interactive GDPR 2016/0679 HU

(1) Ha a 35. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes_adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti_hatósággal.

(2) Ha a felügyeleti_hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti_hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti_hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti_hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3) Az adatkezelő a felügyeleti_hatósággal folytatott, (1) bekezdés szerinti konzultáció során a felügyeleti_hatóságot tájékoztatja:

a)	adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;

b)	a tervezett adatkezelés céljairól és módjairól;

c)	az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

d)	adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;

e)	a 35. cikk szerinti adatvédelmi hatásvizsgálatról; és

f)	a felügyeleti_hatóság által kért minden egyéb információról.

(4) A tagállamok konzultálnak a felügyeleti_hatósággal minden, a személyes_adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.

(5) Az (1) bekezdéstől eltérve a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti_hatósággal, és szerezzék be a felügyeleti_hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes_adatokat, ideértve a személyes_adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

4. szakasz

Adatvédelmi tisztviselő

41. cikk

A jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése

(1) Az 57. vagy az 58. cikk alapján illetékes felügyeleti_hatóság feladat- és hatásköreinek sérelme nélkül a 40. cikk szerinti magatartási kódexnek való megfelelés ellenőrzését olyan szervezet végezheti, amely a kódex tárgya tekintetében megfelelő szakértelemmel rendelkezik, és amelyet az illetékes felügyeleti_hatóság erre akkreditál.

(2) Az (1) bekezdésben említett szervezetet a magatartási kódexnek való megfelelés ellenőrzésére abban az esetben lehet akkreditálni, ha a szervezet:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a kódex tárgyában szakértelemmel bír;

létrehozott olyan eljárásokat, amelyek révén meg tudja állapítani, hogy az érintett adatkezelők és adatfeldolgozók alkalmasak-e a kódex alkalmazására, ellenőrizni tudja, hogy az érintett adatkezelők és adatfeldolgozók betartják-e a kódex rendelkezéseit, és rendszeres időközönként felül tudja vizsgálni a kódex működését;

c)	létrehozott olyan eljárásokat és struktúrákat, amelyek révén kezelni tudja a kódex megsértésével vagy a kódex adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá teszi; és

d)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) A 63. cikkben említett, egységességi mechanizmusnak megfelelően az illetékes felügyeleti_hatóság az e cikk (1) bekezdésében említett szervezet akkreditációjával kapcsolatos szempontok tervezetét a Testületnek benyújtja.

(4) Az illetékes felügyeleti_hatóság feladat- és hatásköreinek, valamint a VIII. fejezet rendelkezéseinek sérelme nélkül az e cikk (1) bekezdésében említett szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti_hatóságot tájékoztatja.

(5) Az illetékes felügyeleti_hatóság visszavonja az (1) bekezdésben említett szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a szerv intézkedései megsértik e rendeletet.

(6) Ez a cikk nem alkalmazandó a közhatalmi szervek és közfeladatot ellátó egyéb szervek által végzett adatkezelésre.

43. cikk

Tanúsító szervezetek

(1) Az illetékes felügyeleti_hatóság 57. és 58. cikk alapján fennálló feladat- és hatásköreinek sérelme nélkül a tanúsítvány kiállítását és megújítását – a felügyeleti_hatóság a célból való tájékoztatását követően, hogy az szükség esetén gyakorolhassa az 58. cikk (2) bekezdésének h) pontja szerinti hatáskörét – olyan tanúsító szervezet végzi, amely az adatvédelem terén megfelelő szakértelemmel rendelkezik. A tagállamok biztosítják, hogy e tanúsító szervezetek akkreditációját az alábbiak közül egy vagy mindkettő elvégezte:

a)	az a felügyeleti_hatóság, amelyik az 55. vagy az 56. cikk alapján illetékes;

b)	az EN-ISO/IEC 17065/2012 szabványnak megfelelően, a 765/2008/EK európai parlamenti és tanácsi rendelettel (20), valamint az 55. vagy az 56. cikk alapján illetékes a felügyeleti_hatóság által megállapított kiegészítő követelményekkel összhangban megnevezett nemzeti akkreditáló testület.

