interactive GDPR 2016/0679 HU

(1) Az adatvédelmi_incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti_hatóságnak, kivéve, ha az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi_incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)	ismertetni kell az adatvédelmi_incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)	közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)	ismertetni kell az adatvédelmi_incidensből eredő, valószínűsíthető következményeket;

d)	ismertetni kell az adatkezelő által az adatvédelmi_incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi_incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi_incidenseket, feltüntetve az adatvédelmi_incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti_hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

35. cikk

Adatvédelmi hatásvizsgálat

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes_adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.

(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)	a 9. cikk (1) bekezdésében említett személyes_adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelése; vagy

c)	nyilvános helyek nagymértékű, módszeres megfigyelése.

(4) A felügyeleti_hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti_hatóság továbbítja az említett jegyzékeket a Testület részére.

(5) A felügyeleti_hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni. A felügyeleti_hatóság továbbítja ezeket a jegyzékeket a Testület részére.

(6) A (4) és (5) bekezdésben említett jegyzékek elfogadását megelőzően az illetékes felügyeleti_hatóság igénybe veszi a 63. cikkben említett egységességi mechanizmust, ha ezek a jegyzékek olyan adatkezelési tevékenységeket tartalmaznak, amelyek az érintettek számára történő, több tagállamra kiterjedő áru- vagy szolgáltatás nyújtásához vagy az érintettek viselkedésének több tagállamra kiterjedő megfigyeléséhez kapcsolódnak, vagy érdemben érinthetik a személyes_adatok Unión belüli szabad áramlását.

(7) A hatásvizsgálat kiterjed legalább:

a)	a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;

b)	az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

c)	az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

d)	a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes_adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

(8) Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó adatkezelők, illetve adatfeldolgozók teljesítik-e a 40. cikkben említett jóváhagyott magatartási kódexek előírásait.

(9) Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes_adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

40. cikk

Magatartási kódexek

(1) A tagállamok, a felügyeleti_hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és közép vállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a)	tisztességes és átlátható adatkezelés;

b)	az adatkezelők jogos érdekei meghatározott körülmények között;

c)	az adatgyűjtés;

d)	személyes_adatok álnevesítése;

e)	a nyilvánosság és az érintettek tájékoztatása;

f)	az érintettek jogainak gyakorlása;

g)	a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h)	a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i)	a felügyeleti_hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi_incidensekről;

j)	a személyes_adatok harmadik országok vagy nemzetközi_szervezetek részére történő továbbítása; vagy

k)	az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(4) Az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság feladat- és hatáskörének sérelme nélkül az e cikk (2) bekezdése szerinti magatartási kódexek olyan mechanizmusokat határoznak meg, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szervezet számára, hogy elvégezze annak kötelező ellenőrzését, hogy a kódex alkalmazását vállaló adatkezelők vagy adatfeldolgozók megfelelnek-e a kódex rendelkezéseinek.

(5) Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti_hatóságnak. A felügyeleti_hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

(6) Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti_hatóság a kódexet nyilvántartásba veszi és közzéteszi.

(7) Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az 55. cikk alapján illetékes felügyeleti_hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően a 63. cikkben említett eljárás keretében benyújtja azt a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezen rendelettel, illetve az e cikk (3) bekezdésében említett esetben arról, hogy megfelelő garanciákat nyújt-e.

(8) Ha a (7) bekezdésben említett vélemény megerősíti, hogy a magatartási kódex tervezete, a módosítás vagy a kiegészítés összhangban van e rendelettel, illetve a (3) bekezdésben említett esetben azt, hogy megfelelő garanciákat nyújt, a Testület benyújtja véleményét a Bizottságnak.

(9) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá az e cikk (8) bekezdése szerint benyújtott, jóváhagyott magatartási kódex, módosítás vagy kiegészítés az Unió területén általános érvénnyel rendelkezik. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(10) A Bizottság biztosítja azon jóváhagyott kódexek megfelelő nyilvánosságát, amelyek esetében a (9) bekezdéssel összhangban úgy határozott, hogy általánosan érvényesek.

(11) A Testület valamennyi jóváhagyott magatartási kódexet, módosítást és kiegészítést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

56. cikk

A fő felügyeleti_hatóság illetékessége

(1) Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatóság jogosult fő felügyeleti_hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.

(2) Az (1) bekezdéstől eltérve, minden felügyeleti_hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti_hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti_hatóságot. A fő felügyeleti_hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti_hatósága a fő felügyeleti_hatóságot tájékoztatta.

