interactive GDPR 2016/0679 HU

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

52. cikk

Függetlenség

(1) A felügyeleti_hatóságok az e rendelet alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során teljesen függetlenül járnak el.

(2) Az egyes felügyeleti_hatóságok tagja vagy tagjai az e rendelettel összhangban rájuk ruházott feladatok végzése és hatáskörök gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen járnak el, és utasítást senkitől sem kérhetnek vagy fogadhatnak el.

(3) A felügyeleti_hatóságok tagjai tartózkodnak a feladatkörükkel összeférhetetlen cselekményektől, valamint hivatali idejük alatt sem javadalmazás ellenében, sem anélkül nem vállalhatnak azzal összeférhetetlen szakmai tevékenységet.

(4) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság rendelkezésére áll a feladataik és hatásköreik – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvételt – eredményes ellátásához, illetve gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.

(5) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság saját személyzettel rendelkezik és maga választja ki azt, amely a felügyeleti_hatóság tagjának vagy tagjainak kizárólagos irányítása alá tartozik.

(6) A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik. A tagállamok biztosítják, hogy mindegyik felügyeleti_hatóság saját, nyilvános, éves költségvetéssel rendelkezik, amely az állami vagy nemzeti költségvetés részét képezheti.

60. cikk

Együttműködés a fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság között

(1) A fő felügyeleti_hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti_hatósággal. A fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok minden releváns információt kicserélnek egymással.

(2) A fő felügyeleti_hatóság bármikor kérheti más érintett felügyeleti_hatóságoktól a 61. cikk szerinti kölcsönös segítségnyújtást és végezhet a 62. cikk szerinti közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak.

(3) A fő felügyeleti_hatóság késedelem nélkül közli a többi érintett felügyeleti_hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.

(4) Ha a többi érintett felügyeleti_hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns_és_megalapozott_kifogást emel a döntéstervezettel szemben, a fő felügyeleti_hatóság, ha nem ért egyet a releváns_és_megalapozott_kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.

(5) Ha a fő felügyeleti_hatóság helyt kíván adni a releváns_és_megalapozott_kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.

(6) Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti_hatóság egyike sem emel kifogást a fő felügyeleti_hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

(7) A fő felügyeleti_hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi_központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti_hatóságot és a Testületet. Az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

(8) Amennyiben a panaszt visszautasították vagy elutasították, a (7) bekezdéstől eltérve az a felügyeleti_hatóság fogadja el a döntést, közli a panaszosal, és tájékoztatja az adatkezelőt, amelyhez a panaszt benyújtották.

(9) Ha a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek abban, hogy a panasz egyes részeit visszautasítják vagy elutasítják, más részeivel kapcsolatban viszont eljárnak, külön döntést fogadnak el az ügy minden ilyen részére vonatkozóan. Az adatkezelővel kapcsolatos intézkedéseket érintő részre vonatkozó döntést a fő felügyeleti_hatóság fogadja el, és közli az adatkezelőnek, illetve az adatfeldolgozónak a hatóság tagállama területén lévő tevékenységi_központjával vagy egyetlen tevékenységi helyével, valamint tájékoztatja a panaszost; a panasz visszautasított vagy elutasított részére vonatkozó döntést a panaszos felügyeleti_hatósága fogadja el, és közli a panaszossal, valamint tájékoztatja az adatkezelőt vagy az adatfeldolgozót.

(10) Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti_hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti_hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti_hatóság tájékoztatja a többi érintett felügyeleti_hatóságot.

(11) Ha egy érintett felügyeleti_hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni.

(12) A fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság elektronikus úton, egységes formátum alkalmazásával továbbítja egymásnak az e cikkben előírt információkat.

whereas

(76) Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni.
A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve nagy kockázattal járnak-e.

- = -

(77) A megfelelő intézkedéseknek az adatkezelő vagy adatfeldolgozó általi végrehajtásához, valamint a megfelelés általuk való bizonyításához – különösen ami az adatkezeléssel kapcsolatos kockázat beazonosítását, valamint a kockázat forrásának, jellegének, valószínűségének és súlyosságának a felmérését illeti –, továbbá a kockázat mérséklésével kapcsolatos bevált gyakorlatoknak az azonosításához útmutatással szolgálhatnak különösen a jóváhagyott magatartási kódexek, a jóváhagyott tanúsítási eljárások, a Testület iránymutatásai vagy az adatvédelmi tisztviselő által nyújtott iránymutatások.
A Testület emellett iránymutatásokat adhat ki az olyan adatkezelési műveletekre vonatkozóan is, amelyek valószínűsíthetően nem járnak magas kockázattal a természetes személyek jogaira és szabadságaira nézve, és megadhatják, hogy ilyen esetben mely intézkedések elegendők a szóban forgó kockázat kezeléséhez.

- = -

(84) Az e rendeletnek való megfelelés olyan esetek érdekében történő előmozdítása érdekében, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel.
A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes_adatok kezelése megfelel e rendeletnek.
Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti_hatósággal konzultálni kell.

