interactive GDPR 2016/0679 HU

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

23. cikk

Korlátozások

(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a)	nemzetbiztonság;

b)	honvédelem;

c)	közbiztonság;

d)	bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

e)	az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

f)	a bírói függetlenség és a bírósági eljárások védelme;

g)	a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

h)	az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

i)	az érintett védelme vagy mások jogainak és szabadságainak védelme;

j)	polgári jogi követelések érvényesítése.

(2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a)	az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b)	a személyes_adatok kategóriáira,

c)	a bevezetett korlátozások hatályára,

d)	a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e)	az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,

f)	az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g)	az érintettek jogait és szabadságait érintő kockázatokra, és

h)	az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

IV. FEJEZET

Az adatkezelő és az adatfeldolgozó

1. szakasz

Általános kötelezettségek

33. cikk

Az adatvédelmi_incidens bejelentése a felügyeleti_hatóságnak

(1) Az adatvédelmi_incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti_hatóságnak, kivéve, ha az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi_incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)	ismertetni kell az adatvédelmi_incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)	közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)	ismertetni kell az adatvédelmi_incidensből eredő, valószínűsíthető következményeket;

d)	ismertetni kell az adatkezelő által az adatvédelmi_incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi_incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi_incidenseket, feltüntetve az adatvédelmi_incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti_hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

35. cikk

Adatvédelmi hatásvizsgálat

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes_adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.

(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)	a 9. cikk (1) bekezdésében említett személyes_adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelése; vagy

c)	nyilvános helyek nagymértékű, módszeres megfigyelése.

(4) A felügyeleti_hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti_hatóság továbbítja az említett jegyzékeket a Testület részére.

(5) A felügyeleti_hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni. A felügyeleti_hatóság továbbítja ezeket a jegyzékeket a Testület részére.

(6) A (4) és (5) bekezdésben említett jegyzékek elfogadását megelőzően az illetékes felügyeleti_hatóság igénybe veszi a 63. cikkben említett egységességi mechanizmust, ha ezek a jegyzékek olyan adatkezelési tevékenységeket tartalmaznak, amelyek az érintettek számára történő, több tagállamra kiterjedő áru- vagy szolgáltatás nyújtásához vagy az érintettek viselkedésének több tagállamra kiterjedő megfigyeléséhez kapcsolódnak, vagy érdemben érinthetik a személyes_adatok Unión belüli szabad áramlását.

(7) A hatásvizsgálat kiterjed legalább:

a)	a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;

b)	az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

c)	az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

d)	a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes_adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

(8) Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó adatkezelők, illetve adatfeldolgozók teljesítik-e a 40. cikkben említett jóváhagyott magatartási kódexek előírásait.

(9) Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes_adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

50. cikk

A személyes_adatok védelmével kapcsolatos nemzetközi együttműködés

A harmadik országok és nemzetközi_szervezetek viszonylatában a Bizottság és a felügyeleti_hatóságok megfelelő lépéseket tesznek annak érdekében, hogy:

a)	a személyes_adatok védelméről szóló jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítsanak ki;

a személyes_adatok védelméről szóló jogszabályok érvényesítése terén kölcsönös nemzetközi segítségnyújtást biztosítsanak, egyebek mellett értesítés, a panaszok illetékes hatósághoz történő továbbítása, a vizsgálatokban történő segítségnyújtás és információcsere útján, a személyes_adatok védelmére és a többi alapvető jogra és szabadságra vonatkozó megfelelő garanciákra is figyelemmel;

c)	az érdekelt feleket bevonják a személyes_adatok védelméről szóló jogszabályok érvényesítése érdekében folytatott nemzetközi együttműködés előmozdítását célzó párbeszédbe és tevékenységekbe;

d)	előmozdítsák a személyes_adatok védelméről szóló jogszabályok és gyakorlat átadását és dokumentálását, beleértve a harmadik országok viszonylatában felmerülő joghatósági összeütközéseket is.

VI. FEJEZET

Független felügyeleti_hatóságok

1. szakasz

Független jogállás

61. cikk

Kölcsönös segítségnyújtás

(1) A felügyeleti_hatóságok e rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.

(2) Minden felügyeleti_hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti_hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok lefolytatásával kapcsolatos releváns információk továbbítása.

(3) A segítségnyújtás iránti megkeresésnek minden szükséges információt tartalmaznia kell, beleértve a megkeresés célját és okait. A kicserélt információk kizárólag a megkeresésben meghatározott célra használhatók fel.

(4) A megkeresett felügyeleti_hatóság csak abban az esetben tagadhatja meg a megkeresés teljesítését, ha:

a)	a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

b)	a megkeresés teljesítése sértené e rendeletet, az uniós vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti_hatóság tartozik.