(4) Ha a fő felügyeleti_hatóság úgy határoz, hogy eljár az ügyben, a 60. cikkben meghatározott eljárást kell alkalmazni. A fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság döntéstervezetet nyújthat be a fő felügyeleti_hatóságnak. A fő felügyeleti_hatóság a 60. cikk (3) bekezdésében említett döntéstervezet elkészítése során a lehető legnagyobb mértékben figyelembe veszi az említett tervezetet.

(5) Abban az esetben, ha a fő felügyeleti_hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság jár el a 61. és a 62. cikknek megfelelően.

(6) A fő felügyeleti_hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban.

60. cikk

Együttműködés a fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság között

(1) A fő felügyeleti_hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti_hatósággal. A fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok minden releváns információt kicserélnek egymással.

(2) A fő felügyeleti_hatóság bármikor kérheti más érintett felügyeleti_hatóságoktól a 61. cikk szerinti kölcsönös segítségnyújtást és végezhet a 62. cikk szerinti közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak.

(3) A fő felügyeleti_hatóság késedelem nélkül közli a többi érintett felügyeleti_hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.

(4) Ha a többi érintett felügyeleti_hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns_és_megalapozott_kifogást emel a döntéstervezettel szemben, a fő felügyeleti_hatóság, ha nem ért egyet a releváns_és_megalapozott_kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.

(5) Ha a fő felügyeleti_hatóság helyt kíván adni a releváns_és_megalapozott_kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.

(6) Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti_hatóság egyike sem emel kifogást a fő felügyeleti_hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

(7) A fő felügyeleti_hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi_központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti_hatóságot és a Testületet. Az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

(8) Amennyiben a panaszt visszautasították vagy elutasították, a (7) bekezdéstől eltérve az a felügyeleti_hatóság fogadja el a döntést, közli a panaszosal, és tájékoztatja az adatkezelőt, amelyhez a panaszt benyújtották.

(9) Ha a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek abban, hogy a panasz egyes részeit visszautasítják vagy elutasítják, más részeivel kapcsolatban viszont eljárnak, külön döntést fogadnak el az ügy minden ilyen részére vonatkozóan. Az adatkezelővel kapcsolatos intézkedéseket érintő részre vonatkozó döntést a fő felügyeleti_hatóság fogadja el, és közli az adatkezelőnek, illetve az adatfeldolgozónak a hatóság tagállama területén lévő tevékenységi_központjával vagy egyetlen tevékenységi helyével, valamint tájékoztatja a panaszost; a panasz visszautasított vagy elutasított részére vonatkozó döntést a panaszos felügyeleti_hatósága fogadja el, és közli a panaszossal, valamint tájékoztatja az adatkezelőt vagy az adatfeldolgozót.

(10) Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti_hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti_hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti_hatóság tájékoztatja a többi érintett felügyeleti_hatóságot.

(11) Ha egy érintett felügyeleti_hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni.

(12) A fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság elektronikus úton, egységes formátum alkalmazásával továbbítja egymásnak az e cikkben előírt információkat.

64. cikk

Az Európai Adatvédelmi Testület véleménye

(1) A Testület véleményt bocsát ki, ha valamely illetékes felügyeleti_hatóság az alábbiakban felsorolt intézkedések valamelyikének elfogadását tervezi. Ebből a célból az illetékes felügyeleti_hatóságnak közölnie kell a döntéstervezetet a Testülettel, ha a döntés:

a)	olyan adatkezelési műveletek jegyzékének az elfogadására irányul, amelyekre a 35. cikk (4) bekezdése szerint vonatkozik az adatvédelmi hatásvizsgálat követelménye;

b)	a 40. cikk (7) bekezdése szerint azon kérdésre vonatkozik, hogy valamely magatartási kódex tervezete, illetve valamely magatartási kódex módosítása vagy bővítése összhangban van-e ezzel a rendelettel;

c)	a 41. cikk (3) bekezdése szerint valamely szervezet, illetve a 43 cikk (3) bekezdése szerint valamely tanúsító szervezet akkreditációjára vonatkozó szempontok jóváhagyására irányul;

d)	a 46. cikk (2) bekezdésének d) pontjában és a 28. cikk (8) bekezdésében említett általános adatvédelmi kikötések meghatározására irányul;

e)	a 46. cikk (3) bekezdésének a) pontjában említett szerződéses rendelkezések engedélyezésére irányul; vagy

f)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok jóváhagyására irányul.

(2) Bármely felügyeleti_hatóság, a Testület elnöke vagy a Bizottság kérheti, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti_hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel.

(4) A felügyeleti_hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti_hatóságok véleményét.

(5) A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja:

a)	egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és

b)	tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti_hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz.

(6) Az illetékes felügyeleti_hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az (1) bekezdésben említett döntéstervezetét.

