interactive GDPR 2016/0679 HU

(1) Ha a 6. cikk (1) bekezdésének a) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes_adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes_adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

A tagállamok e célokból jogszabályban ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak.

(2) Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

(3) Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.

13. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat az érintettől gyűjtik

(1) Ha az érintettre vonatkozó személyes_adatokat az érintettől gyűjtik, az adatkezelő a személyes_adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik_fél jogos érdekei;

e)	adott esetben a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes_adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)	a személyes_adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b)	az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d)	a felügyeleti_hatósághoz címzett panasz benyújtásának jogáról;

e)	arról, hogy a személyes_adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes_adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Ha az adatkezelő a személyes_adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

14. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat nem az érintettől szerezték meg

(1) Ha a személyes_adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	az érintett személyes_adatok kategóriái;

e)	a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a)	a személyes_adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)	ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik_fél jogos érdekeiről;

c)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e)	a valamely felügyeleti_hatósághoz címzett panasz benyújtásának joga;

f)	a személyes_adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

a)	a személyes_adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes_adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b)	ha a személyes_adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c)	ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes_adatok első alkalommal való közlésekor.

(4) Ha az adatkezelő a személyes_adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

a)	az érintett már rendelkezik az információkkal;

a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c)	az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)	a személyes_adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

15. cikk

Az érintett hozzáférési joga

(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes_adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes_adatokhoz és a következő információkhoz hozzáférést kapjon:

a)	az adatkezelés céljai;

b)	az érintett személyes_adatok kategóriái;

c)	azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes_adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi_szervezeteket;

d)	adott esetben a személyes_adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes_adatok kezelése ellen;

f)	a valamely felügyeleti_hatósághoz címzett panasz benyújtásának joga;

g)	ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2) Ha személyes_adatoknak harmadik országba vagy nemzetközi_szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

(3) Az adatkezelő az adatkezelés tárgyát képező személyes_adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

3. szakasz

Helyesbítés és törlés

17. cikk

A törléshez való jog („az elfeledtetéshez való jog”)

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes_adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes_adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)	a személyes_adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)	az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)	az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)	a személyes_adatokat jogellenesen kezelték;

e)	a személyes_adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)	a személyes_adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2) Ha az adatkezelő nyilvánosságra hozta a személyes_adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes_adatokra mutató linkek vagy e személyes_adatok másolatának, illetve másodpéldányának törlését.

(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

a)	a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b)	a személyes_adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c)	a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d)	a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e)	jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

30. cikk

Az adatkezelési tevékenységek nyilvántartása

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatkezelés céljai;

c)	az érintettek kategóriáinak, valamint a személyes_adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes_adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi_szervezeteket;

adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f)	ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b)	az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)	adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti_hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes_adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatoknak a kezelésére.

33. cikk

Az adatvédelmi_incidens bejelentése a felügyeleti_hatóságnak

(1) Az adatvédelmi_incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti_hatóságnak, kivéve, ha az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi_incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)	ismertetni kell az adatvédelmi_incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)	közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)	ismertetni kell az adatvédelmi_incidensből eredő, valószínűsíthető következményeket;

d)	ismertetni kell az adatkezelő által az adatvédelmi_incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi_incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi_incidenseket, feltüntetve az adatvédelmi_incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti_hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

36. cikk

Előzetes konzultáció

(1) Ha a 35. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes_adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti_hatósággal.

(2) Ha a felügyeleti_hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti_hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti_hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti_hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3) Az adatkezelő a felügyeleti_hatósággal folytatott, (1) bekezdés szerinti konzultáció során a felügyeleti_hatóságot tájékoztatja:

a)	adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;

b)	a tervezett adatkezelés céljairól és módjairól;

c)	az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

d)	adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;

e)	a 35. cikk szerinti adatvédelmi hatásvizsgálatról; és

f)	a felügyeleti_hatóság által kért minden egyéb információról.

(4) A tagállamok konzultálnak a felügyeleti_hatósággal minden, a személyes_adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.