(5) A megkeresett felügyeleti_hatóság tájékoztatja a megkereső felügyeleti_hatóságot az ügyben elért eredményekről vagy adott esetben a megkeresés teljesítése érdekében hozott intézkedésekkel kapcsolatos fejleményekről. Ha a felügyeleti_hatóság megtagadja a megkeresés teljesítését, ezt köteles a (4) bekezdésnek megfelelően indokolni.

(6) A megkeresett felügyeleti_hatóságok főszabályként elektronikus úton, egységes formátum alkalmazásával továbbítják a másik felügyeleti_hatóság által kért információt.

(7) A megkeresett felügyeleti_hatóság által a kölcsönös segítségnyújtás iránti megkeresés nyomán tett intézkedések térítésmentesek. A felügyeleti_hatóságok megállapodhatnak más felügyeleti_hatóságokkal a rendkívüli körülmények közötti kölcsönös segítségnyújtásból eredő különleges költségek kölcsönös megtérítésére vonatkozó szabályokról.

(8) Ha egy felügyeleti_hatóság a másik felügyeleti_hatóság megkeresésének kézhezvételétől számított egy hónapon belül nem adja meg az e cikk (5) bekezdésében említett információkat, a megkereső felügyeleti_hatóság az 55. cikk (1) bekezdésével összhangban a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban.

(9) A Bizottság végrehajtási jogi aktusok révén meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formáját és eljárásait, valamint a felügyeleti_hatóságok közötti, illetve a felügyeleti_hatóságok és a Testület közötti elektronikus információcserére vonatkozó szabályokat, különösen az e cikk (6) bekezdésében említett egységes formátumot. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

82. cikk

A kártérítéshez való jog és a felelősség

(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

(4) Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és – a (2) és (3) bekezdés alapján – felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

(5) Ha valamely adatkezelő vagy adatfeldolgozó a (4) bekezdéssel összhangban teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon adatkezelésben érintett többi adatkezelőtől vagy adatfeldolgozótól visszaigényelje a kártérítésnek azt a részét, amely megfelel a (2) bekezdésben megállapított feltételek értelmében a károkozásért viselt felelősségük mértékének.

(6) A kártérítéshez való jog érvényesítését célzó bírósági eljárást az előtt a bíróság előtt kell megindítani, amely a 79. cikk (2) bekezdésében említett tagállam joga szerint illetékes.

whereas

(39) A személyes_adatok kezelésének jogszerűnek és tisztességesnek kell lennie.
A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes_adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes_adatokat milyen mértékben kezelik vagy fogják kezelni.
Az átláthatóság elve megköveteli, hogy a személyes_adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes_adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról.
A természetes személyt a személyes_adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
A személyes_adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes_adatok gyűjtésének időpontjában meghatározottaknak kell lenniük.
A személyes_adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni.
Ehhez pedig biztosítani kell különösen azt, hogy a személyes_adatok tárolása a lehető legrövidebb időtartamra korlátozódjon.
Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.
Annak biztosítása érdekében, hogy a személyes_adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.
A pontatlan személyes_adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni.
A személyes_adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes_adatokhoz és a személyes_adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

- = -

(86) Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi_incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.
Az tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi_incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat.
Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti_hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást.
Például az érintettek sürgős tájékoztatása a kár közvetlen veszélyének mérsékléséhez szükséges, azonban annak megelőzése több időt igényelhet, hogy a folyamatos vagy azonos jellegű adatvédelmi_incidens esetében megfelelő intézkedéseket kell végrehajtani.

- = -

(90) A természetes személyek jogaira és szabadságaira nézve magas kockázattal járó ilyen esetekben az adatkezelő – annak érdekében, hogy az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve felmérje a magas kockázat különös valószínűségét és súlyosságát – az adatkezelés előtt adatvédelmi hatásvizsgálatot végez.
Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes_adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.

- = -

(94) Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti_hatósággal konzultálni kell.
Valószínűsíthetően ilyen magas kockázattal járnak a személyes_adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A felügyeleti_hatóság a konzultáció iránti megkeresésre meghatározott határidőn belül választ ad.
Ha azonban, a felügyeleti_hatóság az említett határidőn belül nem reagál, nem érinti a felügyeleti_hatóságnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló beavatkozási jogkörét, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve.
E konzultációs eljárás során a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét, és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét be lehet nyújtani a felügyeleti_hatóságnak.

