interactive GDPR 2016/0679 HU

b)	az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)	az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik_fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes_adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a)	az uniós jog, vagy

b)	azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes_adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes_adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a)	a személyes_adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)	a személyes_adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c)	a személyes_adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes_adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

d)	azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)	megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

9. cikk

A személyes_adatok különleges kategóriáinak kezelése

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

22. cikk

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

a)	az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b)	meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c)	az érintett kifejezett hozzájárulásán alapul.

(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes_adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

5. szakasz

Korlátozások

27. cikk

Az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői

(1) A 3. cikk (2) bekezdésében meghatározott esetben az adatkezelő vagy az adatfeldolgozó írásban uniós képviselőt jelöl ki.

(2) Az e cikk (1) bekezdésében foglalt kötelezettséget nem kell alkalmazni:

az alkalmi jellegű adatkezelésre, amely nem terjed ki sem a személyes_adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáira, sem a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelésére, és amely – figyelembe véve az adatkezelés jellegét, körülményeit, hatókörét és céljait – valószínűsíthetően nem jelent kockázatot a természetes személyek jogaira és szabadságaira nézve; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervekre.

(3) A képviselőnek tevékenységi hellyel kell rendelkeznie az egyik olyan tagállamban, ahol azon érintettek tartózkodnak, akiknek személyes_adatait áruknak vagy szolgáltatásoknak a részükre történő nyújtása során kezelik vagy akiknek a magatartását megfigyelik.

(4) Az adatkezelő vagy az adatfeldolgozó által a képviselő számára adott megbízásnak ki kell terjednie arra, hogy az adatkezeléssel összefüggő minden ügyben, az e rendeletnek való megfelelés biztosítása érdekében – különösen a felügyeleti_hatóságok és az érintettek megkeresésére – az adatkezelő vagy az adatfeldolgozó helyett vagy mellett a képviselő járjon el.

(5) Az a tény, hogy az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, nem érinti az adatkezelővel vagy az adatfeldolgozóval szembeni keresetindításhoz való jogot.

30. cikk

Az adatkezelési tevékenységek nyilvántartása

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatkezelés céljai;

c)	az érintettek kategóriáinak, valamint a személyes_adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes_adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi_szervezeteket;

adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f)	ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b)	az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)	adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti_hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes_adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatoknak a kezelésére.

35. cikk

Adatvédelmi hatásvizsgálat

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes_adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.

(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b)	a 9. cikk (1) bekezdésében említett személyes_adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatok nagy számban történő kezelése; vagy

c)	nyilvános helyek nagymértékű, módszeres megfigyelése.

(4) A felügyeleti_hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti_hatóság továbbítja az említett jegyzékeket a Testület részére.

(5) A felügyeleti_hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni. A felügyeleti_hatóság továbbítja ezeket a jegyzékeket a Testület részére.

(6) A (4) és (5) bekezdésben említett jegyzékek elfogadását megelőzően az illetékes felügyeleti_hatóság igénybe veszi a 63. cikkben említett egységességi mechanizmust, ha ezek a jegyzékek olyan adatkezelési tevékenységeket tartalmaznak, amelyek az érintettek számára történő, több tagállamra kiterjedő áru- vagy szolgáltatás nyújtásához vagy az érintettek viselkedésének több tagállamra kiterjedő megfigyeléséhez kapcsolódnak, vagy érdemben érinthetik a személyes_adatok Unión belüli szabad áramlását.

(7) A hatásvizsgálat kiterjed legalább:

a)	a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;

b)	az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;

c)	az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és

d)	a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes_adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

(8) Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó adatkezelők, illetve adatfeldolgozók teljesítik-e a 40. cikkben említett jóváhagyott magatartási kódexek előírásait.

(9) Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes_adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

37. cikk

Az adatvédelmi tisztviselő kijelölése

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)	az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes_adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

(2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

(3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(4) Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti_hatósággal közli.

