interactive GDPR 2016/0679 HU

„ személyes_adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„ adatkezelés”: a személyes_adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.	„az adatkezelés korlátozása”: a tárolt személyes_adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„ profilalkotás”: személyes_adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes_adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

„ álnevesítés”: a személyes_adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes_adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes_adatot nem lehet kapcsolni;

6.	„ nyilvántartási_rendszer”: a személyes_adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„ adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes_adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.	„ adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes_adatokat kezel;

„ címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes_adatot közlik, függetlenül attól, hogy harmadik_fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes_adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10.

„ harmadik_fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes_adatok kezelésére felhatalmazást kaptak;

11.

„ az_érintett_hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes_adatok kezeléséhez;

12.	„ adatvédelmi_incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13.

„ genetikai_adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes_adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

14.

„ biometrikus_adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes_adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

15.	„ egészségügyi_adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes_adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16.

„ tevékenységi_központ”:

az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi_központnak tekinteni;

az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

17.

„ képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

18.	„ vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19.	„ vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20.

„ kötelező_erejű_vállalati_szabályok”: a személyes_adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes_adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

21.	„ felügyeleti_hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

22.

„érintett felügyeleti_hatóság”: az a felügyeleti_hatóság, amelyet a személyes_adatok kezelése a következő okok valamelyike alapján érint:

a)	az adatkezelő vagy az adatfeldolgozó az említett felügyeleti_hatóság tagállamának területén rendelkezik tevékenységi hellyel;

b)	az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti_hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

c)	panaszt nyújtottak be az említett felügyeleti_hatósághoz;

23.

„ személyes_adatok határokon átnyúló adatkezelése”:

a)	személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

24.

„ releváns_és_megalapozott_kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes_adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

25.	„ az_információs_társadalommal_összefüggő_szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26.	„ nemzetközi_szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

6. cikk

Az adatkezelés jogszerűsége

(1) A személyes_adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)	az érintett hozzájárulását adta személyes_adatainak egy vagy több konkrét célból történő kezeléséhez;

b)	az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)	az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik_fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes_adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a)	az uniós jog, vagy

b)	azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes_adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes_adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a)	a személyes_adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)	a személyes_adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c)	a személyes_adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes_adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

d)	azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)	megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

9. cikk

A személyes_adatok különleges kategóriáinak kezelése

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

13. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat az érintettől gyűjtik

(1) Ha az érintettre vonatkozó személyes_adatokat az érintettől gyűjtik, az adatkezelő a személyes_adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik_fél jogos érdekei;

e)	adott esetben a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes_adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)	a személyes_adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b)	az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d)	a felügyeleti_hatósághoz címzett panasz benyújtásának jogáról;

e)	arról, hogy a személyes_adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes_adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Ha az adatkezelő a személyes_adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

14. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat nem az érintettől szerezték meg

(1) Ha a személyes_adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	az érintett személyes_adatok kategóriái;

e)	a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a)	a személyes_adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)	ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik_fél jogos érdekeiről;

c)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e)	a valamely felügyeleti_hatósághoz címzett panasz benyújtásának joga;

f)	a személyes_adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

a)	a személyes_adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes_adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b)	ha a személyes_adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c)	ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes_adatok első alkalommal való közlésekor.

(4) Ha az adatkezelő a személyes_adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

a)	az érintett már rendelkezik az információkkal;

a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c)	az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)	a személyes_adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

17. cikk

A törléshez való jog („az elfeledtetéshez való jog”)

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes_adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes_adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)	a személyes_adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)	az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)	az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)	a személyes_adatokat jogellenesen kezelték;

e)	a személyes_adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)	a személyes_adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2) Ha az adatkezelő nyilvánosságra hozta a személyes_adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes_adatokra mutató linkek vagy e személyes_adatok másolatának, illetve másodpéldányának törlését.

(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

a)	a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b)	a személyes_adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c)	a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d)	a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e)	jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

19. cikk

A személyes_adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes_adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

23. cikk

Korlátozások

(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a)	nemzetbiztonság;

b)	honvédelem;

c)	közbiztonság;

d)	bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

e)	az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

f)	a bírói függetlenség és a bírósági eljárások védelme;

g)	a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

h)	az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

i)	az érintett védelme vagy mások jogainak és szabadságainak védelme;

j)	polgári jogi követelések érvényesítése.

(2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a)	az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b)	a személyes_adatok kategóriáira,

c)	a bevezetett korlátozások hatályára,

d)	a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e)	az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,

f)	az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g)	az érintettek jogait és szabadságait érintő kockázatokra, és

h)	az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

IV. FEJEZET

Az adatkezelő és az adatfeldolgozó

1. szakasz

Általános kötelezettségek

24. cikk

Az adatkezelő feladatai

(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes_adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

(3) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.

25. cikk

Beépített és alapértelmezett adatvédelem

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes_adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes_adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes_adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

(3) A 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e cikk (1) és (2) bekezdésében előírt követelményeket.

26. cikk

Közös adatkezelők

(1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

27. cikk

Az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői

(1) A 3. cikk (2) bekezdésében meghatározott esetben az adatkezelő vagy az adatfeldolgozó írásban uniós képviselőt jelöl ki.

(2) Az e cikk (1) bekezdésében foglalt kötelezettséget nem kell alkalmazni:

az alkalmi jellegű adatkezelésre, amely nem terjed ki sem a személyes_adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáira, sem a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelésére, és amely – figyelembe véve az adatkezelés jellegét, körülményeit, hatókörét és céljait – valószínűsíthetően nem jelent kockázatot a természetes személyek jogaira és szabadságaira nézve; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervekre.

(3) A képviselőnek tevékenységi hellyel kell rendelkeznie az egyik olyan tagállamban, ahol azon érintettek tartózkodnak, akiknek személyes_adatait áruknak vagy szolgáltatásoknak a részükre történő nyújtása során kezelik vagy akiknek a magatartását megfigyelik.

(4) Az adatkezelő vagy az adatfeldolgozó által a képviselő számára adott megbízásnak ki kell terjednie arra, hogy az adatkezeléssel összefüggő minden ügyben, az e rendeletnek való megfelelés biztosítása érdekében – különösen a felügyeleti_hatóságok és az érintettek megkeresésére – az adatkezelő vagy az adatfeldolgozó helyett vagy mellett a képviselő járjon el.

(5) Az a tény, hogy az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, nem érinti az adatkezelővel vagy az adatfeldolgozóval szembeni keresetindításhoz való jogot.

28. cikk

Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes_adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a személyes_adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes_adatoknak valamely harmadik ország vagy nemzetközi_szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)	biztosítja azt, hogy a személyes_adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)	meghozza a 32. cikkben előírt intézkedéseket;

d)	tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;

e)	az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)	segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)	az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes_adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes_adatok tárolását írja elő;

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.

(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.

(7) A Bizottság – a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8) A felügyeleti_hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

30. cikk

Az adatkezelési tevékenységek nyilvántartása

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatkezelés céljai;

c)	az érintettek kategóriáinak, valamint a személyes_adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes_adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi_szervezeteket;

adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f)	ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b)	az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)	adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti_hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes_adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatoknak a kezelésére.