(2) Az (1) bekezdésben említett tanúsító szervezetet kizárólag abban az esetben lehet az említett bekezdéssel összhangban akkreditálni, ha:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a tanúsítás tárgyában szakértelemmel bír;

b)	vállalja, hogy tiszteletben tartja a 42. cikk (5) bekezdésében említett, az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság, illetve a 63. cikknek megfelelően a Testület által jóváhagyott szempontokat;

c)	eljárásokat hozott létre az adatvédelmi tanúsítványok, bélyegzők, illetve jelölések kibocsátására, rendszeres időközönkénti felülvizsgálatára és visszavonására;

olyan eljárásokat és struktúrákat hozott létre, amelyek révén kezelni tudja a tanúsítvánnyal kapcsolatos jogsértésekkel vagy annak az adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá tudja tenni; és

e)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) Az e cikk (1) és (2) bekezdésében említett tanúsító szervezet akkreditálását az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság által, illetve az 57. cikknek megfelelően a Testület által jóváhagyott szempontok alapján kell elvégezni. Ha az akkreditálásra az e cikk (1) bekezdése b) pontja alapján kerül sor, ezek a követelmények kiegészítik a 765/2008/EK rendeletben előirányzott követelményeket és a tanúsító szervek módszereire és eljárásaira vonatkozó technikai szabályokat.

(4) Az adatkezelő vagy adatfeldolgozó e rendelet betartására vonatkozó felelősségének sérelme nélkül a tanúsítás vagy annak visszavonása alapjául szolgáló megfelelő vizsgálat lefolytatásáért az (1) bekezdésben említett tanúsító szervezet felelős. Az akkreditációt legfeljebb ötéves időtartamra lehet megadni, és az azonos feltételek mellett mindaddig megújítható, feltéve hogy az adott tanúsító szervezet teljesíti az e cikkben meghatározott követelményeket.

(5) Az (1) bekezdésben említett tanúsító szervezet közli az illetékes felügyeleti_hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait.

(6) Az e cikk (3) bekezdésében említett követelményeket és a 42. cikk (5) bekezdésében említett szempontokat a felügyeleti_hatóság könnyen hozzáférhető formában közzéteszi. A felügyeleti_hatóságok ezeket a követelményeket és szempontokat a Testület részére is továbbítják. A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt egy nyilvántartásban állítja össze, és azokat megfelelő módon nyilvánosan elérhetővé teszi.

(7) A VIII. fejezet sérelme nélkül az illetékes felügyeleti_hatóság vagy a nemzeti akkreditáló testület visszavonja az e cikk (1) bekezdésében említett tanúsító szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a tanúsító szervezet intézkedései megsértik e rendeletet.

(8) A Bizottság felhatalmazást kap arra, hogy a 42. cikk (1) bekezdésében említett adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása érdekében a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9) A Bizottság végrehajtási jogi aktusok elfogadása révén a tanúsítási mechanizmusokra és az adatvédelmi bélyegzőkre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és a bélyegzők, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

V. FEJEZET

A személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása

52. cikk

Függetlenség

(1) A felügyeleti_hatóságok az e rendelet alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során teljesen függetlenül járnak el.

(2) Az egyes felügyeleti_hatóságok tagja vagy tagjai az e rendelettel összhangban rájuk ruházott feladatok végzése és hatáskörök gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen járnak el, és utasítást senkitől sem kérhetnek vagy fogadhatnak el.

(3) A felügyeleti_hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt sem javadalmazás ellenében, sem anélkül nem vállalhatnak azzal összeférhetetlen szakmai tevékenységet.

(4) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság rendelkezésére áll a feladataik és hatásköreik – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvételt – eredményes ellátásához, illetve gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.

(5) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság saját személyzettel rendelkezik és maga választja ki azt, amely a felügyeleti_hatóság tagjának vagy tagjainak kizárólagos irányítása alá tartozik.

(6) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság saját, nyilvános, éves költségvetéssel rendelkezik, amely az állami vagy nemzeti költségvetés részét képezheti.