47. cikk

Kötelező erejű vállalati szabályok

(1) Az illetékes felügyeleti_hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező_erejű_vállalati_szabályokat, ha az:

a)	a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;

b)	kifejezetten rendelkezik az érintetteknek a személyes_adataik kezelése tekintetében kikényszeríthető jogairól; és

c)	megfelel a (2) bekezdés szerinti követelményeknek.

(2) Az (1) bekezdésben említett kötelező_erejű_vállalati_szabályok tartalmazzák legalább:

a)	a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;

b)	az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes_adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;

c)	a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;

az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes_adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező_erejű_vállalati_szabályok;

az érintettek személyes_adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 79. cikkben meghatározott jogát, hogy az illetékes felügyeleti_hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező_erejű_vállalati_szabályok megsértése esetén a kártérítéshez való jogát;

a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező_erejű_vállalati_szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;

g)	azt, hogy a 13. és a 14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező_erejű_vállalati_szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;

a 37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező_erejű_vállalati_szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;

i)	a panasztételi eljárásokat;

a kötelező_erejű_vállalati_szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti_hatóság rendelkezésére kell bocsátani őket;

k)	a kötelező_erejű_vállalati_szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti_hatóság számára történő bejelentésére szolgáló mechanizmusokat;

a kötelező_erejű_vállalati_szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti_hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti_hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;

arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti_hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező_erejű_vállalati_szabályokban előírt garanciákat; valamint

n)	a személyes_adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.

(3) A Bizottság meghatározhatja az e cikk szerinti, a kötelező_erejű_vállalati_szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

49. cikk

Különös helyzetekben biztosított eltérések

(1) A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező_erejű_vállalati_szabályokat is –, a személyes_adatok harmadik ország vagy nemzetközi_szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a)	az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b)	az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c)	az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d)	az adattovábbítás fontos közérdekből szükséges;

e)	az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

f)	az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező_erejű_vállalati_szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi_szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes_adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti_hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

(2) Az (1) bekezdés első albekezdésének g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes_adatok vagy személyes_adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(3) Az (1) bekezdés első albekezdésének a), b) és c) pontja, valamint második albekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

(4) Az (1) bekezdés első albekezdésének d) pontjában említett közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy az adatkezelőre vonatkozó tagállami jog elismeri.

(5) Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes_adatok valamely harmadik országba vagy nemzetközi_szervezethez történő továbbítását. A tagállamok az ilyen rendelkezéseket bejelentik a Bizottságnak.

(6) Az adatkezelő vagy az adatfeldolgozó az e cikk (1) bekezdésének második albekezdésében említett vizsgálatot és megfelelő garanciákat a 30. cikkben említett nyilvántartásban dokumentálja.

61. cikk

Kölcsönös segítségnyújtás

(1) A felügyeleti_hatóságok e rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.

(2) Minden felügyeleti_hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti_hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok lefolytatásával kapcsolatos releváns információk továbbítása.

(3) A segítségnyújtás iránti megkeresésnek minden szükséges információt tartalmaznia kell, beleértve a megkeresés célját és okait. A kicserélt információk kizárólag a megkeresésben meghatározott célra használhatók fel.

(4) A megkeresett felügyeleti_hatóság csak abban az esetben tagadhatja meg a megkeresés teljesítését, ha:

a)	a megkeresés tárgyát vagy a kért intézkedés végrehajtását illetően nem jogosult eljárni; vagy

b)	a megkeresés teljesítése sértené e rendeletet, az uniós vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti_hatóság tartozik.

(5) A megkeresett felügyeleti_hatóság tájékoztatja a megkereső felügyeleti_hatóságot az ügyben elért eredményekről vagy adott esetben a megkeresés teljesítése érdekében hozott intézkedésekkel kapcsolatos fejleményekről. Ha a felügyeleti_hatóság megtagadja a megkeresés teljesítését, ezt köteles a (4) bekezdésnek megfelelően indokolni.

(6) A megkeresett felügyeleti_hatóságok főszabályként elektronikus úton, egységes formátum alkalmazásával továbbítják a másik felügyeleti_hatóság által kért információt.