38. cikk

Az adatvédelmi tisztviselő jogállása

(1) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes_adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2) Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a 39. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes_adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4) Az érintettek a személyes_adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5) Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

39. cikk

Az adatvédelmi tisztviselő feladatai

(1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

a)	tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes_adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c)	kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;

d)	együttműködik a felügyeleti_hatósággal; és

e)	az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti_hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

(2) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

5. szakasz

Magatartási kódexek és tanúsítás

40. cikk

Magatartási kódexek

(1) A tagállamok, a felügyeleti_hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és közép vállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a)	tisztességes és átlátható adatkezelés;

b)	az adatkezelők jogos érdekei meghatározott körülmények között;

c)	az adatgyűjtés;

d)	személyes_adatok álnevesítése;

e)	a nyilvánosság és az érintettek tájékoztatása;

f)	az érintettek jogainak gyakorlása;

g)	a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h)	a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i)	a felügyeleti_hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi_incidensekről;

j)	a személyes_adatok harmadik országok vagy nemzetközi_szervezetek részére történő továbbítása; vagy

k)	az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(4) Az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság feladat- és hatáskörének sérelme nélkül az e cikk (2) bekezdése szerinti magatartási kódexek olyan mechanizmusokat határoznak meg, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szervezet számára, hogy elvégezze annak kötelező ellenőrzését, hogy a kódex alkalmazását vállaló adatkezelők vagy adatfeldolgozók megfelelnek-e a kódex rendelkezéseinek.

(5) Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti_hatóságnak. A felügyeleti_hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

(6) Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti_hatóság a kódexet nyilvántartásba veszi és közzéteszi.

(7) Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az 55. cikk alapján illetékes felügyeleti_hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően a 63. cikkben említett eljárás keretében benyújtja azt a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezen rendelettel, illetve az e cikk (3) bekezdésében említett esetben arról, hogy megfelelő garanciákat nyújt-e.

(8) Ha a (7) bekezdésben említett vélemény megerősíti, hogy a magatartási kódex tervezete, a módosítás vagy a kiegészítés összhangban van e rendelettel, illetve a (3) bekezdésben említett esetben azt, hogy megfelelő garanciákat nyújt, a Testület benyújtja véleményét a Bizottságnak.

(9) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá az e cikk (8) bekezdése szerint benyújtott, jóváhagyott magatartási kódex, módosítás vagy kiegészítés az Unió területén általános érvénnyel rendelkezik. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(10) A Bizottság biztosítja azon jóváhagyott kódexek megfelelő nyilvánosságát, amelyek esetében a (9) bekezdéssel összhangban úgy határozott, hogy általánosan érvényesek.

(11) A Testület valamennyi jóváhagyott magatartási kódexet, módosítást és kiegészítést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

42. cikk

Tanúsítás

(1) A tagállamok, a felügyeleti_hatóságok, a Testület, valamint a Bizottság – különösen uniós szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek e rendelet előírásainak. Figyelembe kell venni a mikro-, kis- és közép vállalkozások sajátos igényeit.

(2) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett az (5) bekezdésnek megfelelően jóváhagyott adatvédelmi tanúsítási mechanizmusokat, bélyegzőket vagy jelöléseket annak bizonyítására is létre lehet hozni, hogy a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók a 46. cikk (2) bekezdésének f) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(3) A tanúsításnak önkéntesnek kell lennie, és átlátható eljáráson keresztül kell elérhetővé tenni.

(4) Az e cikk szerinti tanúsítás nem csökkenti az adatkezelő vagy adatfeldolgozó e rendelet betartásáért való felelősségét, és nem sérti az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóságok feladat- és hatáskörét.

(5) Az e cikk szerinti tanúsítványt a 43. cikkben említett tanúsító szervezetek vagy az illetékes felügyeleti_hatóságok állítják ki, az illetékes felügyeleti_hatóság által az 58. cikk (3) bekezdésének, vagy a Testület által a 63. cikknek megfelelően jóváhagyott szempontok alapján. Ha a szempontokat a Testület hagyja jóvá, ennek eredményeként közös tanúsítvány, az európai adatvédelmi bélyegző állítható ki.

(6) Az adatkezelő vagy adatfeldolgozó, amely az adatkezelési tevékenységét aláveti a tanúsítási mechanizmusnak, a 43. cikkben említett tanúsító szervezet vagy adott esetben az illetékes felügyeleti_hatóság részére minden olyan információt megad és minden olyan adatkezelési tevékenységéhez hozzáférést biztosít, amely a tanúsítási eljárás lefolytatásához szükséges.

(7) Az adatkezelő vagy adatfeldolgozó részére a tanúsítványt legfeljebb hároméves időtartamra lehet kiállítani, amely azonos feltételek mellett a tanúsítvány megújítható, feltéve, hogy a vonatkozó követelmények továbbra is teljesülnek. Adott esetben, ha a tanúsításra vonatkozó követelmények nem vagy már nem teljesülnek, a 43. cikkben említett tanúsító szervezet vagy az illetékes felügyeleti_hatóság a tanúsítványt visszavonja.

(8) A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt, illetve jelölést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

45. cikk

Adattovábbítás megfelelőségi határozat alapján

(1) Személyes adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi_szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

(2) A védelmi szint megfelelőségének mérlegelése során a Bizottság különösen a következő tényezőket veszi figyelembe:

a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, a közhatalmi szerveknek a személyes_adatokhoz való hozzáférését szabályozó rendelkezések, valamint e jogszabályok végrehajtása, adatvédelmi szabályok, szakmai szabályok és biztonsági intézkedések, ideértve a személyes_adatok másik harmadik ország vagy nemzetközi_szervezet részére történő újbóli továbbítására vonatkozó azon szabályokat, amelyeknek az adott országban vagy nemzetközi_szervezeten belül meg kell felelni; ítélkezési gyakorlat, továbbá az, hogy az érintettek, akiknek a személyes_adatait továbbítják, rendelkeznek-e hatékonyan érvényesíthető – a hatékony közigazgatási és bírósági jogorvoslatot is magukban foglaló – jogokkal;

a szóban forgó harmadik országban létezik-e egy vagy több olyan független és hatékonyan működő felügyeleti_hatóság – a szóban forgó nemzetközi_szervezet pedig ilyen hatóság ellenőrzése alatt áll-e –, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért, rendelkezik többek között megfelelő kikényszerítési hatáskörrel, és felelős az érintettek részére történő, a jogaik gyakorlásával kapcsolatos segítségnyújtásért és tanácsadásért, valamint a tagállami felügyeleti_hatóságokkal való együttműködésért; továbbá

a szóban forgó harmadik ország vagy nemzetközi_szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes_adatok védelmével kapcsolatos – kötelezettségei.