- = -

(106) A Bizottság ellenőrzi a harmadik ország, a harmadik ország valamely területe vagy egy meghatározott ágazata, illetve valamely nemzetközi_szervezet által biztosított védelem szintjével kapcsolatos határozatok működésének ellenőrzését, ideértve a 95/46/EK irányelv 25.
cikk (6) vagy a 26.
cikk (4) bekezdése alapján elfogadott határozatokat is.
A megfelelőségi határozatokban a Bizottság rendelkezik a határozatok működésének időszakos felülvizsgálatát célzó mechanizmusról.
Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi_szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi_szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni.
A nyomon követés és az időszakos felülvizsgálatok elvégzése céljából a Bizottság figyelembe veszi az Európai Parlament és a Tanács, valamint az egyéb érintett szervek és források véleményét és megállapításait.
A Bizottság – észszerű határidőn belül – értékeli az utóbbi határozatok végrehajtását, és jelzi az e kérdést érintő megállapításait az e rendelet szerint létrehozott, a 182/2011/EU európai parlamenti és tanácsi rendelet (12) értelmében vett bizottság, valamint az Európai Parlament és a Tanács felé.

- = -

(116) A személyes_adatok uniós külső határokat átlépő továbbításakor megnövekedhet annak a kockázata, hogy a természetes személyek adatvédelmi jogaikat nem képesek gyakorolni, különösen ami az adatok jogellenes felhasználása vagy közlése elleni védelmet illeti.
Ugyanakkor előfordulhat, hogy a felügyeleti_hatóságok nem tudnak az országuk határaikon kívül folyó tevékenységek tekintetében a panaszok kapcsán eljárni vagy vizsgálatot lefolytatni.
A határokon átnyúló összefüggésben tett erőfeszítéseiket az elégtelen megelőzési vagy jogorvoslati hatáskör, az egymásnak ellentmondó jogrendszerek, valamint olyan gyakorlati akadályok is hátráltathatják, mint a források korlátozott volta.
Ezért elő kell mozdítani az adatvédelmi felügyeleti_hatóságok közötti szorosabb együttműködést az információcsere és a nemzetközi partnerekkel folytatott vizsgálatok elősegítése érdekében.
A személyes_adatok védelmét célzó jogszabályok érvényesítését célzó kölcsönös nemzetközi segítségnyújtást megkönnyítő, illetve biztosító nemzetközi együttműködési mechanizmusok kifejlesztése érdekében a Bizottság és a felügyeleti_hatóságok hatáskörük gyakorlása során kölcsönösségen alapuló információcserét és együttműködést folytatnak a harmadik országbeli illetékes hatóságokkal, e rendelettel összhangban.

- = -

(132) A felügyeleti_hatóságok által végzett, a nyilvánosságot célzó figyelemfelkeltő tevékenységek magukban foglalnak olyan konkrét intézkedéseket, amelyek az adatkezelőkre és az adatfeldolgozókra – beleértve a mikro-, kis- és közép vállalkozásokat is –, valamint különösen oktatási keretek között a természetes személyekre irányulnak.

- = -

(156) E rendelet alapján a személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak.
Ez említett garanciák biztosítják, hogy technikai és szervezési intézkedéseket hoztak különösen annak érdekében, hogy az adattakarékosság elve érvényesüljön.
A személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további kezelésére akkor kerülhet sor, ha az adatkezelő előzetesen felmérte, hogy ezek a célok megvalósíthatók olyan személyes_adatok kezelésével, amelyek eleve nem vagy a továbbiakban már nem teszik lehetővé az érintettek azonosítását, feltéve hogy megfelelő garanciák állnak rendelkezésre (mint például a személyes_adatok álnevesítése).
A tagállamok megfelelő garanciákról kell rendelkezniük a személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelése tekintetében.
A tagállamok számára engedélyezni kell, hogy konkrét feltételekkel és az érintettek számára nyújtott megfelelő garanciák mellett pontosításokat és eltéréseket alkalmazzanak a tájékoztatási követelményekre, a helyesbítéshez való jogra, a törléshez való jogra, az elfeledtetéshez való jogra, az adatkezelés korlátozásához való jogra, valamint az adathordozhatósághoz való jogra, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő adatkezeléssel összefüggő tiltakozáshoz való jogra vonatkozóan.
A szóban forgó feltételek és garanciák eredményezhetnek egyrészt az említett jogoknak az érintettek általi érvényesítését szolgáló eljárásokat – ha ez megfelelő az adott adatkezelés céljainak fényében –, másrészt az arányosság és a szükségesség elveinek érvényesítése érdekében a személyes_adatok kezelésének minimálisra korlátozását célzó technikai és szervezési intézkedéseket.
A személyes_adatok tudományos célú kezelésének meg kell felelnie az egyéb, például a klinikai vizsgálatokat szabályozó jogszabályoknak is.

- = -

dal 2004 diritto e informatica