnek való megfelelés bizonyítása érdekében nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről.
Minden adatkezelő és adatfeldolgozó köteles a felügyeleti_hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

- = -

(83) A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz.
Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes_adatok jellegével összefüggő költségeit.
Az adatbiztonsági kockázat felmérése során a személyes_adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés –mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

- = -

(95) Az adatfeldolgozó – szükség esetén és kérésre – segíti az adatkezelőt abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti_hatósággal folytatott előzetes konzultációból eredő kötelezettségek.

- = -

(97) Ha az adatkezelést közhatalmi szerv végzi – kivéve a bíróságokat és az egyéb, független igazságügyi hatóságokat, amikor azok igazságszolgáltatási feladataik körében járnak el –, illetve ha az adatkezelést a magánszektorban működő olyan adatkezelő végzi, amelynek fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek nagymértékű, rendszeres és szisztematikus nyomon követését teszik szükségessé, vagy ha az adatkezelő vagy az adatfeldolgozó alaptevékenysége során a személyes_adatok különleges kategóriáit és a büntetőjogi felelősség megállapítására vonatkozó határozatokhoz és bűncselekményekhez kapcsolódó adatokat nagy számban kezel, az adatkezelőt vagy az adatfeldolgozót az e rendeletnek való belső megfelelés ellenőrzésében egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti.
A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes_adatok kezelése nem.
A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes_adatok tekintetében megkövetelt védelem alapján kell meghatározni.
Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.

- = -

(98) Az adatkezelők, illetve adatfeldolgozók kategóriáit képviselő egyesületeket vagy egyéb szerveket az e rendelet által szabott határokon belül, az e rendelet hatékony alkalmazásának az elősegítése érdekében magatartási kódexek létrehozására kell ösztönözni, adatkezelés sajátosságaira, valamint a mikro-, kis- és közép vállalkozások sajátos szükségleteire figyelemmel.
E magatartási kódexek keretében meg lehetne határozni az adatkezelők és az adatfeldolgozók kötelezettségeit, figyelembe véve azt a kockázatot, amellyel az adatkezelés a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően jár.

- = -

(99) Az adatkezelőket, illetve adatfeldolgozókat képviselő egyesületek vagy egyéb szervek a magatartási kódex létrehozásakor vagy egy már meglévő kódex módosításakor vagy kibővítésekor konzultálnak az érdekelt felekkel – ha ez megoldható köztük az érintettekkel is –, és az e konzultációk során kapott beadványokat, illetve véleményeket figyelembe veszik.

- = -

(101) A nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes_adatoknak az Unión kívüli országok és a nemzetközi_szervezetek viszonylatában megvalósuló forgalmára.
Az ilyen forgalom növekedése új kihívásokat és problémákat támaszt a személyes_adatok védelme tekintetében.
Mindazonáltal a személyes_adatoknak az Unióból harmadik országbeli adatkezelőknek, adatfeldolgozóknak, egyéb címzetteknek vagy nemzetközi_szervezetek részére történő továbbítása esetén nem sérülhet a természetes személyeknek az Unióban e rendelettel biztosított védelem szintje, és annak fenn kell maradnia az ilyen személyes_adatoknak az adott harmadik országból vagy nemzetközi_szervezettől ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőnek, adatfeldolgozónak vagy nemzetközi_szervezetnek történő újbóli továbbítása esetén is.
A harmadik országokba és a nemzetközi_szervezetekhez való továbbítás csak e rendelet teljes betartása mellett hajtható végre.
A továbbításra akkor kerülhet csak sor, ha az adatkezelő vagy az adatfeldolgozó – e rendelet egyéb rendelkezéseire is figyelemmel – teljesíti az harmadik országok vagy nemzetközi_szervezeteknek történő adattovábbításra vonatkozó, e rendeletben meghatározott feltételeket.

- = -

(108) Megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról.
Ezek a megfelelő garanciák magukban foglalhatják a kötelező_erejű_vállalati_szabályok, a Bizottság által elfogadott általános adatvédelmi kikötések, a felügyeleti_hatóság által elfogadott általános adatvédelmi kikötések vagy a felügyeleti_hatóság által engedélyezett általános szerződési feltételek alkalmazását.
A garanciák biztosítják az adatvédelmi követelményeknek való megfelelést, és az Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat biztosítanak az érintettek számára, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül ideértve azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe és kártérítést igényelhessenek az Unióban vagy egy harmadik országban.
A garanciák különösen a személyes_adatok kezelésre vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak.
Adattovábbítást közhatalmi szerv vagy egyéb, közfeladatot ellátó szervek is végezhetnek, harmadik országbeli közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek vagy hasonló feladatot vagy funkciókat ellátó nemzetközi_szervezetek felé, ideértve a közigazgatási megállapodásokba – például egyetértési megállapodás formájában – beillesztendő, az érintetteknek tényleges és érvényesíthető jogokat biztosító rendelkezések alapján.
Az illetékes felügyeleti_hatóság engedélyét be kell szerezni abban az esetben, ha a garanciákat olyan közigazgatási megállapodások tartalmazzák, amelyek jogilag nem kötelező erejűek.