- = -

(89) A 95/46/EK irányelv általános jelleggel előírta, hogy a személyes_adatok kezeléséről a felügyeleti_hatóságot értesíteni kell.
Ez a kötelezettség igazgatási és pénzügyi terhekkel jár, azonban nem minden esetben járul hozzá a személyes_adatok védelmének javításához.
Ezért ezeket a megkülönböztetés nélküli általános jellegű értesítési kötelezettségeket meg kell szüntetni és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek az adatkezelési műveletek azon típusaira összpontosítanak, amelyek a jellegüknél, hatókörüknél, körülményénél és céljaiknál fogva a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal járnak.
Az adatkezelési műveletek említett típusai közé tartozhatnak különösen azok, amelyek új technológiákat alkalmaznak, illetve amelyek új fajtájúak, és amelyek esetében az adatkezelő még nem végezte el az adatvédelmi hatásvizsgálatot, vagy amelyek esetében az adatvédelmi hatásvizsgálat az első adatkezelés óta eltelt időre tekintettel vált szükségessé.

- = -

(91) Ez különösen vonatkozik egyrészt azokra a nagymértékű adatkezelési műveletekre, amelyek jelentős mennyiségű személyes_adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehet, és amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve, különösen, ha az említett műveletek megnehezítik az érintettek számára, hogy a jogaikat gyakorolják.
Adatvédelmi hatásvizsgálatot kell végezni továbbá, amikor az a személyes_adatkezelés célja, hogy konkrét természetes személyekkel kapcsolatban döntést lehessen hozni azt követően, hogy elvégzik a természetes személyek személyes jellemzőinek szisztematikus és kiterjedt értékelését az említett adatokon alapuló profilalkotás alapján, illetve a személyes_adatok különleges kategóriáira, a biometrikus_adatokra vagy a büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelését követően.
Az adatvédelmi hatásvizsgálatok elvégzése a nyilvános helyek nagymértékű megfigyelése esetében szintén követelmény, különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre, valamint az olyan egyéb műveletek esetében is, amelyeknél az illetékes felügyeleti_hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek, vagy mivel az említett műveletekre szisztematikusan és nagy számban kerül sor.
A személyes_adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes_adataira vonatkozik.
Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.

- = -

(94) Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti_hatósággal konzultálni kell.
Valószínűsíthetően ilyen magas kockázattal járnak a személyes_adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A felügyeleti_hatóság a konzultáció iránti megkeresésre meghatározott határidőn belül választ ad.
Ha azonban, a felügyeleti_hatóság az említett határidőn belül nem reagál, nem érinti a felügyeleti_hatóságnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló beavatkozási jogkörét, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve.
E konzultációs eljárás során a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét, és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét be lehet nyújtani a felügyeleti_hatóságnak.

- = -

(97) Ha az adatkezelést közhatalmi szerv végzi – kivéve a bíróságokat és az egyéb, független igazságügyi hatóságokat, amikor azok igazságszolgáltatási feladataik körében járnak el –, illetve ha az adatkezelést a magánszektorban működő olyan adatkezelő végzi, amelynek fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek nagymértékű, rendszeres és szisztematikus nyomon követését teszik szükségessé, vagy ha az adatkezelő vagy az adatfeldolgozó alaptevékenysége során a személyes_adatok különleges kategóriáit és a büntetőjogi felelősség megállapítására vonatkozó határozatokhoz és bűncselekményekhez kapcsolódó adatokat nagy számban kezel, az adatkezelőt vagy az adatfeldolgozót az e rendeletnek való belső megfelelés ellenőrzésében egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti.
A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes_adatok kezelése nem.
A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes_adatok tekintetében megkövetelt védelem alapján kell meghatározni.
Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.

- = -

(121) A felügyeleti_hatóság tagjára vagy tagjaira vonatkozó általános feltételeket minden tagállamban jogszabályban kell rögzíteni, hogy tagjait átlátható eljárás keretében az adott tagállam parlamentje, kormánya vagy államfője nevezi ki a kormány, a kormány egyik tagja, a parlament vagy valamelyik parlamenti kamara, vagy pedig a tagállami jogban a kinevezéssel megbízott független szerv javaslata alapján.
A felügyeleti_hatóság függetlenségének biztosítása érdekében, az említett tag vagy tagok tisztességesen járnak el, tartózkodnak a feladatkörükkel össze nem egyeztethető cselekményektől, valamint hivatali idejük alatt nem vállalhatnak semmilyen azzal összeférhetetlen szakmai tevékenységet, sem javadalmazás ellenében, sem a nélkül.
A felügyeleti_hatóság saját személyzettel rendelkezik, amelyet a felügyeleti_hatóság vagy a tagállam joga által létrehozott független szerv választ ki, és amely a felügyeleti_hatóság egy tagja vagy tagjai kizárólagos irányítása alá tartozik.

- = -

(151) Dánia és Észtország jogrendszere nem teszi lehetővé az e rendeletben meghatározott közigazgatási bírságok kiszabását.
A közigazgatási bírságokra vonatkozó szabályok Dániában oly módon alkalmazhatók, hogy a bírságot az illetékes nemzeti bíróságok büntetőjogi szankcióként róják ki, Észtországban pedig a felügyeleti_hatóság rója ki a bírságot fegyelmi eljárás keretében, feltéve hogy a szabályok ilyen fajta alkalmazása ezekben a tagállamokban a felügyeleti_hatóságok által kiszabott közigazgatási bírságokkal azonos joghatással járnak.
Ezért az illetékes nemzeti bíróságok figyelembe veszik a bírság kiszabását kezdeményező felügyeleti_hatóság ajánlását.
A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

- = -

dal 2004 diritto e informatica