(7) Az (1) bekezdésben említett felügyeleti_hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet.

(8) Ha az érintett felügyeleti_hatóság az e cikk (7) bekezdésében említett határidőn belül, a releváns indokok megadásával arról tájékoztatja a Testület elnökét, hogy egészében vagy részben nem kíván a Testület véleménye alapján eljárni, akkor a 65. cikk (1) bekezdését kell alkalmazni.

65. cikk

A Testület vitarendezési eljárása

(1) Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, a Testület kötelező erejű döntést fogad el az alábbi esetekben:

ha a 60. cikk (4) bekezdésében említett esetben valamely érintett felügyeleti_hatóság releváns_és_megalapozott_kifogást emelt a fő felügyeleti_hatóság döntéstervezetével szemben, vagy ha a fő felügyeleti_hatóság elutasított egy ilyen kifogást arra hivatkozva, hogy az nem releváns vagy nem megalapozott. A kötelező erejű döntésnek ki kell terjednie a releváns_és_megalapozott_kifogásban szereplő összes kérdésre, különösen arra, hogy a rendelet sérült-e;

b)	ha eltérnek az álláspontok azt illetően, hogy az érintett felügyeleti_hatóságok közül melyik illetékes a tevékenységi_központ tekintetében;

ha valamely illetékes felügyeleti_hatóság nem kéri ki a Testület véleményét a 64. cikk (1) bekezdésében említett esetekben, vagy nem a Testület által a 64. cikk alapján kibocsátott vélemény alapján jár el. Ebben az esetben bármely érintett felügyeleti_hatóság vagy a Bizottság a Testület tudomására hozhatja az ügyet.

(2) Az (1) bekezdésben említett döntést a Testület az ügy benyújtásától számított egy hónapon belül, tagjainak kétharmados többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további egy hónappal meghosszabbítható. Az (1) bekezdésben említett döntést indokolni kell, és meg kell küldeni a fő felügyeleti_hatóságnak és minden érintett felügyeleti_hatóságnak, amelyekre nézve kötelező erővel rendelkezik.

(3) Ha a Testület döntését nem képes a (2) bekezdésben említett határidőkön belül elfogadni, a döntést a (2) bekezdésben említett második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el. A Testület tagjainak szavazategyenlősége esetén a döntés elfogadásáról az elnök szavazata dönt.

(4) Az érintett felügyeleti_hatóságok a (2) és (3) bekezdésben említett határidők lejártáig nem fogadhatnak el döntést az (1) bekezdés alapján a Testület elé terjesztett ügyről.

(5) A Testület elnöke indokolatlan késedelem nélkül értesíti az érintett felügyeleti_hatóságokat az (1) bekezdésben említett döntésről. Erről tájékoztatnia kell a Bizottságot. A döntést haladéktalanul közzé kell tenni a Testület honlapján azt követően, hogy a felügyeleti_hatóság bejelentette a (6) bekezdésben említett jogerős döntést.

(6) A fő felügyeleti_hatóság vagy – az esettől függően – az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett döntés alapján indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy a Testület bejelentette döntését elfogadja jogerős döntését. A fő felügyeleti_hatóság vagy – az esettől függően – az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a Testületet arról a dátumról, amikor az adatkezelővel, az adatfeldolgozóval, illetve az érintettel közli jogerős döntését. Az érintett felügyeleti_hatóságok jogerős döntését a 60. cikk (7), (8) és (9) bekezdésében foglaltaknak megfelelően kell elfogadni. A jogerős döntésben utalni kell az e cikk (1) bekezdésben említett döntésre, valamint közölni kell, hogy az (1) bekezdésében említett döntést a (5) bekezdéssel összhangban közzé fogják tenni a Testület honlapján. A jogerős döntéshez csatolni kell az e cikk (1) bekezdésében említett döntést.