- = -

(109) Az a lehetőség, mely szerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy a felügyeleti_hatóság által elfogadott általános adatvédelmi kikötéseket, egyik sem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezen általános adatvédelmi kikötéseket, sem azt, hogy további rendelkezéseket vagy garanciákat adjon hozzá, feltéve hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyeleti_hatóság által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait.
Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

- = -

(114) Ha a Bizottság az adott harmadik ország viszonylatában nem hozott határozatot a harmadik ország adatvédelemi szintjéről, az adatkezelő vagy az adatfeldolgozó olyan megoldásokhoz folyamodhat, amelyek az érintettek számára olyan tényleges és érvényesíthető jogokat garantálnak, hogy az érintettek az adattovábbítást követően is élvezhetik az őket megillető alapvető jogokat és garanciákat.

- = -

(115) Néhány harmadik ország olyan törvényeket, rendeleteket és más jogszabályokat fogad el, amelyek jogot formálnak a tagállamok joghatósága alá tartozó természetes vagy jogi személyek által végzett adatkezelési tevékenységek közvetlen szabályozására.
Ide tartoznak a harmadik országok bíróságai és törvényszékei által hozott ítéletek, valamint közigazgatási hatóságai által hozott döntések, amelyek valamely adatkezelő vagy adatfeldolgozó számára személyes_adatok továbbítását vagy közlését írják elő, és amelyek nem egy olyan hatályos nemzetközi megállapodáson, például kölcsönös jogsegélyről szóló megállapodáson alapulnak, amely a megkereső harmadik ország és az Unió vagy egy tagállama között jött létre.
E törvények, rendeletek és más jogszabályok országhatáron kívüli alkalmazása sértheti a nemzetközi jogot és akadályozhatja a természetes személyeknek az Unióban e rendelet által biztosított védelmét.
Az adattovábbítás csak akkor engedélyezhető, ha az e rendeletben a harmadik országokba történő adattovábbítás tekintetében meghatározott feltételek teljesülnek.
Ez többek között akkor állhat fenn, ha az adatközlés olyan, az uniós jogban vagy azon tagállam jogában elismert fontos közérdekből szükséges, amelynek az adatkezelő a hatálya alá tartozik.

- = -

(122) Az egyes felügyeleti_hatóságok saját tagállamuk területén illetékesek az e rendelettel összhangban rájuk ruházott hatáskörök és feladatok gyakorlására, illetve végzésére.
Ez kiterjed különösen az adatkezelők vagy az adatfeldolgozók tevékenységi helyén folytatott tevékenységekkel összefüggésben a tagállamuk területén végzett adatkezelésre, a személyes_adatoknak a közhatalmi szervek vagy közérdekből eljáró magánfél szervezetek által végzett kezelésére, a tagállamuk területén élő érintettekre irányuló adatkezelésre, illetve az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók által végzett adatkezelésre, ha az érintettek az adott tagállam területén tartózkodnak.
Ez magában foglalja, hogy az érintettek által benyújtott panaszokkal kapcsolatban eljár, lefolytatja az e rendelet alkalmazásával kapcsolatos vizsgálatokat, valamint a személyes_adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok terén tájékoztatja a nyilvánosságot is.

- = -

(124) Ha a személyes_adatok kezelésére az adatkezelő vagy az adatfeldolgozó Unión belüli tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor, és az adatkezelő vagy az adatfeldolgozó egynél több tagállamban rendelkezik tevékenységi hellyel, vagy ha az adatkezelő vagy az adatfeldolgozó kizárólag Unión belüli tevékenységi helyen folytatott tevékenységekkel összefüggésben megvalósuló adatkezelés az érintetteket egynél több tagállamban jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti, akkor fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatósága jár el.
A fő hatóság együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek amiatt, hogy az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik a tagállamuk területén, hogy a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintve vannak, vagy, hogy panaszt nyújtottak be hozzájuk.
Továbbá, ha az adott tagállam területén lakóhellyel nem rendelkező érintett nyújtott be panaszt, azt a felügyeleti_hatóságot, amelyhez a panaszt benyújtotta, szintén érintett felügyeleti_hatóságnak kell tekinteni.
Az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozó iránymutatások kiadásával összefüggő feladatai keretében a Testület számára lehetővé kell tenni, hogy iránymutatásokat adjon ki különösen azokra a szempontokra vonatkozóan, amelyeket figyelembe kell venni ahhoz, hogy meg lehessen győződni arról, hogy a szóban forgó adatkezelés egynél több tagállamban érint-e jelentős mértékben érintetteket, valamint arra vonatkozóan, hogy mi tekintendő releváns_és_megalapozott_kifogásnak.