(3) A védelmi szint megfelelőségének értékelését követően a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi_szervezet a (2) bekezdés értelmében biztosítja a megfelelő védelmi szintet. A végrehajtási jogi aktusban rendelkezni kell egy rendszeres, legalább négyévente elvégzendő felülvizsgálatra irányuló mechanizmusról, amely az adott harmadik országban vagy nemzetközi_szervezetnél végbement valamennyi releváns fejleményt figyelembe vesz. A végrehajtási jogi aktusban pontosan rögzíteni kell annak területi és ágazati alkalmazási körét, és – adott esetben – meg kell határozni a (2) bekezdés b) pontjában említett felügyeleti_hatóságot, illetve hatóságokat. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(4) A Bizottság folyamatosan figyelemmel kíséri a harmadik országokban és a nemzetközi_szervezeteknél végbement azon fejleményeket, amelyek érinthetik az e cikk (3) bekezdése, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok végrehajtását.

(5) A Bizottság – a rendelkezésekre álló információk, különösen az e cikk (3) bekezdésében említett felülvizsgálat alapján – határoz arról, hogy a harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, vagy valamely nemzetközi_szervezet már nem biztosítja az e cikk (2) bekezdése értelmében vett megfelelő védelmi szintet, és a szükséges mértékben, az e cikk (3) bekezdésében említett korábbi határozatot végrehajtási jogi aktus útján, visszaható hatály nélkül hatályon kívül helyezi, módosítja vagy felfüggeszti. A végrehajtási jogi aktust a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak, rendkívüli sürgősséget igénylő esetekben pedig a 93. cikk (3) bekezdésében említett eljárásnak megfelelően kell elfogadni.

A Bizottság kellően indokolt, rendkívül sürgős esetben a 93. cikk (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó végrehajtási jogi aktusokat fogad el.

(6) A Bizottság konzultációt kezdeményez a harmadik országgal vagy nemzetközi_szervezettel az (5) bekezdés szerinti határozat meghozatalához vezető helyzet orvoslását illetően.

(7) Az (5) bekezdés szerinti határozat nem érinti a személyes_adatoknak a szóban forgó harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, illetve a szóban forgó nemzetközi_szervezet részére a 46–49. cikk alapján történő továbbítását.

(8) A Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi_szervezetek jegyzékét, amelyek esetében úgy ítélte meg, hogy biztosítják, vagy többé nem biztosítják a megfelelő védelmi szintet.

(9) A Bizottság által a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat az e cikk (3) vagy az (5) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

46. cikk

Megfelelő garanciák alapján történő adattovábbítások

(1) A 45. cikk (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes_adatokat harmadik országba vagy nemzetközi_szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2) A felügyeleti_hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik:

a)	közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok;

c)	a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

d)	a felügyeleti_hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

e)	a 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy

f)	a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

(3) Az illetékes felügyeleti_hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:

a)	az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi_szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes_adatok címzettje között létrejött szerződéses rendelkezések; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

(4) A felügyeleti_hatóság az e cikk (3) bekezdésében említett esetekben a 63. cikkben említett egységességi mechanizmust alkalmazza.

(5) A valamely tagállam vagy felügyeleti_hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti_hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. A Bizottság által a 95/46/EK irányelv 26. cikkének (4) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat szükség esetén az e cikk (2) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

54. cikk

A felügyeleti_hatóság létrehozására vonatkozó szabályok

(1) A tagállamok jogszabályban rendelkeznek:

a)	minden egyes felügyeleti_hatóság létrehozásáról;

b)	az egyes felügyeleti_hatóságok tagjává való kinevezéshez szükséges képesítésekről és pályázati feltételekről;

c)	az egyes felügyeleti_hatóságok tagjának vagy tagjainak kinevezésére vonatkozó szabályokról és eljárásokról;

az egyes felügyeleti_hatóságok tagja vagy tagjai megbízatásának időtartamáról, amelynek legalább négy évre kell szólnia, kivéve a 2016. május 24-ét követő első kinevezést, amely rövidebb időtartamra is szólhat, ha a felügyeleti_hatóság függetlenségének megőrzése érdekében a kinevezéseket több lépcsőben kell végrehajtani;

e)	arról, hogy az egyes felügyeleti_hatóságok tagja vagy tagjai újra kinevezhetők-e, és ha igen, hány ciklusra; és

az egyes felügyeleti_hatóságok tagjának vagy tagjainak, valamint személyzetének kötelezettségeire vonatkozó feltételekről, a hivatali idő alatt és azt követően az alkalmazással összeférhetetlen cselekményekről, szakmai tevékenységre és juttatásokra vonatkozó tiltó rendelkezésekről, valamint az alkalmazás megszűnésére vonatkozó szabályokról.

(2) Az uniós vagy tagállami jognak megfelelően mindegyik felügyeleti_hatóság tagját vagy tagjait és személyzetét a feladataik ellátása és hatáskörük gyakorlása során tudomásukra jutott bármely bizalmas információ tekintetében hivatali idejük alatt és annak lejártát követően is szakmai titoktartási kötelezettség terheli. Hivatali idejük alatt ez a szakmai titoktartási kötelezettség különösen vonatkozik a természetes személyek által e rendelet megsértését illetően tett bejelentésekre.

2. szakasz

Illetékesség, feladatok és hatáskörök

57. cikk

Feladatok

(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti_hatóság a saját területén ellátja a következő feladatokat:

a)	nyomon követi és kikényszeríti e rendelet alkalmazását;

b)	elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes_adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában. Különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;

c)	a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes_adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d)	felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;

e)	kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti_hatóságaival;

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 80. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti_hatósággal való együttműködés válik szükségessé;

g)	együttműködik más felügyeleti_hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;

h)	vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti_hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

i)	figyelemmel kíséri a személyes_adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák, valamint a kereskedelmi gyakorlatok fejlődését;

j)	megállapítja a 28. cikk (8) bekezdésében és a 46. cikk (2) bekezdésének d) pontjában említett általános szerződési feltételeket;

k)	a 35. cikk (4) bekezdésének megfelelően jegyzéket állít össze és az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban vezeti azt;

l)	tanácsot ad a 36. cikk (2) bekezdésében említett adatkezelési műveletekkel kapcsolatban;

m)	ösztönzi a 40. cikk (1) bekezdése szerinti magatartási kódex kidolgozását, valamint a 40. cikk (5) bekezdésével összhangban véleményezi, illetve jóváhagyja a megfelelő garanciákat kínáló ilyen magatartási kódexeket;

n)	ösztönzi a 42. cikk (1) bekezdése szerinti az adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, és a 42. cikk (5) bekezdésének megfelelően jóváhagyja a tanúsítási szempontokat;

o)	adott esetben rendszeres időközönként felülvizsgálja a 42. cikk (7) bekezdésének megfelelően kiadott tanúsítványokat;

p)	meghatározza és közzéteszi a magatartási kódexnek való megfelelést ellenőrző 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációjára vonatkozó szempontokat;

q)	elvégzi a magatartási kódexnek való megfelelést ellenőrző, a 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációját;

r)	engedélyezi a 46. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;

s)	jóváhagyja a 47. cikk szerinti kötelező_erejű_vállalati_szabályokat;

t)	hozzájárul a Testület tevékenységeihez;

u)	belső nyilvántartást vezet e rendelet megsértéséről és az 58. cikk (2) bekezdése szerint meghozott intézkedésekről; és

v)	a személyes_adatok védelméhez kapcsolódó minden más feladatot ellát.

(2) A felügyeleti_hatóság megkönnyíti az (1) bekezdés f) pontjában említett panasz benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(3) A felügyeleti_hatóság úgy látja el feladatait, hogy az az érintett és adott esetben az adatvédelmi tisztviselő számára térítésmentes legyen.