whereas

(36) Az adatkezelő Unión belüli tevékenységi_központja az Unión belüli központi ügyvitelének helye, kivéve, ha a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy másik Unión belüli tevékenységi helyén hozzák, amely esetben ez utóbbi másik tevékenységi_központot kell a tevékenységi_központnak tekinteni.
Az adatkezelő Unión belüli tevékenységi_központját objektív szempontok alapján kell meghatározni, és e fogalom magában foglalja az adatkezelés céljára és eszközeire vonatkozó fő döntéseket meghatározó ügyvezetési tevékenység tényleges és valós, tartós jelleget biztosító körülmények közötti gyakorlását.
E szempont nem függhet attól, hogy a személyes_adatok kezelése a szóban forgó helyszínen zajlik-e.
A személyes_adatok kezelésére szolgáló műszaki eszközök jelenléte és használata, illetve az adatkezelési tevékenység önmagában nem jár tevékenységi_központként való minősítéssel, és ezért nem meghatározó szempontja a tevékenységi_központnak.
Az adatfeldolgozó tevékenységi_központja az Unión belüli központi ügyvitelének helye kell, hogy legyen, vagy ha az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az a hely, ahol az Unióban a fő adatkezelési tevékenységek zajlanak.
Az adatkezelőt és az adatfeldolgozót egyaránt érintő esetekben továbbra is annak a tagállamnak a felügyeleti_hatósága az illetékes fő felügyeleti_hatóság, amelynek területén az adatkezelő tevékenységi_központja található, azonban az adatfeldolgozó felügyeleti_hatósága érintett felügyeleti_hatóságnak tekintendő, ennek a felügyeleti_hatóságnak részt kell vennie az e rendeletben meghatározott együttműködési eljárásban.
Az olyan tagállam(ok) felügyeleti_hatóságai, amely(ek) területén az adatfeldolgozó egy vagy több tevékenységi hellyel rendelkezik, semmi esetre sem tekinthetők érintett felügyeleti_hatóságnak, ha az adott döntéstervezet csak az adatkezelőre vonatkozik.
Ha az adatkezelést vállalkozáscsoport végzi, az ellenőrző vállalkozás tevékenységi_központja tekintendő a vállalkozáscsoport tevékenységi_központjának, kivéve, ha az adatkezelés céljait és eszközeit valamely más vállalkozás határozza meg.

- = -

(87) Meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi_incidens haladéktalan megállapítása, másrészt a felügyeleti_hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében.
Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi_incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani.
A felügyeleti_hatóságnak történt bejelentést az e rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.

- = -

(94) Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti_hatósággal konzultálni kell.
Valószínűsíthetően ilyen magas kockázattal járnak a személyes_adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A felügyeleti_hatóság a konzultáció iránti megkeresésre meghatározott határidőn belül választ ad.
Ha azonban, a felügyeleti_hatóság az említett határidőn belül nem reagál, nem érinti a felügyeleti_hatóságnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló beavatkozási jogkörét, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve.
E konzultációs eljárás során a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét, és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét be lehet nyújtani a felügyeleti_hatóságnak.

- = -

(124) Ha a személyes_adatok kezelésére az adatkezelő vagy az adatfeldolgozó Unión belüli tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor, és az adatkezelő vagy az adatfeldolgozó egynél több tagállamban rendelkezik tevékenységi hellyel, vagy ha az adatkezelő vagy az adatfeldolgozó kizárólag Unión belüli tevékenységi helyen folytatott tevékenységekkel összefüggésben megvalósuló adatkezelés az érintetteket egynél több tagállamban jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti, akkor fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatósága jár el.
A fő hatóság együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek amiatt, hogy az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik a tagállamuk területén, hogy a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintve vannak, vagy, hogy panaszt nyújtottak be hozzájuk.
Továbbá, ha az adott tagállam területén lakóhellyel nem rendelkező érintett nyújtott be panaszt, azt a felügyeleti_hatóságot, amelyhez a panaszt benyújtotta, szintén érintett felügyeleti_hatóságnak kell tekinteni.
Az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozó iránymutatások kiadásával összefüggő feladatai keretében a Testület számára lehetővé kell tenni, hogy iránymutatásokat adjon ki különösen azokra a szempontokra vonatkozóan, amelyeket figyelembe kell venni ahhoz, hogy meg lehessen győződni arról, hogy a szóban forgó adatkezelés egynél több tagállamban érint-e jelentős mértékben érintetteket, valamint arra vonatkozóan, hogy mi tekintendő releváns_és_megalapozott_kifogásnak.

- = -

(130) Ha a felügyeleti_hatóság, amelyhez a panaszt benyújtották, nem a fő felügyeleti_hatóság, a fő felügyeleti_hatóság e rendeletben az együttműködésre és az összhang biztosítására megállapított rendelkezéseknek megfelelően szorosan együttműködik azzal a felügyeleti_hatósággal, amelyhez a panaszt benyújtották.
Minden ilyen esetben a fő felügyeleti_hatóság minden olyan intézkedés meghozatalakor, amelynek célja valamely joghatás elérése – ideértve a közigazgatási bírságok kiszabását is – a lehető legnagyobb mértékben figyelembe veszi annak a felügyeleti_hatóságnak a véleményét, amelyhez a panaszt benyújtották, és amely hatóság a saját tagállama területén lefolytatandó vizsgálat tekinttében illetékes marad, együttműködésben a fő felügyeleti_hatósággal.

- = -

dal 2004 diritto e informatica