- = -

(126) A fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok együttesen állapodnak meg a döntésről, amely az adatkezelő vagy az adatfeldolgozó tevékenységi_központjára vagy egyetlen tevékenységi helyére irányul, és amely az adatkezelőre és az adatfeldolgozóra nézve kötelezőnek kell lennie.
Az adatkezelő vagy az adatfeldolgozó megteszi az ahhoz szükséges intézkedéseket, hogy biztosítsa az e rendeletnek való megfelelést és azt, hogy a fő felügyeleti_hatóság által az adatkezelő vagy az adatfeldolgozó tevékenységi_központjának megküldött döntést az Unión belüli kezelési tevékenységek tekintetében végrehajtsák.

- = -

(127) A nem fő felügyeleti_hatóságként eljáró egyes felügyeleti_hatóságok illetékesek helyi ügyekben abban az esetben, ha az adatkezelő vagy az adatfeldolgozó ugyan egynél több tagállamban rendelkezik tevékenységi hellyel, azonban a konkrét adatkezelés tárgya csak egyetlen tagállamban végzett adatkezelésre vonatkozik, és csak abban az egyetlen tagállamban élő érintettekre irányul, például ha a személyes_adatok kezelésének tárgya a munkavállalói adatoknak konkrét foglalkoztatással összefüggő kezelése egy adott tagállamban.
Ilyen esetekben a felügyeleti_hatóság az ügyről a fő felügyeleti_hatóságot haladéktalanul tájékoztatja.
A tájékoztatás kézhezvételét követően a fő felügyeleti_hatóság eldönti, hogy eljár-e az ügyben a fő felügyeleti_hatóság és a más érintett felügyeleti_hatóság közötti együttműködésre vonatkozó rendelkezésnek megfelelően („egységességi mechanizmus”), vagy pedig az ügyben a helyi szinten a tájékoztatást adó felügyeleti_hatóság járjon el.
Amikor döntést hoz arról, hogy maga jár el az ügyben, a fő felügyeleti_hatóság figyelembe veszi, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel az őt tájékoztató felügyeleti_hatóság tagállamában, annak biztosítása érdekében, hogy a döntést hatékonyan végre lehessen hajtani az adatkezelővel vagy az adatfeldolgozóval szemben.
Ha a fő felügyeleti_hatóság úgy dönt, hogy eljár az ügyben, az őt tájékoztató felügyeleti_hatóság számára lehetővé kell tenni, hogy benyújtson egy döntéstervezetet, amelyet a fő felügyeleti_hatóság a legmesszebbmenőkig figyelembe vesz akkor, amikor az együttműködés és az egységességi mechanizmus keretén belül saját döntéstervezetét megszövegezi.

- = -

(131) Azokban az ügyekben, amelyekben az adatkezelő vagy az adatfeldolgozó adatkezelési tevékenységei tekintetében egy másik felügyeleti_hatóság jár el fő felügyeleti_hatóságként, azonban a panasz konkrét tárgya vagy az esetleges jogsértés kizárólag a panasz benyújtásának helye szerinti tagállamban működő adatkezelő vagy adatfeldolgozó adatkezelési tevékenységeit érinti, és az ügy nem érint jelentős mértékben vagy valószínűsíthetően nem érint jelentős mértékben más tagállamokban élő érintetteket, az a felügyeleti_hatóság, amelyhez panasz érkezik, vagy amely e rendelet esetleges megsértését eredményező helyzetet észlel vagy arról egyéb módon értesül, az adatkezelővel békés vitarendezésre törekszik, és ennek sikertelensége esetén gyakorolja valamennyi hatáskörét.
Ennek ki kell terjednie a felügyeleti_hatóság szerinti tagállam területén végzett konkrét adatkezelésre vagy az említett tagállam területén élő érintettekre irányuló konkrét adatkezelésre, az olyan adatkezelésre, amelyet termékeknek vagy szolgáltatásoknak kifejezetten a felügyeleti_hatóság szerinti tagállam területén élő érintettek részére történő kínálásával összefüggésben végeznek, vagy amelyet a tagállami jog szerinti vonatkozó jogi kötelezettségeket figyelembe véve kell értékelni.