(5) Az (1) bekezdéstől eltérve a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti_hatósággal, és szerezzék be a felügyeleti_hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes_adatokat, ideértve a személyes_adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

4. szakasz

Adatvédelmi tisztviselő

37. cikk

Az adatvédelmi tisztviselő kijelölése

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)	az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes_adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

(2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

(3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(4) Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti_hatósággal közli.

40. cikk

Magatartási kódexek

(1) A tagállamok, a felügyeleti_hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és közép vállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a)	tisztességes és átlátható adatkezelés;

b)	az adatkezelők jogos érdekei meghatározott körülmények között;

c)	az adatgyűjtés;

d)	személyes_adatok álnevesítése;

e)	a nyilvánosság és az érintettek tájékoztatása;

f)	az érintettek jogainak gyakorlása;

g)	a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h)	a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i)	a felügyeleti_hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi_incidensekről;

j)	a személyes_adatok harmadik országok vagy nemzetközi_szervezetek részére történő továbbítása; vagy

k)	az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(4) Az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság feladat- és hatáskörének sérelme nélkül az e cikk (2) bekezdése szerinti magatartási kódexek olyan mechanizmusokat határoznak meg, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szervezet számára, hogy elvégezze annak kötelező ellenőrzését, hogy a kódex alkalmazását vállaló adatkezelők vagy adatfeldolgozók megfelelnek-e a kódex rendelkezéseinek.

(5) Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti_hatóságnak. A felügyeleti_hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

(6) Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti_hatóság a kódexet nyilvántartásba veszi és közzéteszi.

(7) Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az 55. cikk alapján illetékes felügyeleti_hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően a 63. cikkben említett eljárás keretében benyújtja azt a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezen rendelettel, illetve az e cikk (3) bekezdésében említett esetben arról, hogy megfelelő garanciákat nyújt-e.

(8) Ha a (7) bekezdésben említett vélemény megerősíti, hogy a magatartási kódex tervezete, a módosítás vagy a kiegészítés összhangban van e rendelettel, illetve a (3) bekezdésben említett esetben azt, hogy megfelelő garanciákat nyújt, a Testület benyújtja véleményét a Bizottságnak.

(9) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá az e cikk (8) bekezdése szerint benyújtott, jóváhagyott magatartási kódex, módosítás vagy kiegészítés az Unió területén általános érvénnyel rendelkezik. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(10) A Bizottság biztosítja azon jóváhagyott kódexek megfelelő nyilvánosságát, amelyek esetében a (9) bekezdéssel összhangban úgy határozott, hogy általánosan érvényesek.

(11) A Testület valamennyi jóváhagyott magatartási kódexet, módosítást és kiegészítést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

42. cikk

Tanúsítás

(1) A tagállamok, a felügyeleti_hatóságok, a Testület, valamint a Bizottság – különösen uniós szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek e rendelet előírásainak. Figyelembe kell venni a mikro-, kis- és közép vállalkozások sajátos igényeit.

(2) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett az (5) bekezdésnek megfelelően jóváhagyott adatvédelmi tanúsítási mechanizmusokat, bélyegzőket vagy jelöléseket annak bizonyítására is létre lehet hozni, hogy a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók a 46. cikk (2) bekezdésének f) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(3) A tanúsításnak önkéntesnek kell lennie, és átlátható eljáráson keresztül kell elérhetővé tenni.

(4) Az e cikk szerinti tanúsítás nem csökkenti az adatkezelő vagy adatfeldolgozó e rendelet betartásáért való felelősségét, és nem sérti az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóságok feladat- és hatáskörét.

(5) Az e cikk szerinti tanúsítványt a 43. cikkben említett tanúsító szervezetek vagy az illetékes felügyeleti_hatóságok állítják ki, az illetékes felügyeleti_hatóság által az 58. cikk (3) bekezdésének, vagy a Testület által a 63. cikknek megfelelően jóváhagyott szempontok alapján. Ha a szempontokat a Testület hagyja jóvá, ennek eredményeként közös tanúsítvány, az európai adatvédelmi bélyegző állítható ki.