(4) Ha a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti_hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti_hatóságot terheli.

62. cikk

A felügyeleti_hatóságok közös műveletei

(1) A felügyeleti_hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti_hatóságainak tagjai vagy alkalmazottai is részt vesznek.

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti_hatósága jogosult részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdése alapján illetékes felügyeleti_hatóság felkéri az összes szóban forgó tagállam felügyeleti_hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti_hatóság részvételre irányuló megkeresésére.

(3) A felügyeleti_hatóság a tagállami joggal összhangban, valamint a kirendelő felügyeleti_hatóság engedélyével, hatáskört – ideértve a vizsgálati hatáskört is – ruházhat át a kirendelő felügyeleti_hatóság közös műveletben részt vevő tagjaira vagy alkalmazottaira, vagy – amennyiben a fogadó felügyeleti_hatóság tagállamának joga lehetővé teszi –, engedélyezheti a kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai számára, hogy vizsgálati hatáskörüket a kirendelő felügyeleti_hatóság tagállami jogának megfelelően gyakorolják. A vizsgálati hatáskört kizárólag a fogadó felügyeleti_hatóság tagjainak vagy alkalmazottainak irányítása mellett és jelenlétében lehet gyakorolni. A kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai a fogadó felügyeleti_hatóság tagállami jogának hatálya alá tartoznak.

(4) Ha egy kirendelő felügyeleti_hatóság alkalmazottai az (1) bekezdésnek megfelelően egy másik tagállamban végeznek tevékenységet, cselekedeteikért, ideértve a tevékenységük során általuk okozott károkat is, a fogadó felügyeleti_hatóság tagállama viseli a felelősséget a tevékenységvégzés helye szerinti tagállam jogának megfelelően.

(5) A károkozás helye szerinti tagállam a kárt ugyanolyan feltételek mellett téríti meg, mintha azt a saját alkalmazottai okozták volna. Azon kirendelő felügyeleti_hatóság tagállama, amelynek alkalmazottai egy másik tagállam területén valamely személynek kárt okoztak, teljes mértékben megtéríti ennek a másik tagállamnak azt az összeget, amelyet az a kártérítésre jogosult személynek kifizetett.

(6) A harmadik felekkel szembeni jogai gyakorlásának sérelme nélkül és az (5) bekezdésben foglaltak kivételével, az (1) bekezdésben meghatározott esetben minden tagállam eltekint attól, hogy a (4) bekezdésben említett károk megtérítését követelje egy másik tagállamtól.

(7) Ha egy felügyeleti_hatóság egy tervezett közös művelet esetében, egy hónapon belül nem tesz eleget az e cikk (2) bekezdése második mondatában foglalt kötelezettségnek, a többi felügyeleti_hatóság az 55. cikkel összhangban a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében véleményt bocsát ki vagy kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban.

2. szakasz

Egységesség

64. cikk

Az Európai Adatvédelmi Testület véleménye

(1) A Testület véleményt bocsát ki, ha valamely illetékes felügyeleti_hatóság az alábbiakban felsorolt intézkedések valamelyikének elfogadását tervezi. Ebből a célból az illetékes felügyeleti_hatóságnak közölnie kell a döntéstervezetet a Testülettel, ha a döntés:

a)	olyan adatkezelési műveletek jegyzékének az elfogadására irányul, amelyekre a 35. cikk (4) bekezdése szerint vonatkozik az adatvédelmi hatásvizsgálat követelménye;

b)	a 40. cikk (7) bekezdése szerint azon kérdésre vonatkozik, hogy valamely magatartási kódex tervezete, illetve valamely magatartási kódex módosítása vagy bővítése összhangban van-e ezzel a rendelettel;

c)	a 41. cikk (3) bekezdése szerint valamely szervezet, illetve a 43 cikk (3) bekezdése szerint valamely tanúsító szervezet akkreditációjára vonatkozó szempontok jóváhagyására irányul;

d)	a 46. cikk (2) bekezdésének d) pontjában és a 28. cikk (8) bekezdésében említett általános adatvédelmi kikötések meghatározására irányul;

e)	a 46. cikk (3) bekezdésének a) pontjában említett szerződéses rendelkezések engedélyezésére irányul; vagy

f)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok jóváhagyására irányul.

(2) Bármely felügyeleti_hatóság, a Testület elnöke vagy a Bizottság kérheti, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti_hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel.

(4) A felügyeleti_hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti_hatóságok véleményét.

(5) A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja:

a)	egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és

b)	tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti_hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz.

(6) Az illetékes felügyeleti_hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az (1) bekezdésben említett döntéstervezetét.

(7) Az (1) bekezdésben említett felügyeleti_hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet.

(8) Ha az érintett felügyeleti_hatóság az e cikk (7) bekezdésében említett határidőn belül, a releváns indokok megadásával arról tájékoztatja a Testület elnökét, hogy egészében vagy részben nem kíván a Testület véleménye alapján eljárni, akkor a 65. cikk (1) bekezdését kell alkalmazni.

82. cikk

A kártérítéshez való jog és a felelősség

(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

(4) Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és – a (2) és (3) bekezdés alapján – felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

(5) Ha valamely adatkezelő vagy adatfeldolgozó a (4) bekezdéssel összhangban teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon adatkezelésben érintett többi adatkezelőtől vagy adatfeldolgozótól visszaigényelje a kártérítésnek azt a részét, amely megfelel a (2) bekezdésben megállapított feltételek értelmében a károkozásért viselt felelősségük mértékének.

(6) A kártérítéshez való jog érvényesítését célzó bírósági eljárást az előtt a bíróság előtt kell megindítani, amely a 79. cikk (2) bekezdésében említett tagállam joga szerint illetékes.

83. cikk

A közigazgatási bírságok kiszabására vonatkozó általános feltételek

(1) Valamennyi felügyeleti_hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti_hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes_adatok kategóriái;

h)	az, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25-39., a 42. és a 43. cikkben meghatározott kötelezettségek;

b)	a tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek;

c)	az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek;

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

c)	személyes_adatoknak harmadik országbeli címzett vagy nemzetközi_szervezet részére történő továbbítása a 44–49. cikknek megfelelően;

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)	a felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6) A felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti_hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti_hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti_hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti_hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25-ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.

88. cikk

Adatkezelés a foglalkoztatással összefüggően

(1) A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes_adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő-felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.

(2) E szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében.

(3) Minden tagállam legkésőbb 2018. május 25-ig értesíti a Bizottságot azon jogi rendelkezésekről, amelyeket az (1) bekezdés alapján elfogad, továbbá haladéktalanul értesíti a Bizottságot az említett jogi rendelkezéseket érintő későbbi módosításokról.