- = -

(132) A felügyeleti_hatóságok által végzett, a nyilvánosságot célzó figyelemfelkeltő tevékenységek magukban foglalnak olyan konkrét intézkedéseket, amelyek az adatkezelőkre és az adatfeldolgozókra – beleértve a mikro-, kis- és közép vállalkozásokat is –, valamint különösen oktatási keretek között a természetes személyekre irányulnak.

- = -

(143) Minden természetes vagy jogi személy jogosult, hogy az EUMSZ 263.
cikkében meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt.
Azok az érintett felügyeleti_hatóságok, amelyek e döntések címzettjeiként fellebbezni kívánnak azok ellen, az EUMSZ 263.
cikkének megfelelően a döntésről való értesítésüket követő két hónapon belül indítják meg keresetüket.
Ha a Testület döntései közvetlenül és egyénileg érintenek valamely adatkezelőt, adatfeldolgozót vagy a panaszost, a panaszos az EUMSZ 263. cikkének megfelelően eljárást indíthat az adott döntések megsemmisítése iránt, mégpedig azoknak a Testület honlapján való közzététele dátumától számított két hónapon belül.
Az EUMSZ 263.
cikkében biztosított e jog sérelme nélkül, minden természetes vagy jogi személy számára biztosítani kell, hogy egy valamely felügyeleti_hatóság által hozott és a szóban forgó személyre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróságnál.
Ide tartoznak különösen a felügyeleti_hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések.
Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti_hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti_hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra.
A felügyeleti_hatósággal szembeni eljárást a felügyeleti_hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást az érintett tagállam eljárásjoga szerint kell lefolytatni.
Az említett bíróság teljes körű joghatósággal rendelkezik, amely magában foglalja az általa tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.

- = -

(144) Ha egy olyan bíróság, amely előtt eljárást indítottak valamely felügyeleti_hatóság által hozott döntéssel szemben, okkal feltételezheti, hogy ugyanazon adatkezelésre vonatkozóan – például ha ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése esetében megegyezik a tárgy, illetve ha megegyezik a jogalap – már eljárás indult valamely más tagállam illetékes bírósága előtt, annak érdekében, hogy meggyőződjön ezeknek az összefüggő eljárásoknak a létezéséről, ez utóbbi bírósággal felveszi a kapcsolatot.
Ha valamely más tagállam bírósága előtt összefüggő eljárások vannak folyamatban, valamennyi olyan bíróságnak, amely előtt az eljárás később indult meg, felfüggesztheti az eljárását, vagy valamelyik fél megkeresésére a joghatóságának hiányát állapíthatja meg annak a bíróságnak javára, amely előtt elsőként indult meg az eljárás, ha ez utóbbi bíróságnak van joghatósága a szóban forgó eljárások tekintetében és az adott tagállam joga lehetővé teszi az összefüggő eljárások összevonását.
Az eljárások akkor tekintendők összefüggőnek, ha közöttük olyan szoros kapcsolatáll fenn, hogy a külön eljárásokban hozott, egymásnak ellentmondó ítéletek elkerülése érdekében célszerű azokat együttesen tárgyalni és róluk együtt határozatot hozni.

- = -

(145) Az adatkezelő vagy adatfeldolgozó elleni eljárást illetően a felperes számára lehetővé kell tenni, hogy eldöntse, hogy az eljárást annak a tagállamnak a bírósága előtt indítja-e meg, ahol az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik, vagy pedig az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének minősül.

- = -

(146) Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni.
Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli.
A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit.
Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket.
Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is.
Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.
Ha egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, akkor minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
Ha azonban az érintett adatkezelőket a tagállami jognak megfelelően bevonják ugyanabba az eljárásba, a kártérítési kötelezettség megosztható az egyes adatkezelők, illetve adatfeldolgozók között az általuk okozott kár arányában, feltéve hogy így is biztosított marad, hogy az érintettet ért kárt teljes mértékben és ténylegesen megtérítik.
Azok az adatkezelők vagy adatfeldolgozók, akik teljes kártérítést fizettek, ezt követően viszontkereseti eljárást indíthatnak az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.

- = -

(147) Ha e rendelet egyedi szabályokat állapít meg a joghatósággal kapcsolatban, különösen a valamely adatkezelővel vagy adatfeldolgozóval szembeni bírósági jogorvoslat – például kártérítés – céljából indított eljárások tekintetében, az általános joghatósági szabályok – például az 1215/2012/EU európai parlamenti és tanácsi rendeletben (13) foglalt szabályoknak – ezen egyedi szabályok alkalmazását nem befolyásolhatják.