53. cikk

A felügyeleti_hatóság tagjaira vonatkozó általános feltételek

(1) A tagállamok előírják, hogy a felügyeleti_hatóságaik minden tagját átlátható eljárás keretében nevezze ki az alábbiak egyike:

—	a parlamentjük;

—	a kormányuk;

—	az államfőjük vagy

—	a tagállami jog alapján a kinevezéssel megbízott független szerv.

(2) A felügyeleti_hatóságok tagja rendelkezik feladatai ellátásához és hatásköre gyakorlásához szükséges képesítéssel, tapasztalattal és készségekkel, különösen a személyes_adatok védelme területén.

(3) A tagok feladatköre a hivatali idő lejártával, lemondással vagy kötelező nyugdíjazással szűnik meg, az érintett tagállam jogában előírtaknak megfelelően.

(4) Tag felmentésére kizárólag súlyos kötelességszegés esetén vagy abban az esetben kerülhet sor, ha a tag már nem felel meg a feladatai ellátásához szükséges feltételeknek.

55. cikk

Illetékesség

(1) A felügyeleti_hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

(2) Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti_hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó.

(3) A felügyeleti_hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.

69. cikk

Függetlenség

(1) A Testület a 70. és 71. cikk szerinti feladatainak ellátása, illetve hatásköreinek gyakorlása során függetlenül jár el.

(2) A 70. cikk (1) bekezdésének b) pontjában és a 70. cikk (2) bekezdésében említett, a Bizottságtól érkező kérések sérelme nélkül, a Testület feladatainak ellátása, illetve hatásköreinek gyakorlása során nem kérhet, és nem fogadhat el utasítást.

83. cikk

A közigazgatási bírságok kiszabására vonatkozó általános feltételek

(1) Valamennyi felügyeleti_hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti_hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes_adatok kategóriái;

h)	az, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25-39., a 42. és a 43. cikkben meghatározott kötelezettségek;

b)	a tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek;

c)	az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek;

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

c)	személyes_adatoknak harmadik országbeli címzett vagy nemzetközi_szervezet részére történő továbbítása a 44–49. cikknek megfelelően;

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)	a felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6) A felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti_hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti_hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti_hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti_hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25-ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.

99. cikk

Hatálybalépés és alkalmazás

(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2) Ezt a rendeletet 2018. május 25-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2016. április 27-én.

az Európai Parlament részéről

az elnök

M. SCHULZ

a Tanács részéről

az elnök

J.A. HENNIS-PLASSCHAERT

(1) HL C 229., 2012.7.31., 90. o.

(2) HL C 391., 2012.12.18., 127. o.

(3) Az Európai Parlament 2014. március 12-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2016. április 8-i álláspontja első olvasatban. Az Európai Parlament 2016. április 14-i álláspontja.

(4) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes_adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(5) A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és közép vállalkozások fogalma kapcsán a kis- és közepes méretű vállalkozások meghatározásáról (C(2003) 1422) (HL L 124., 2003.5.20., 36. o.).

(6) Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes_adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(7) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) személyes_adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, üldözése vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IBtanácsi kerethatározat hatályon kívül helyezéséről (lásd e Hivatalos lap 89. oldalát).

(8) Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az_információs_társadalommal_összefüggő_szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól (Elektronikus kereskedelemről szóló irányelv) (HL L 178., 2000.7.17., 1. o.).

(9) Az Európai Parlament és a Tanács 2011/24/EU irányelve (2011. március 9.) a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).

(10) A Tanács 93/13/EGK irányelve (1993. április 5.) a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről (HL L 95., 1993.4.21., 29. o.).

(11) Az Európai Parlament és a Tanács 1338/2008/EK rendelete ( 2008. december 16.) a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.).

(12) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(13) Az Európai Parlament és a Tanács 1215/2012/EU rendelete (2012. december 12.) a polgári és kereskedelmi ügyekben a joghatóságról, valamint a határozatok elismeréséről és végrehajtásáról (HL L 351., 2012.12.20., 1. o.).

(14) Az Európai Parlament és a Tanács 2003/98/EK irányelve (2003. november 17.) a közszféra információinak további felhasználásáról (HL L 345., 2003.12.31., 90. o.).