90. cikk

Titoktartási kötelezettségek

(1) A tagállamok egyedi szabályokat fogadhatnak el annak érdekében, hogy meghatározzák a felügyeleti_hatóságoknak az 58. cikk (1) bekezdésének e) és f) pontjában foglalt hatáskörét olyan adatkezelőkre vagy adatfeldolgozókra vonatkozóan, amelyek az uniós vagy a tagállami jog alapján, vagy az illetékes nemzeti szervek által alkotott szabályok alapján szakmai titoktartási kötelezettség vagy azzal egyenértékű egyéb titoktartási kötelezettség hatálya alá tartoznak, ha ez szükséges és arányos a személyes_adatok védelméhez való jog és a titoktartási kötelezettség összeegyeztetése érdekében. E szabályokat csak azokra a személyes_adatokra kell alkalmazni, amelyeket az adatkezelő vagy az adatfeldolgozó e titoktartási kötelezettség hatálya alá tartozó tevékenység során kapott vagy szerzett.

(2) Minden tagállam legkésőbb 2018. május 25-ig értesíti a Bizottságot az (1) bekezdés alapján elfogadott szabályokról, továbbá haladéktalanul értesíti a Bizottságot az említett szabályokat érintő későbbi módosításokról.

95. cikk

Kapcsolat a 2002/58/EK irányelvvel

E rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a 2002/58/EK irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.

99. cikk

Hatálybalépés és alkalmazás

(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2) Ezt a rendeletet 2018. május 25-től kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2016. április 27-én.

az Európai Parlament részéről

az elnök

M. SCHULZ

a Tanács részéről

az elnök

J.A. HENNIS-PLASSCHAERT

(1) HL C 229., 2012.7.31., 90. o.

(2) HL C 391., 2012.12.18., 127. o.

(3) Az Európai Parlament 2014. március 12-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2016. április 8-i álláspontja első olvasatban. Az Európai Parlament 2016. április 14-i álláspontja.

(4) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes_adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(5) A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és közép vállalkozások fogalma kapcsán a kis- és közepes méretű vállalkozások meghatározásáról (C(2003) 1422) (HL L 124., 2003.5.20., 36. o.).

(6) Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes_adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

(7) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) személyes_adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, üldözése vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IBtanácsi kerethatározat hatályon kívül helyezéséről (lásd e Hivatalos lap 89. oldalát).

(8) Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a belső piacon az_információs_társadalommal_összefüggő_szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól (Elektronikus kereskedelemről szóló irányelv) (HL L 178., 2000.7.17., 1. o.).

(9) Az Európai Parlament és a Tanács 2011/24/EU irányelve (2011. március 9.) a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).

(10) A Tanács 93/13/EGK irányelve (1993. április 5.) a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről (HL L 95., 1993.4.21., 29. o.).

(11) Az Európai Parlament és a Tanács 1338/2008/EK rendelete ( 2008. december 16.) a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.).

(12) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(13) Az Európai Parlament és a Tanács 1215/2012/EU rendelete (2012. december 12.) a polgári és kereskedelmi ügyekben a joghatóságról, valamint a határozatok elismeréséről és végrehajtásáról (HL L 351., 2012.12.20., 1. o.).

(14) Az Európai Parlament és a Tanács 2003/98/EK irányelve (2003. november 17.) a közszféra információinak további felhasználásáról (HL L 345., 2003.12.31., 90. o.).

(15) Az Európai Parlament és a Tanács 536/2014/EU rendelete (2014. április 16.) az emberi felhasználásra szánt gyógyszerek klinikai vizsgálatairól és a 2001/20/EK irányelv hatályon kívül helyezéséről (HL L 158., 2014.5.27., 1. o.).

(16) Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről (HL L 87., 2009.3.31., 164. o.).

(17) HL C 192., 2012.6.30., 7. o.

(18) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes_adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).

(19) Az Európai Parlament és Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.)

(20) Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).

(21) Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).

whereas

(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes_adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni.
A természetes személyeknek a személyes_adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell.
A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes_adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges.
A 95/46/EK irányelvet végrehajtó általános és horizontális adatvédelmi jogszabályokhoz kapcsolódóan a tagállamok számos ágazatspecifikus jogszabályt hoztak azokon a területeken, ahol konkrétabb rendelkezésekre van szükség.
Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes_adatok különleges kategóriáira („különleges adatok”) vonatkozókat is.
Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes_adatok kezelése.

- = -

(11) Ahhoz, hogy a személyes_adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes_adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes_adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.

- = -

(13) A természetes személyek egységes, uniós-szintű védelmének biztosítása, valamint a személyes_adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro-, kis- és közép vállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes_adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti_hatóságai közötti hatékony együttműködést.
A belső piac megfelelő működése érdekében a személyes_adatok Unión belüli szabad áramlását a természetes személyeknek a személyes_adatok kezelése tekintetében történő védelmével összefüggő okokból nem szabad korlátozni vagy megtiltani.
A mikro-, kis- és közép vállalkozások sajátos helyzetének figyelembevétele érdekében a 250 főnél kevesebb személyt foglalkoztató szervezetek esetében e rendelet a nyilvántartás vezetése tekintetében eltérést tartalmaz.
Emellett, e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti_hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és közép vállalkozások sajátos szükségleteit.
A mikro-, kis- és közép vállalkozások fogalma kapcsán a 2003/361/EK bizottsági ajánlás (5) mellékletének 2.
cikkét kell alapul venni.

- = -

(20) Bár ezt a rendeletet a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell, az uniós, illetve a tagállami jog a személyes_adatok kezelésével összefüggésben a bíróságok és más igazságügyi hatóságok által végzett kezelési műveleteket és eljárásokat pontosabban meghatározhatja.
Annak érdekében, hogy az igazságszolgáltatási feladataik ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a bírói kar függetlensége, a felügyeleti_hatóságok hatásköre nem terjedhet ki a személyes_adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek.
Lehetővé kell tenni, hogy az ilyen adatkezelési műveletek felügyeletével a tagállamok igazságügyi rendszerén belül olyan szakosodott szerveket bízzanak meg, amelyek elsősorban biztosítják az e rendeletben foglalt szabályoknak való megfelelést, növelik a bírói kar tudatosságát az e rendelet szerinti kötelezettségeik tekintetében és kezelik az említett adatkezelési tevékenységgel kapcsolatos panaszokat.

- = -

(28) A személyes_adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek megfeleljenek.
Az „ álnevesítés” e rendeletbe történő kifejezett bevezetése nem irányul más adatvédelmi intézkedés kizárására.

- = -

(31) Azok a közhatalmi szervek, amelyekkel hivatalos feladataikkal kapcsolatos jogi kötelezettségeik keretében személyes_adatokat közölnek, így például az adó- és vámhatóságok, a pénzügyi nyomozóegységek, a független közigazgatási hatóságok, valamint az értékpapírpiacok szabályozásáért és felügyeletéért felelős pénzügyi hatóságok nem tekinthetők címzettnek, amikor olyan személyes_adatokat kapnak, amelyek az uniós vagy a tagállami jog alapján egy konkrét közérdekű vizsgálat lefolytatásához szükségesek.
A közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási_rendszerekre, illetve nem eredményezhetik nyilvántartási_rendszerek összekapcsolását.
Az említett személyes_adatok e közhatalmi szervek általi kezelése során – az adatkezelés céljának megfe – a vonatkozó adatvédelmi szabályokat be kell tartani.

- = -

(40) Annak érdekében, hogy a személyes_adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.