(6) Az adatkezelő vagy adatfeldolgozó, amely az adatkezelési tevékenységét aláveti a tanúsítási mechanizmusnak, a 43. cikkben említett tanúsító szervezet vagy adott esetben az illetékes felügyeleti_hatóság részére minden olyan információt megad és minden olyan adatkezelési tevékenységéhez hozzáférést biztosít, amely a tanúsítási eljárás lefolytatásához szükséges.

(7) Az adatkezelő vagy adatfeldolgozó részére a tanúsítványt legfeljebb hároméves időtartamra lehet kiállítani, amely azonos feltételek mellett a tanúsítvány megújítható, feltéve, hogy a vonatkozó követelmények továbbra is teljesülnek. Adott esetben, ha a tanúsításra vonatkozó követelmények nem vagy már nem teljesülnek, a 43. cikkben említett tanúsító szervezet vagy az illetékes felügyeleti_hatóság a tanúsítványt visszavonja.

(8) A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt, illetve jelölést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

43. cikk

Tanúsító szervezetek

(1) Az illetékes felügyeleti_hatóság 57. és 58. cikk alapján fennálló feladat- és hatásköreinek sérelme nélkül a tanúsítvány kiállítását és megújítását – a felügyeleti_hatóság a célból való tájékoztatását követően, hogy az szükség esetén gyakorolhassa az 58. cikk (2) bekezdésének h) pontja szerinti hatáskörét – olyan tanúsító szervezet végzi, amely az adatvédelem terén megfelelő szakértelemmel rendelkezik. A tagállamok biztosítják, hogy e tanúsító szervezetek akkreditációját az alábbiak közül egy vagy mindkettő elvégezte:

a)	az a felügyeleti_hatóság, amelyik az 55. vagy az 56. cikk alapján illetékes;

b)	az EN-ISO/IEC 17065/2012 szabványnak megfelelően, a 765/2008/EK európai parlamenti és tanácsi rendelettel (20), valamint az 55. vagy az 56. cikk alapján illetékes a felügyeleti_hatóság által megállapított kiegészítő követelményekkel összhangban megnevezett nemzeti akkreditáló testület.

(2) Az (1) bekezdésben említett tanúsító szervezetet kizárólag abban az esetben lehet az említett bekezdéssel összhangban akkreditálni, ha:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a tanúsítás tárgyában szakértelemmel bír;

b)	vállalja, hogy tiszteletben tartja a 42. cikk (5) bekezdésében említett, az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság, illetve a 63. cikknek megfelelően a Testület által jóváhagyott szempontokat;

c)	eljárásokat hozott létre az adatvédelmi tanúsítványok, bélyegzők, illetve jelölések kibocsátására, rendszeres időközönkénti felülvizsgálatára és visszavonására;

olyan eljárásokat és struktúrákat hozott létre, amelyek révén kezelni tudja a tanúsítvánnyal kapcsolatos jogsértésekkel vagy annak az adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá tudja tenni; és

e)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) Az e cikk (1) és (2) bekezdésében említett tanúsító szervezet akkreditálását az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság által, illetve az 57. cikknek megfelelően a Testület által jóváhagyott szempontok alapján kell elvégezni. Ha az akkreditálásra az e cikk (1) bekezdése b) pontja alapján kerül sor, ezek a követelmények kiegészítik a 765/2008/EK rendeletben előirányzott követelményeket és a tanúsító szervek módszereire és eljárásaira vonatkozó technikai szabályokat.

(4) Az adatkezelő vagy adatfeldolgozó e rendelet betartására vonatkozó felelősségének sérelme nélkül a tanúsítás vagy annak visszavonása alapjául szolgáló megfelelő vizsgálat lefolytatásáért az (1) bekezdésben említett tanúsító szervezet felelős. Az akkreditációt legfeljebb ötéves időtartamra lehet megadni, és az azonos feltételek mellett mindaddig megújítható, feltéve hogy az adott tanúsító szervezet teljesíti az e cikkben meghatározott követelményeket.