(15) Az Európai Parlament és a Tanács 536/2014/EU rendelete (2014. április 16.) az emberi felhasználásra szánt gyógyszerek klinikai vizsgálatairól és a 2001/20/EK irányelv hatályon kívül helyezéséről (HL L 158., 2014.5.27., 1. o.).

(16) Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről (HL L 87., 2009.3.31., 164. o.).

(17) HL C 192., 2012.6.30., 7. o.

(18) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes_adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).

(19) Az Európai Parlament és Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.)

(20) Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).

(21) Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).

whereas

(20) Bár ezt a rendeletet a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell, az uniós, illetve a tagállami jog a személyes_adatok kezelésével összefüggésben a bíróságok és más igazságügyi hatóságok által végzett kezelési műveleteket és eljárásokat pontosabban meghatározhatja.
Annak érdekében, hogy az igazságszolgáltatási feladataik ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a bírói kar függetlensége, a felügyeleti_hatóságok hatásköre nem terjedhet ki a személyes_adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek.
Lehetővé kell tenni, hogy az ilyen adatkezelési műveletek felügyeletével a tagállamok igazságügyi rendszerén belül olyan szakosodott szerveket bízzanak meg, amelyek elsősorban biztosítják az e rendeletben foglalt szabályoknak való megfelelést, növelik a bírói kar tudatosságát az e rendelet szerinti kötelezettségeik tekintetében és kezelik az említett adatkezelési tevékenységgel kapcsolatos panaszokat.

- = -

(79) Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége – a felügyeleti_hatóságok általi ellenőrzéssel és azok intézkedéseivel összefüggésben is – megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

- = -

(82) Az adatkezelő vagy az adatfeldolgozó az e rendeletnek való megfelelés bizonyítása érdekében nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről.
Minden adatkezelő és adatfeldolgozó köteles a felügyeleti_hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

- = -

(87) Meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi_incidens haladéktalan megállapítása, másrészt a felügyeleti_hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében.
Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi_incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani.
A felügyeleti_hatóságnak történt bejelentést az e rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.

- = -

(94) Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti_hatósággal konzultálni kell.
Valószínűsíthetően ilyen magas kockázattal járnak a személyes_adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A felügyeleti_hatóság a konzultáció iránti megkeresésre meghatározott határidőn belül választ ad.
Ha azonban, a felügyeleti_hatóság az említett határidőn belül nem reagál, nem érinti a felügyeleti_hatóságnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló beavatkozási jogkörét, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve.
E konzultációs eljárás során a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét, és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét be lehet nyújtani a felügyeleti_hatóságnak.

- = -

(117) A természetes személyek személyes_adatainak kezelésével összefüggésben fennálló védelemnek alapvető alkotóeleme, hogy a tagállamokban feladataik ellátása és hatásköreik gyakorlása során teljes függetlenséget élvező felügyeleti_hatóságokat hozzanak létre.
A tagállamok saját alkotmányos, szervezeti és közigazgatási szerkezetükhöz igazodva egynél több felügyeleti_hatóságot is létrehozhatnak.

- = -

(129) E rendelet Unió-szerte következetes végrehajtásának és e végrehajtás következetes nyomon követésének biztosítása érdekében a felügyeleti_hatóságokat minden tagállamban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a korrekciós és szankciós hatáskört és a szankciókat, valamint az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszaival kapcsolatos ügyekben, továbbá – az ügyészi hatóságok tagállami jog szerinti hatásköreinek sérelme nélkül – az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén az igazságügyi hatóságokhoz forduljanak, és bírósági eljárást kezdeményezzenek.
E hatáskörök magukban foglalják az adatkezelés átmeneti vagy végleges korlátozását, ideértve az adatkezelés tilalmának elrendelésére vonatkozó jogosultságot.
A személyes_adatok e rendelet szerinti védelmével kapcsolatos egyéb feladatokat a tagállamok is meghatározhatnak.
A felügyeleti_hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják.
Különösen, az e rendeletnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon.
A helyiségekbe való belépést illetően a vizsgálati hatáskört a vonatkozó tagállami eljárásjogban foglalt különös követelményekkel összhangban kell gyakorolni, ilyen például az előzetes bírósági engedély beszerzésének követelménye.
A felügyeleti_hatóság minden jogilag kötelező erejű intézkedést írásban hozza meg, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetni rajta az intézkedést hozó felügyeleti_hatóságot, az intézkedés meghozatalának dátumát, a felügyeleti_hatóság vezetőjének vagy a hatóság általa felhatalmazott tagjának azt az aláírásával kell ellátnia, az intézkedést indokolni kell és hivatkozni kell benne a hatékony jogorvoslathoz való jogra.
Ez nem zárja ki további tagállami eljárásjogi követelmények megállapítását.
Az említett jogilag kötelező erejű döntés elfogadása azzal jár, hogy az az adott döntést elfogadó felügyeleti_hatóság szerinti tagállamban bírósági felülvizsgálat alá vethető.