(7) A megkeresett felügyeleti_hatóság által a kölcsönös segítségnyújtás iránti megkeresés nyomán tett intézkedések térítésmentesek. A felügyeleti_hatóságok megállapodhatnak más felügyeleti_hatóságokkal a rendkívüli körülmények közötti kölcsönös segítségnyújtásból eredő különleges költségek kölcsönös megtérítésére vonatkozó szabályokról.

(8) Ha egy felügyeleti_hatóság a másik felügyeleti_hatóság megkeresésének kézhezvételétől számított egy hónapon belül nem adja meg az e cikk (5) bekezdésében említett információkat, a megkereső felügyeleti_hatóság az 55. cikk (1) bekezdésével összhangban a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban.

(9) A Bizottság végrehajtási jogi aktusok révén meghatározhatja az e cikk szerinti kölcsönös segítségnyújtás formáját és eljárásait, valamint a felügyeleti_hatóságok közötti, illetve a felügyeleti_hatóságok és a Testület közötti elektronikus információcserére vonatkozó szabályokat, különösen az e cikk (6) bekezdésében említett egységes formátumot. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

whereas

(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes_adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni.
A természetes személyeknek a személyes_adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell.
A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes_adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges.
A 95/46/EK irányelvet végrehajtó általános és horizontális adatvédelmi jogszabályokhoz kapcsolódóan a tagállamok számos ágazatspecifikus jogszabályt hoztak azokon a területeken, ahol konkrétabb rendelkezésekre van szükség.
Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes_adatok különleges kategóriáira („különleges adatok”) vonatkozókat is.
Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes_adatok kezelése.

- = -

(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes_adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.
Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes_adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket.
A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus_adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket.
Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében.
Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében.
A személyes_adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

- = -

(52) A személyes_adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés szintén megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor a személyes_adatok és más alapvető jogok védelme érdekében, ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén, a nyugdíjakat is beleértve, valamint a népegészség-védelem, a nyomonkövetési és riasztási célok, a fertőző betegségek és más súlyos egészségügyi veszélyek megelőzése, valamint az ellenük való védekezés érdekében végzett személyesadat-kezelés esetében.
Ezekre az eltérésekre egészségügyi célokból – köztük a népegészségüggyel és az egészségügyi szolgáltatások irányításával kapcsolatos célokból – kerülhet sor, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból.
Eltérés alapján az ilyen személyes_adatok kezelése olyan esetekben lehetséges, amikor az jogi igények előterjesztése, érvényesítése, illetve védelme céljából szükséges, függetlenül attól, hogy erre bírósági eljárás, közigazgatási, vagy egyéb, nem bírósági útra tatozó eljárás keretében kerül-e sor.

- = -

(53) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes_adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános országos és helyi felügyelete, továbbá az egészségügyi és szociális ellátás, a határokon átnyúló egészségügyi ellátás, valamint a népegészség-védelem folytonosságának biztosítása, nyomonkövetési és riasztási célok, a közérdekű archiválás céljából, tudományos és történelmi kutatási vagy statisztikai célból közérdekű célt szolgáló uniós vagy tagállami jog alapján, illetve a népegészség területén közérdekből készített tanulmányok céljából.
Ebből kifolyólag a sajátos adatkezelési szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni az egészségügyi személyes_adatok különleges kategóriáinak kezelésére vonatkozóan, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik.
Az uniós vagy tagállami jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes_adatainak védelmére irányulnak.
A tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.
Ez azonban nem akadályozhatja a személyes_adatok Unión belüli szabad áramlását azokban az esetekben, amikor az említett feltételek az ilyen adatok határokon átnyúló kezelésére vonatkoznak.

- = -

(54) A népegészség területén közérdekből szükséges lehet a személyes_adatok különleges kategóriáinak az_érintett_hozzájárulása nélkül történő kezelése.
Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében, megfelelő és célzott intézkedéseket kell hozni.
Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben (11) meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok.
Az egészségügyi_adatok ilyen közérdekű kezelése nem eredményezheti a személyes_adatok más célokból harmadik személyek, így munkáltatók, vagy biztosítók és bankok általi kezelését.