(5) Az (1) bekezdésben említett tanúsító szervezet közli az illetékes felügyeleti_hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait.

(6) Az e cikk (3) bekezdésében említett követelményeket és a 42. cikk (5) bekezdésében említett szempontokat a felügyeleti_hatóság könnyen hozzáférhető formában közzéteszi. A felügyeleti_hatóságok ezeket a követelményeket és szempontokat a Testület részére is továbbítják. A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt egy nyilvántartásban állítja össze, és azokat megfelelő módon nyilvánosan elérhetővé teszi.

(7) A VIII. fejezet sérelme nélkül az illetékes felügyeleti_hatóság vagy a nemzeti akkreditáló testület visszavonja az e cikk (1) bekezdésében említett tanúsító szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a tanúsító szervezet intézkedései megsértik e rendeletet.

(8) A Bizottság felhatalmazást kap arra, hogy a 42. cikk (1) bekezdésében említett adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása érdekében a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9) A Bizottság végrehajtási jogi aktusok elfogadása révén a tanúsítási mechanizmusokra és az adatvédelmi bélyegzőkre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és a bélyegzők, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

V. FEJEZET

A személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása

47. cikk

Kötelező erejű vállalati szabályok

(1) Az illetékes felügyeleti_hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező_erejű_vállalati_szabályokat, ha az:

a)	a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;

b)	kifejezetten rendelkezik az érintetteknek a személyes_adataik kezelése tekintetében kikényszeríthető jogairól; és

c)	megfelel a (2) bekezdés szerinti követelményeknek.

(2) Az (1) bekezdésben említett kötelező_erejű_vállalati_szabályok tartalmazzák legalább:

a)	a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;

b)	az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes_adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;

c)	a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;

az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes_adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező_erejű_vállalati_szabályok;

az érintettek személyes_adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 79. cikkben meghatározott jogát, hogy az illetékes felügyeleti_hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező_erejű_vállalati_szabályok megsértése esetén a kártérítéshez való jogát;

a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező_erejű_vállalati_szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;

g)	azt, hogy a 13. és a 14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező_erejű_vállalati_szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;

a 37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező_erejű_vállalati_szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;

i)	a panasztételi eljárásokat;

a kötelező_erejű_vállalati_szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti_hatóság rendelkezésére kell bocsátani őket;

k)	a kötelező_erejű_vállalati_szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti_hatóság számára történő bejelentésére szolgáló mechanizmusokat;

a kötelező_erejű_vállalati_szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti_hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti_hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;

arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti_hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező_erejű_vállalati_szabályokban előírt garanciákat; valamint

n)	a személyes_adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.

(3) A Bizottság meghatározhatja az e cikk szerinti, a kötelező_erejű_vállalati_szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

59. cikk

Tevékenységi jelentés

A felügyeleti_hatóság éves jelentést készít a tevékenységeiről, amely tartalmazhatja a bejelentett jogsértések típusainak és az 58. cikk (2) bekezdésével összhangban tett intézkedések fajtáit is. A jelentést a nemzeti parlamentnek, a kormánynak és a tagállami jogban megjelölt más hatóságoknak kell benyújtani. A jelentéseket elérhetővé kell tenni a nyilvánosság, a Bizottság és a Testület számára.

VII. FEJEZET

Együttműködés és egységesség

1. szakasz

Együttműködés

70. cikk

Az Európai Adatvédelmi Testület feladatai

(1) A Testület biztosítja e rendelet egységes alkalmazását. Ennek érdekében a Testület saját kezdeményezésére vagy adott esetben a Bizottság kérésére ellátja különösen a következő feladatokat:

a)	ellenőrzi és biztosítja e rendelet helyes alkalmazását a 64. és 65. cikkben meghatározott esetekben, a nemzeti felügyeleti_hatóságok feladatainak sérelme nélkül;

b)	tanácsot ad a Bizottságnak a személyes_adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az e rendelet módosítására irányuló javaslatokat is;