- = -

(45) Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie.
Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon.
Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség.
Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni.
E rendeletnek a személyes_adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes_adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes_adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják.
Uniós vagy tagállami jog határozza meg továbbá, hogy a közérdekű vagy közhatalmi feladatot teljesítő adatkezelőnek közhatalmi szervnek vagy egyéb, a közjog hatálya alá tartozó természetes vagy jogi személynek, vagy ha ezt a közérdek egészségügyi célok, mint például a népegészségügyi, illetve szociális védelmi és az egészségügyi szolgálatok irányítása miatt indokolttá teszi, a magánjog hatálya alá tartozó szervnek – például szakmai egyesületnek – kell-e lennie.

- = -

(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes_adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.
Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes_adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket.
A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus_adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket.
Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében.
Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében.
A személyes_adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

- = -

(53) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes_adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános országos és helyi felügyelete, továbbá az egészségügyi és szociális ellátás, a határokon átnyúló egészségügyi ellátás, valamint a népegészség-védelem folytonosságának biztosítása, nyomonkövetési és riasztási célok, a közérdekű archiválás céljából, tudományos és történelmi kutatási vagy statisztikai célból közérdekű célt szolgáló uniós vagy tagállami jog alapján, illetve a népegészség területén közérdekből készített tanulmányok céljából.
Ebből kifolyólag a sajátos adatkezelési szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni az egészségügyi személyes_adatok különleges kategóriáinak kezelésére vonatkozóan, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik.
Az uniós vagy tagállami jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes_adatainak védelmére irányulnak.
A tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.
Ez azonban nem akadályozhatja a személyes_adatok Unión belüli szabad áramlását azokban az esetekben, amikor az említett feltételek az ilyen adatok határokon átnyúló kezelésére vonatkoznak.

- = -

(62) Mindazonáltal a tájékoztatás nyújtására vonatkozó kötelezettség előírása nem szükséges, ha az érintettnek ez az információ már a birtokában van, vagy ha a személyes_adat rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.
E helyzet állhat elő különösen akkor, ha az adatkezelés közérdekű archiválás célt, tudományos és történelmi kutatási célt vagy statisztikai célt szolgál.
E tekintetben az érintettek számát, az adatok korát, valamint az elfogadott megfelelő garanciákat figyelembe kell venni.

- = -

(65) Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes_adatok helyesbítését és megilleti őt az „elfeledtetéshez való jog”, ha a szóban forgó adatok megőrzése sérti e rendeletet vagy az olyan uniós vagy tagállami jogot, amelynek hatálya az adatkezelőre kiterjed.
Az érintett jogosult különösen arra, hogy személyes_adatait töröljék és a továbbiakban ne kezeljék, ha a személyes_adatok gyűjtése vagy más módon való kezelése az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes_adataik kezelése egyéb szempontból nem felel meg e rendeletnek.
Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig el akarja távolítani a szóban forgó személyes_adatokat, különösen az internetről.
Az érintett e jogát gyakorolhatja akkor is, ha már nem gyermek.
Ugyanakkor a személyes_adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek való megfelelés, illetőleg közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása miatt, vagy a népegészségügy területét érintő közérdekből, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

- = -

(68) Ha a személyes_adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes_adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák.
Az adatkezelőket ösztönözni kell, hogy az adathordozhatóságot lehetővé tevő interoperábilis formátumokat fejlesszenek ki.
Ez a jog abban az esetben gyakorolható, ha az érintett a személyes_adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges.
E jog nem gyakorolható akkor, ha az adatkezelés jogalapja a hozzájárulástól vagy szerződéstől eltérő egyéb jogalap.
Ez a jog természeténél fogva nem állhat fenn olyan adatkezelőkkel szemben, akik a személyes_adatok kezelését közhatalmi feladataik gyakorlása keretében végzik.
Ennélfogva nem gyakorolható különösen akkor, ha a személyes_adatok kezelésére valamely, az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges.
Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes_adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn.
Ha egy adott személyes_adatállomány egynél több érintettre vonatkozik, a személyes_adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait.
Ez a jog nem érinti továbbá az érintettnek jogát arra, hogy a személyes_adatainak törlését elérje, sem pedig az e jogra vonatkozóan e rendeletben megállapított korlátozásokat, továbbá nem járhat különösen az érintettre vonatkozó olyan személyes_adatok törlésével, amelyeket az érintett valamely szerződés teljesítése céljából bocsátott rendelkezésre, ha és ameddig a szóban forgó személyes_adatokra szükség van az adott szerződés teljesítéséhez.
Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.

- = -

(73) Az uniós és a tagállami jog olyan mértékig korlátozhat bizonyos elveket, a tájékoztatáshoz való jogot, a hozzáférési, helyesbítési és törlési jogot, az adathordozhatósághoz való jogot, a tiltakozáshoz való jogot, a profilalkotáson alapuló döntéseket és az adatvédelmi_incidens érintettel történő közlését, valamint az adatkezelők bizonyos kapcsolódó kötelezettségeit, amilyen mértékig ez egy demokratikus társadalomban szükségesnek és arányosnak tekinthető a közbiztonság védelme érdekében – beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, valamint a bűncselekményeknek vagy a szabályozott szakmák etikai szabályai megsértésének a megelőzését, kivizsgálását és a megfelelő büntető- vagy fegyelmi eljárás lefolytatását, illetve a büntetőjogi szankciók végrehajtását és ezen belül többek között a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is –, továbbá valamely egyéb uniós vagy tagállami közérdek jelentős céljai, így különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdekének védelme, általános közérdeket szolgáló nyilvántartások vezetése, archivált személyes_adatoknak a volt totalitárius államrendszerek alatt tanúsított politikai magatartáshoz kapcsolódó konkrét információk szolgáltatása érdekében történő további kezelése, illetve az érintett vagy mások jogainak és szabadságainak a védelme érdekében, ideértve a szociális védelmet, a népegészségügyet és a humanitárius okokat is.
E korlátozásoknak tiszteletben kell tartaniuk a Charta, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény rendelkezéseit.

- = -

(75) A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes_adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes_adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes_adataik felett; vagy ha olyan személyes_adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai_adatok, egészségügyi_adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes_adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes_adat alapján zajlik, és nagyszámú érintettre terjed ki.