- = -

(80) Ha az Unióban tartózkodó érintettek személyes_adatait az Unióban tevékenységi hellyel nem rendelkező olyan adatkezelő vagy adatfeldolgozó kezeli, amelynek az adatkezelési tevékenysége termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Unión belüli kínálásához – függetlenül attól, hogy az érintetteknek fizetniük kell-e azokért – vagy az ilyen érintettek Unión belüli magatartásának a megfigyeléséhez kapcsolódik, az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, kivéve, ha az általa végzett adatkezelés alkalmi jellegű, nem terjed ki a személyes_adatok különleges kategóriáinak, illetve a büntetőjogi felelősség megállapításával és bűncselekményekkel kapcsolatos személyes_adatoknak nagy számban történő kezelésére, továbbá a jellegét, hatókörét, körülményeit és céljait tekintve valószínűsíthetően nem jelent kockázatot az érintettek jogaira és szabadságaira nézve, illetve ha az adatkezelő közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv.
A képviselő az adatkezelő vagy az adatfeldolgozó nevében jár el, és e minőségében bármelyik felügyeleti_hatóság megkeresheti.
Az adatkezelő vagy az adatfeldolgozó írásbeli megbízás útján kifejezetten kijelöli a képviselőt arra, hogy nevében az e rendelet értelmében fennálló kötelezettségei tekintetében eljárjon.
A képviselő kijelölése nem érinti az adatkezelőre, illetve adatfeldolgozóra e rendelet értelmében háruló hatásköröket és felelősséget.
A képviselő feladatait az adatkezelőtől vagy az adatfeldolgozótól kapott – és ideértve az illetékes felügyeleti_hatóságokkal az e rendeletnek való megfelelés biztosítása érdekében tett bármely lépés tekintetében való együttműködést is előíró – megbízással összhangban látja el.
Meg nem felelés esetén, a kijelölt képviselővel szemben az adatkezelő vagy az adatfeldolgozó kikényszerítési eljárásokat indíthat.

- = -

(91) Ez különösen vonatkozik egyrészt azokra a nagymértékű adatkezelési műveletekre, amelyek jelentős mennyiségű személyes_adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehet, és amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve, különösen, ha az említett műveletek megnehezítik az érintettek számára, hogy a jogaikat gyakorolják.
Adatvédelmi hatásvizsgálatot kell végezni továbbá, amikor az a személyes_adatkezelés célja, hogy konkrét természetes személyekkel kapcsolatban döntést lehessen hozni azt követően, hogy elvégzik a természetes személyek személyes jellemzőinek szisztematikus és kiterjedt értékelését az említett adatokon alapuló profilalkotás alapján, illetve a személyes_adatok különleges kategóriáira, a biometrikus_adatokra vagy a büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelését követően.
Az adatvédelmi hatásvizsgálatok elvégzése a nyilvános helyek nagymértékű megfigyelése esetében szintén követelmény, különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre, valamint az olyan egyéb műveletek esetében is, amelyeknél az illetékes felügyeleti_hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek, vagy mivel az említett műveletekre szisztematikusan és nagy számban kerül sor.
A személyes_adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes_adataira vonatkozik.
Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.

- = -

(97) Ha az adatkezelést közhatalmi szerv végzi – kivéve a bíróságokat és az egyéb, független igazságügyi hatóságokat, amikor azok igazságszolgáltatási feladataik körében járnak el –, illetve ha az adatkezelést a magánszektorban működő olyan adatkezelő végzi, amelynek fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek nagymértékű, rendszeres és szisztematikus nyomon követését teszik szükségessé, vagy ha az adatkezelő vagy az adatfeldolgozó alaptevékenysége során a személyes_adatok különleges kategóriáit és a büntetőjogi felelősség megállapítására vonatkozó határozatokhoz és bűncselekményekhez kapcsolódó adatokat nagy számban kezel, az adatkezelőt vagy az adatfeldolgozót az e rendeletnek való belső megfelelés ellenőrzésében egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti.
A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes_adatok kezelése nem.
A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes_adatok tekintetében megkövetelt védelem alapján kell meghatározni.
Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.

- = -

dal 2004 diritto e informatica