c)	tanácsot ad a Bizottságnak az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között a kötelező_erejű_vállalati_szabályokkal kapcsolatban folytatott információcsere formátumára és eljárásaira vonatkozóan;

iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatokra mutató linkeknek, az ilyen adatok másolatainak vagy másodpéldányainak a nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő törlésére vonatkozóan, a 17. cikk (2) bekezdésben említettek szerint;

e)	saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az e rendelet alkalmazását érintő kérdéseket, valamint e rendelet egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

f)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 22. cikk (2) bekezdése szerinti profilalkotáson alapuló döntéshozatalra vonatkozó szempontok és feltételek további pontosítása érdekében;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 33. cikk (1) és (2) bekezdésében említett adatvédelmi_incidens és indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelőnek vagy az adatfeldolgozónak be kell jelentenie az adatvédelmi_incidenst;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi_incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 34. cikk (1) bekezdésében említettek szerint;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatkezelők, illetve az adatfeldolgozók által követett, a kötelező_erejű_vállalati_szabályokon alapuló, személyes_adatok továbbítására vonatkozó, a 47. cikkben említett szempontok és követelmények, valamint az érintettek személyes_adatainak védelmét biztosítani hivatott ugyanazon cikkben említett egyéb szükséges követelmények további pontosítása céljából;

j)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatoknak a 49. cikk (1) bekezdése alapján történő továbbítására vonatkozó szempontok és előírások további pontosítása céljából;

k)	iránymutatásokat dolgoz ki a felügyeleti_hatóságok számára az 58. cikk (1), (2) és (3) bekezdésében említett intézkedések alkalmazására, valamint a 83. cikk szerinti közigazgatási bírságok megállapítására vonatkozóan;

l)	felülvizsgálja az e), illetve f) pontban említett iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

m)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az 54. cikk (2) bekezdésben említett, a természetes személyek által e rendelet megsértését illetően tett bejelentésekre vonatkozó közös eljárások megállapítása érdekében,;

n)	ösztönzi a magatartási kódexek kidolgozását, valamint az adatvédelmi tanúsítási mechanizmusok és az adatvédelmi bélyegzők, illetve jelölések létrehozását a 40. és 42. cikkben említettek szerint;

a 43. cikknek megfelelően elvégzi a tanúsító szervezetek akkreditációját és annak rendszeres felülvizsgálatát, nyilvános nyilvántartást vezet egyrészt a 43. cikk (6) bekezdése szerint az akkreditált szervezetekről, másrészt a 42. cikk (7) bekezdése szerint a harmadik országban tevékenységi hellyel rendelkező akkreditált adatkezelőkről és adatfeldolgozókról;

p)	részletesen meghatározza a 43. cikk (3) bekezdésében említett követelményeket a tanúsító szervezetek 42. cikk szerinti akkreditációja céljából;

q)	véleményezi a Bizottság számára a 43. cikk (8) bekezdésében említett tanúsítási követelményeket;

r)	véleményezi a Bizottság számára a 12. cikk (7) bekezdésében említett ikonokat;

véleményt bocsát ki a Bizottság számára a valamely harmadik országban vagy nemzetközi_szervezetben biztosított védelmi szint megfelelőségének megítéléséhez, ideértve annak megállapítását is, ha a harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, vagy a nemzetközi_szervezet már nem biztosít megfelelő védelmi szintet. A Bizottság e célból biztosítja a Testület számára az összes szükséges dokumentációt, köztük a harmadik ország kormányával, a harmadik ország, annak valamely területe vagy meghatározott ágazata tekintetében, illetve a nemzetközi_szervezettel folytatott levélváltást;

az egységességi mechanizmus keretében véleményt bocsát ki a felügyeleti_hatóságok 64 cikk (1) bekezdése szerinti döntéstervezeteiről, a 64. cikk (2) bekezdésének megfelelően elé terjesztett ügyekről,, valamint a 65. cikk értelmében – ideértve a 66. cikkben említett eseteket is – kötelező erejű döntéseket hoz;