- = -

(78) A természetes személyeket személyes_adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát.
Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit.
Az említett intézkedések magukban foglalhatják a személyes_adatok kezelésének minimálisra csökkentését, a személyes_adatok mihamarabbi álnevesítését, a személyes_adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
Az olyan alkalmazások, szolgáltatások és termékek kifejlesztésekor, tervezésekor, kiválasztásakor és felhasználásakor, amelyek személyes_adatok kezelésén alapulnak vagy rendeltetésük teljesítéséhez személyes_adatokat kezelnek, a termékek, szolgáltatások és alkalmazások előállítóit arra kell ösztönözni, hogy e termékek, szolgáltatások és alkalmazások kifejlesztésekor és tervezésekor szem előtt tartsák a személyes_adatok védeleméhez való jogot, és a tudomány és technológia állását kellően figyelembe véve gondoskodjanak arról, hogy az adatkezelők és az adatfeldolgozók adatvédelmi kötelezettségeiknek eleget tegyenek.
A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

- = -

(80) Ha az Unióban tartózkodó érintettek személyes_adatait az Unióban tevékenységi hellyel nem rendelkező olyan adatkezelő vagy adatfeldolgozó kezeli, amelynek az adatkezelési tevékenysége termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Unión belüli kínálásához – függetlenül attól, hogy az érintetteknek fizetniük kell-e azokért – vagy az ilyen érintettek Unión belüli magatartásának a megfigyeléséhez kapcsolódik, az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, kivéve, ha az általa végzett adatkezelés alkalmi jellegű, nem terjed ki a személyes_adatok különleges kategóriáinak, illetve a büntetőjogi felelősség megállapításával és bűncselekményekkel kapcsolatos személyes_adatoknak nagy számban történő kezelésére, továbbá a jellegét, hatókörét, körülményeit és céljait tekintve valószínűsíthetően nem jelent kockázatot az érintettek jogaira és szabadságaira nézve, illetve ha az adatkezelő közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv.
A képviselő az adatkezelő vagy az adatfeldolgozó nevében jár el, és e minőségében bármelyik felügyeleti_hatóság megkeresheti.
Az adatkezelő vagy az adatfeldolgozó írásbeli megbízás útján kifejezetten kijelöli a képviselőt arra, hogy nevében az e rendelet értelmében fennálló kötelezettségei tekintetében eljárjon.
A képviselő kijelölése nem érinti az adatkezelőre, illetve adatfeldolgozóra e rendelet értelmében háruló hatásköröket és felelősséget.
A képviselő feladatait az adatkezelőtől vagy az adatfeldolgozótól kapott – és ideértve az illetékes felügyeleti_hatóságokkal az e rendeletnek való megfelelés biztosítása érdekében tett bármely lépés tekintetében való együttműködést is előíró – megbízással összhangban látja el.
Meg nem felelés esetén, a kijelölt képviselővel szemben az adatkezelő vagy az adatfeldolgozó kikényszerítési eljárásokat indíthat.

- = -

(81) Annak biztosítása érdekében, hogy az e rendeletben az adatfeldolgozó által az adatkezelő nevében elvégzendő adatkezelésre vonatkozóan előírt követelmények teljesüljenek, ha az adatkezelő adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az e rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Az adatkezelő kötelezettségei teljesítésének bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz.
Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes_adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
Az adatkezelő és az adatfeldolgozó dönthet egyedi szerződés vagy általános szerződési feltételek alkalmazása mellett, mely utóbbiakat vagy közvetlenül a Bizottság, vagy az egységességi mechanizmus alapján valamely felügyeleti_hatóság, majd pedig a Bizottság fogad el.
Az adatkezelésnek az adatkezelő nevében való elvégzését követően az adatfeldolgozó az adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes_adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

- = -

(85) Az adatvédelmi_incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes_adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes_adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi_incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti_hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

- = -

(89) A 95/46/EK irányelv általános jelleggel előírta, hogy a személyes_adatok kezeléséről a felügyeleti_hatóságot értesíteni kell.
Ez a kötelezettség igazgatási és pénzügyi terhekkel jár, azonban nem minden esetben járul hozzá a személyes_adatok védelmének javításához.
Ezért ezeket a megkülönböztetés nélküli általános jellegű értesítési kötelezettségeket meg kell szüntetni és olyan hatékony eljárásokkal és mechanizmusokkal kell felváltani, amelyek az adatkezelési műveletek azon típusaira összpontosítanak, amelyek a jellegüknél, hatókörüknél, körülményénél és céljaiknál fogva a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal járnak.
Az adatkezelési műveletek említett típusai közé tartozhatnak különösen azok, amelyek új technológiákat alkalmaznak, illetve amelyek új fajtájúak, és amelyek esetében az adatkezelő még nem végezte el az adatvédelmi hatásvizsgálatot, vagy amelyek esetében az adatvédelmi hatásvizsgálat az első adatkezelés óta eltelt időre tekintettel vált szükségessé.

- = -

(95) Az adatfeldolgozó – szükség esetén és kérésre – segíti az adatkezelőt abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti_hatósággal folytatott előzetes konzultációból eredő kötelezettségek.

- = -

(97) Ha az adatkezelést közhatalmi szerv végzi – kivéve a bíróságokat és az egyéb, független igazságügyi hatóságokat, amikor azok igazságszolgáltatási feladataik körében járnak el –, illetve ha az adatkezelést a magánszektorban működő olyan adatkezelő végzi, amelynek fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek nagymértékű, rendszeres és szisztematikus nyomon követését teszik szükségessé, vagy ha az adatkezelő vagy az adatfeldolgozó alaptevékenysége során a személyes_adatok különleges kategóriáit és a büntetőjogi felelősség megállapítására vonatkozó határozatokhoz és bűncselekményekhez kapcsolódó adatokat nagy számban kezel, az adatkezelőt vagy az adatfeldolgozót az e rendeletnek való belső megfelelés ellenőrzésében egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti.
A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes_adatok kezelése nem.
A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes_adatok tekintetében megkövetelt védelem alapján kell meghatározni.
Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.

- = -

(98) Az adatkezelők, illetve adatfeldolgozók kategóriáit képviselő egyesületeket vagy egyéb szerveket az e rendelet által szabott határokon belül, az e rendelet hatékony alkalmazásának az elősegítése érdekében magatartási kódexek létrehozására kell ösztönözni, adatkezelés sajátosságaira, valamint a mikro-, kis- és közép vállalkozások sajátos szükségleteire figyelemmel.
E magatartási kódexek keretében meg lehetne határozni az adatkezelők és az adatfeldolgozók kötelezettségeit, figyelembe véve azt a kockázatot, amellyel az adatkezelés a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően jár.

- = -

(104) A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is.
Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya.
A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes_adatokat egy vagy több konkrét ágazatban kezelik.
A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

- = -

(105) A harmadik ország vagy a nemzetközi_szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi_szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes_adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását.
Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes_adatok gépi feldolgozása során a természetes személyek védelméről szóló, 1981.
január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez.
A Bizottság a harmadik országok vagy a nemzetközi_szervezetek által biztosított védelem szintjének értékelésekor konzultál a Testülettel.

- = -

(109) Az a lehetőség, mely szerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy a felügyeleti_hatóság által elfogadott általános adatvédelmi kikötéseket, egyik sem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezen általános adatvédelmi kikötéseket, sem azt, hogy további rendelkezéseket vagy garanciákat adjon hozzá, feltéve hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyeleti_hatóság által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait.
Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

- = -

(131) Azokban az ügyekben, amelyekben az adatkezelő vagy az adatfeldolgozó adatkezelési tevékenységei tekintetében egy másik felügyeleti_hatóság jár el fő felügyeleti_hatóságként, azonban a panasz konkrét tárgya vagy az esetleges jogsértés kizárólag a panasz benyújtásának helye szerinti tagállamban működő adatkezelő vagy adatfeldolgozó adatkezelési tevékenységeit érinti, és az ügy nem érint jelentős mértékben vagy valószínűsíthetően nem érint jelentős mértékben más tagállamokban élő érintetteket, az a felügyeleti_hatóság, amelyhez panasz érkezik, vagy amely e rendelet esetleges megsértését eredményező helyzetet észlel vagy arról egyéb módon értesül, az adatkezelővel békés vitarendezésre törekszik, és ennek sikertelensége esetén gyakorolja valamennyi hatáskörét.
Ennek ki kell terjednie a felügyeleti_hatóság szerinti tagállam területén végzett konkrét adatkezelésre vagy az említett tagállam területén élő érintettekre irányuló konkrét adatkezelésre, az olyan adatkezelésre, amelyet termékeknek vagy szolgáltatásoknak kifejezetten a felügyeleti_hatóság szerinti tagállam területén élő érintettek részére történő kínálásával összefüggésben végeznek, vagy amelyet a tagállami jog szerinti vonatkozó jogi kötelezettségeket figyelembe véve kell értékelni.