- = -

(148) Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén a felügyeleti_hatóság által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni.
E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.
Kellő figyelmet kell azonban fordítani a jogsértés természetére, súlyosságára, időtartamára, szándékos jellegére és arra, hogy tettek-e intézkedéseket az elszenvedett kár mértékének csökkentésére, továbbá a felelősség mértékére, a korábban e téren elkövetett jogsértésekre, arra, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, valamint arra, hogy az adatkezelő vagy adatfeldolgozó betartja-e a vele szemben elrendelt intézkedéseket és hogy alkalmaz-e valamely magatartási kódexet, valamint minden egyéb súlyosbító vagy enyhítő körülményre.
A szankciók – ideértve a közigazgatási bírságok – kiszabására az uniós jog és a Charta általános elveivel összhangban megfelelő eljárási garanciákat – ideértve hatékony jogvédelmet és a tisztességes eljáráshoz való jogot – kell alkalmazni.

- = -

(153) A tagállamok jogának össze kell egyeztetnie a véleménynyilvánítás és a tájékozódás – ideértve az újságírói, a tudományos, a művészi, illetve az irodalmi kifejezés – szabadságára vonatkozó szabályokat a személyes_adatok védelmére vonatkozó, e rendelet szerinti joggal.
Helyénvaló, hogy a kizárólag a személyes_adatoknak az újságírás, a tudományos, a művészi vagy az irodalmi kifejezés céljából végzett kezelése eltérés tárgyát képezze vagy mentesüljön az e rendelet egyes rendelkezéseiben szereplő követelmények alól, ha ez ahhoz szükséges, hogy a személyes_adatok védelméhez való jogot a véleménynyilvánítás szabadságához és tájékozódáshoz való joggal összeegyeztessék, amelyet a Charta 11.
cikke biztosít.
Ez alkalmazandó különösen a személyes_adatok audiovizuális területen, valamint a hírarchívumokban és sajtókönyvtárakban történő kezelésére.
Következésképpen a tagállamok jogalkotási intézkedések elfogadásával határozzák meg az ezen alapvető jogok közötti egyensúly érdekében a szükséges kivételeket és eltéréseket.
A tagállamok kivételeket és eltéréseket fogadnak el az általános elvek, az érintett jogai, az adatkezelő és adatfeldolgozó, a személyes_adatoknak harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása, a független felügyeleti_hatóságok, az együttműködés és az egységes alkalmazás, illetve az egyedi adatkezelési helyzetek tekintetében.
Ha ezek a kivételek vagy eltérések a tagállamok között különböznek, az adatkezelőre alkalmazandó tagállami jogot kell alkalmazni.
A véleménynyilvánítás szabadságához való jog minden demokratikus társadalomban fennálló jelentőségének figyelembevétele érdekében az e szabadsághoz tartozó olyan fogalmakat, mint az újságírás, tágan kell értelmezni.

- = -

(164) A felügyeleti_hatóságok azon jogköre tekintetében, hogy az adatkezelőtől vagy adatfeldolgozótól hozzáférést kapjanak a személyes_adatokhoz, illetve belépési engedélyt kapjanak annak helyiségeibe, a tagállamok e rendelet keretein belül jogszabályban különös rendelkezéseket hozhatnak annak érdekében, hogy a szakmai vagy más, azzal egyenértékű titoktartási kötelezettségeket biztosítsák, ha a személyes_adatok védelméhez való jogot a szakmai titoktartásra vonatkozó kötelezettséggel kell összeegyeztetni.
Ez nem érinti a tagállamok azon meglévő kötelezettségét, hogy szakmai titoktartási rendelkezéseket fogadjanak el, ha az uniós jog ezt megköveteli.

- = -

(168) Vizsgálóbizottsági eljárást kell alkalmazni az adatkezelők és adatfeldolgozók közötti, illetve az adatfeldolgozók közötti általános szerződési feltételekre; a magatartási kódexekre; a tanúsítás technikai standardjaira és mechanizmusaira; a harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi_szervezet által biztosított megfelelő védelmi szintre; az általános adatvédelmi kikötések elfogadására; az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között, a kötelező_erejű_vállalati_szabályokra vonatkozóan folytatott elektronikus információcsere formájára és eljárásaira; a kölcsönös segítségnyújtásra; a felügyeleti_hatóságok közötti, illetve a felügyeleti_hatóságok és a Testület közötti elektronikus információcserére vonatkozó szabályokkal kapcsolatos végrehajtási jogi aktusok elfogadására.

- = -

dal 2004 diritto e informatica