u)	előmozdítja az együttműködést, valamint az információk és gyakorlatok hatékony két- vagy többoldalú cseréjét a felügyeleti_hatóságok között;

v)	támogatja a közös képzési programokat, továbbá megkönnyíti a csereprogramokat a felügyeleti_hatóságok között, valamint adott esetben harmadik országok felügyeleti_hatóságaival vagy nemzetközi_szervezetekkel;

w)	az adatvédelmi felügyeleti_hatóságok körében világszerte előmozdítja az adatvédelmi jogszabályokra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét;

x)	véleményt bocsát ki a 40. cikk (9) bekezdése szerinti, uniós szinten kidolgozott magatartási kódexekről; és

y)	nyilvánosan hozzáférhető elektronikus nyilvántartást vezet az egységességi mechanizmus keretében kezelt ügyekkel kapcsolatban a felügyeleti_hatóságok és a bíróságok által hozott határozatokról.

(2) A Bizottság, ha tanácsot kér a Testülettől, az ügy sürgősségét figyelembe véve határidőt jelölhet meg.

(3) A Testület továbbítja a véleményeit, iránymutatásait, ajánlásait és legjobb gyakorlatait a Bizottságnak és a 93. cikkben említett bizottságnak, és nyilvánosságra hozza azokat.

(4) A Testület adott esetben konzultál az érintett felekkel, és lehetőséget biztosít számukra, hogy észszerű határidőn belül közöljék észrevételeiket. A Testület, a 76. cikk sérelme nélkül,nyilvánosan elérhetővé teszi a konzultációs eljárás eredményeit.

95. cikk

Kapcsolat a 2002/58/EK irányelvvel

E rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a 2002/58/EK irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.

whereas

(6) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes_adatok védelmét.
A személyes_adatok gyűjtése és megosztása jelentős mértékben megnőtt.
A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes_adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi.
Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes_adatokat.
A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes_adatok Unión belüli szabad áramlását és a személyes_adatok harmadik országok és nemzetközi_szervezetek részére történő továbbítását, biztosítva egyúttal a személyes_adatok magas szintű védelmét.

- = -

(14) A természetes személyeket a személyes_adataik kezelésével kapcsolatban e rendelet alapján nyújtott védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti.
E rendelet hatálya nem terjed ki az olyan személyes_adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

- = -

(23) Annak biztosítása érdekében, hogy a természetes személyeket e rendelet szerinti védelemtől ne lehessen megfosztani, helyénvaló, hogy ha az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az említett érintettek részére történő nyújtásához kapcsolódnak, az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó az Unióban tartózkodó érintettek személyes_adatainak kezelését e rendelet betartásával végezze, függetlenül attól, hogy ahhoz társul-e kifizetés.
Annak megállapítása érdekében, hogy az ilyen adatkezelő vagy adatfeldolgozó kínál-e termékeket és szolgáltatásokat Unió területén lévő érintetteknek, meg kell bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő vagy adatfeldolgozó az Unió egy vagy több tagállamában az érintettek számára szolgáltatásokat tervez nyújtani.
Nem tekintendő e szándék nyilvánvaló jelének az a puszta tény, hogy az adatkezelő, adatfeldolgozó vagy valamely közvetítő honlapja, e-mail címe vagy más elérhetősége hozzáférhető az Unió területén, sem pedig az adatkezelő tevékenységi helye szerinti harmadik országban általánosan használt nyelv használata, ha viszont például az adatkezelő olyan nyelvet vagy pénznemet használ, amely egy vagy több tagállamban is általánosan használatos, és így lehetőséget biztosít termékeknek és szolgáltatásoknak az említett másik nyelven történő megrendelésére, vagy az Unióban tartózkodó fogyasztókra vagy felhasználókra tesz utalást, az egyértelműen jelezheti, hogy az adatkezelő említett érintetteknek az Unió területén termékeket vagy szolgáltatásokat szándékozik kínálni.

- = -

(49) Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység (CERT), hálózatbiztonsági incidenskezelő egységek (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes_adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben.
Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

- = -

dal 2004 diritto e informatica