- = -

(146) Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni.
Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli.
A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit.
Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket.
Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is.
Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.
Ha egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, akkor minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
Ha azonban az érintett adatkezelőket a tagállami jognak megfelelően bevonják ugyanabba az eljárásba, a kártérítési kötelezettség megosztható az egyes adatkezelők, illetve adatfeldolgozók között az általuk okozott kár arányában, feltéve hogy így is biztosított marad, hogy az érintettet ért kárt teljes mértékben és ténylegesen megtérítik.
Azok az adatkezelők vagy adatfeldolgozók, akik teljes kártérítést fizettek, ezt követően viszontkereseti eljárást indíthatnak az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.

- = -

(150) Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti_hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására.
E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti_hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre.
Ha a közigazgatási bírságokat vállalkozásokra szabják ki, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102.
cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni.
Ha a közigazgatási bírságokat vállalkozásoktól eltérő személyekre szabják ki, a felügyeleti_hatóság a bírság megfelelő összegének meghatározása során figyelembe veszi a jövedelmek általános szintjét az adott tagállamban, valamint az adott személy gazdasági helyzetét.
Az egységességi mechanizmus a közigazgatási bírságok összehangolt alkalmazásának előmozdítására is felhasználható.
A tagállamokra kell bízni annak eldöntését, hogy a közhatalmi szervekkel szemben alkalmazható legyen-e közigazgatási bírság, és ha igen, milyen mértékben.
A közigazgatási bírság kiszabása vagy a megrovás nem érinti a felügyeleti_hatóságok egyéb hatásköreinek vagy az e rendelet szerinti egyéb szankcióknak az alkalmazását.

- = -

(154) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét e rendelet alkalmazása során.
A hivatalos iratokhoz való nyilvános hozzáférés közérdeknek tekinthető.
Lehetővé kell tenni, hogy a közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek birtokában lévő dokumentumokban szereplő személyes_adatokat az érintett hatóság vagy szerv nyilvánosságra hozza, ha a nyilvánosságra hozatalt az uniós jog vagy annak a tagállamnak a joga, amelynek az adott közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv a hatálya alá tartozik, előírja.
Ezeknek a jogoknak össze kell egyeztetniük a hivatalos dokumentumokhoz való nyilvános hozzáférést és a közszféra információinak további felhasználását a személyes_adatok védelméhez való joggal, és ennélfogva rendelkezhetnek a személyes_adatok védelméhez való, e rendelet szerinti joggal történő szükséges összeegyeztetésről.
A közhatalmi szervek és egyéb, közfeladatot ellátó szervek szervekre való hivatkozásba ebben az összefüggésben mindazon hatóságokat vagy egyéb olyan szerveket is bele kell érteni, amelyekre vonatkozik a dokumentumokhoz való nyilvános hozzáférést szabályozó tagállami jog.
A 2003/98/EK európai parlamenti és tanácsi irányelv (14) nem módosítja és nem érinti a természetes személyeknek a személyes_adatok kezelése tekintetében történő, az uniós és a tagállami jogba foglalt rendelkezések védelmi szintjét, és különösen nem módosítja az ebben e rendeletben foglalt kötelezettségeket és jogokat.
Különösen, az említett irányelvet nem kell alkalmazni olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes_adatok védelmének indokával korlátozzák vagy kizárják, valamint az említett szabályok értelmében hozzáférhető dokumentumok azon részeire, amelyek olyan személyes_adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a természetes személyeknek a személyes_adatok kezelése tekintetében történő védelmére vonatkozó jogszabályokkal.

- = -

(155) A tagállami jog vagy kollektív szerződések – ideértve az üzemi megállapodásokat is – előírhatnak olyan konkrét szabályokat, amelyek a munkavállalók személyes_adatainak a foglalkoztatással összefüggő kezelését szabályozzák, különösen azokat a feltételeket, amelyek mellett a munkavállalók személyes_adatainak a foglalkoztatással összefüggő kezelésére – a munkavállaló hozzájárulása alapján, a munkaerő-felvétel és a munkaszerződés teljesítése céljából – kerülhet sor, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokszínűséget, a munkahelyi egészségvédelmet és biztonságot, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlását és érvényesülését, valamint a munkaviszony megszüntetése céljából történő adatkezelést.

- = -

(163) Az uniós és a nemzeti statisztikai hatóságok által a hivatalos uniós és a hivatalos nemzeti statisztikák készítéséhez gyűjtött bizalmas adatokat védeni kell.
Az uniós statisztikákat az EUMSZ 338.
cikkének (2) bekezdésében foglalt statisztikai elveknek megfelelően kell kidolgozni, elkészíteni és terjeszteni, ugyanakkor a nemzeti statisztikák a tagállami jognak is meg kell, hogy feleljenek.
A 223/2009/EK európai parlamenti és tanácsi rendelet (16) további konkrét rendelkezéseket határoz meg az uniós statisztikákra vonatkozó titoktartási kötelezettségekről.

- = -

(164) A felügyeleti_hatóságok azon jogköre tekintetében, hogy az adatkezelőtől vagy adatfeldolgozótól hozzáférést kapjanak a személyes_adatokhoz, illetve belépési engedélyt kapjanak annak helyiségeibe, a tagállamok e rendelet keretein belül jogszabályban különös rendelkezéseket hozhatnak annak érdekében, hogy a szakmai vagy más, azzal egyenértékű titoktartási kötelezettségeket biztosítsák, ha a személyes_adatok védelméhez való jogot a szakmai titoktartásra vonatkozó kötelezettséggel kell összeegyeztetni.
Ez nem érinti a tagállamok azon meglévő kötelezettségét, hogy szakmai titoktartási rendelkezéseket fogadjanak el, ha az uniós jog ezt megköveteli.

- = -

(173) E rendeletet kell alkalmazni a természetes személyeknek a személyes_adatok kezelése tekintetében történő védelme vonatkozásában az alapvető jogok és szabadságok védelmét érintő minden olyan esetben, amelyekre nem vonatkoznak azonos célú, a 2002/58/EK európai parlamenti és tanácsi irányelvben (18) meghatározott különös kötelezettségek, ideértve az adatkezelő kötelezettségeit és a természetes személyek jogait is.
Az e rendelet és a 2002/58/EK irányelv közötti kapcsolat egyértelművé tétele érdekében ez utóbbi irányelvet ennek megfelelően módosítani kell.
E rendelet elfogadását követően a 2002/58/EK irányelvet elsősorban az e rendelettel való összhang biztosítása érdekében felül kell vizsgálni,

- = -

dal 2004 diritto e informatica