- = -

(135) E rendelet Unió-szerte történő egységes alkalmazásának biztosítása érdekében, a felügyeleti_hatóságok közötti együttműködést szolgáló egységességi mechanizmust kell létrehozni.
Ezt a mechanizmust különösen akkor kell alkalmazni, amikor egy felügyeleti_hatóság célja olyan intézkedés elfogadása, amely több tagállamban nagyszámú érintettet jelentős mértékben érintő adatkezelési műveletekre vonatkozóan joghatást ér el.
A mechanizmus abban az esetben is alkalmazni kell, ha valamely érintett felügyeleti_hatóság vagy a Bizottság kéri egy ilyen ügy egységességi mechanizmus keretében történő kezelését.
Az egységességi mechanizmust a Bizottság azon intézkedéseinek sérelme nélkül kell alkalmazni, amelyeket a Szerződések szerinti hatásköreinek gyakorlása keretében tesz.

- = -

(143) Minden természetes vagy jogi személy jogosult, hogy az EUMSZ 263.
cikkében meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt.
Azok az érintett felügyeleti_hatóságok, amelyek e döntések címzettjeiként fellebbezni kívánnak azok ellen, az EUMSZ 263.
cikkének megfelelően a döntésről való értesítésüket követő két hónapon belül indítják meg keresetüket.
Ha a Testület döntései közvetlenül és egyénileg érintenek valamely adatkezelőt, adatfeldolgozót vagy a panaszost, a panaszos az EUMSZ 263. cikkének megfelelően eljárást indíthat az adott döntések megsemmisítése iránt, mégpedig azoknak a Testület honlapján való közzététele dátumától számított két hónapon belül.
Az EUMSZ 263.
cikkében biztosított e jog sérelme nélkül, minden természetes vagy jogi személy számára biztosítani kell, hogy egy valamely felügyeleti_hatóság által hozott és a szóban forgó személyre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróságnál.
Ide tartoznak különösen a felügyeleti_hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések.
Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti_hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti_hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra.
A felügyeleti_hatósággal szembeni eljárást a felügyeleti_hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást az érintett tagállam eljárásjoga szerint kell lefolytatni.
Az említett bíróság teljes körű joghatósággal rendelkezik, amely magában foglalja az általa tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.

- = -

(150) Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti_hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására.
E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti_hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre.
Ha a közigazgatási bírságokat vállalkozásokra szabják ki, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102.
cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni.
Ha a közigazgatási bírságokat vállalkozásoktól eltérő személyekre szabják ki, a felügyeleti_hatóság a bírság megfelelő összegének meghatározása során figyelembe veszi a jövedelmek általános szintjét az adott tagállamban, valamint az adott személy gazdasági helyzetét.
Az egységességi mechanizmus a közigazgatási bírságok összehangolt alkalmazásának előmozdítására is felhasználható.
A tagállamokra kell bízni annak eldöntését, hogy a közhatalmi szervekkel szemben alkalmazható legyen-e közigazgatási bírság, és ha igen, milyen mértékben.
A közigazgatási bírság kiszabása vagy a megrovás nem érinti a felügyeleti_hatóságok egyéb hatásköreinek vagy az e rendelet szerinti egyéb szankcióknak az alkalmazását.

- = -

dal 2004 diritto e informatica