interactive GDPR 2016/0679 HU

„ személyes_adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„ adatkezelés”: a személyes_adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.	„az adatkezelés korlátozása”: a tárolt személyes_adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„ profilalkotás”: személyes_adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes_adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

„ álnevesítés”: a személyes_adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes_adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes_adatot nem lehet kapcsolni;

6.	„ nyilvántartási_rendszer”: a személyes_adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„ adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes_adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.	„ adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes_adatokat kezel;

„ címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes_adatot közlik, függetlenül attól, hogy harmadik_fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes_adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10.

„ harmadik_fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes_adatok kezelésére felhatalmazást kaptak;

11.

„ az_érintett_hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes_adatok kezeléséhez;

12.	„ adatvédelmi_incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13.

„ genetikai_adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes_adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

14.

„ biometrikus_adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes_adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

15.	„ egészségügyi_adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes_adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16.

„ tevékenységi_központ”:

az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi_központnak tekinteni;

az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

17.

„ képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

18.	„ vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19.	„ vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20.

„ kötelező_erejű_vállalati_szabályok”: a személyes_adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes_adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

21.	„ felügyeleti_hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

22.

„érintett felügyeleti_hatóság”: az a felügyeleti_hatóság, amelyet a személyes_adatok kezelése a következő okok valamelyike alapján érint:

a)	az adatkezelő vagy az adatfeldolgozó az említett felügyeleti_hatóság tagállamának területén rendelkezik tevékenységi hellyel;

b)	az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti_hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

c)	panaszt nyújtottak be az említett felügyeleti_hatósághoz;

23.

„ személyes_adatok határokon átnyúló adatkezelése”:

a)	személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

24.

„ releváns_és_megalapozott_kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes_adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

25.	„ az_információs_társadalommal_összefüggő_szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26.	„ nemzetközi_szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

5. cikk

A személyes_adatok kezelésére vonatkozó elvek

(1) A személyes_adatok:

a)	kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c)	az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d)	pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes_adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes_adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes_adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes_adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes_adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

7. cikk

A hozzájárulás feltételei

(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes_adatainak kezeléséhez hozzájárult.

(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes_adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.

9. cikk

A személyes_adatok különleges kategóriáinak kezelése

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

10. cikk

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes_adatok kezelése

A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes_adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv adatkezelésében történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.

11. cikk

Azonosítást nem igénylő adatkezelés

(1) Ha azok a célok, amelyekből az adatkezelő a személyes_adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

(2) Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 15–20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

III. FEJEZET

Az érintett jogai

1. szakasz

Átláthatóság és intézkedések

12. cikk

Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes_adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2) Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15–22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti_hatóságnál, és élhet bírósági jogorvoslati jogával.

(5) A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a)	észszerű összegű díjat számíthat fel, vagy

b)	megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(6) A 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(7) Az érintett részére a 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.

(8) A Bizottság felhatalmazást kap arra, hogy a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározása céljából.

2. szakasz

Tájékoztatás és a személyes_adatokhoz való hozzáférés

13. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat az érintettől gyűjtik

(1) Ha az érintettre vonatkozó személyes_adatokat az érintettől gyűjtik, az adatkezelő a személyes_adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik_fél jogos érdekei;

e)	adott esetben a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes_adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a)	a személyes_adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b)	az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d)	a felügyeleti_hatósághoz címzett panasz benyújtásának jogáról;

e)	arról, hogy a személyes_adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes_adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Ha az adatkezelő a személyes_adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

14. cikk

Rendelkezésre bocsátandó információk, ha a személyes_adatokat nem az érintettől szerezték meg

(1) Ha a személyes_adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes_adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	az érintett személyes_adatok kategóriái;

e)	a személyes_adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi_szervezet részére kívánja továbbítani a személyes_adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a)	a személyes_adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)	ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik_fél jogos érdekeiről;

c)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes_adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e)	a valamely felügyeleti_hatósághoz címzett panasz benyújtásának joga;

f)	a személyes_adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

a)	a személyes_adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes_adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b)	ha a személyes_adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c)	ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes_adatok első alkalommal való közlésekor.

(4) Ha az adatkezelő a személyes_adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

a)	az érintett már rendelkezik az információkkal;

a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c)	az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)	a személyes_adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

15. cikk

Az érintett hozzáférési joga

(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes_adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes_adatokhoz és a következő információkhoz hozzáférést kapjon:

a)	az adatkezelés céljai;

b)	az érintett személyes_adatok kategóriái;

c)	azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes_adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi_szervezeteket;

d)	adott esetben a személyes_adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes_adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes_adatok kezelése ellen;

f)	a valamely felügyeleti_hatósághoz címzett panasz benyújtásának joga;

g)	ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2) Ha személyes_adatoknak harmadik országba vagy nemzetközi_szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

(3) Az adatkezelő az adatkezelés tárgyát képező személyes_adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

3. szakasz

Helyesbítés és törlés

17. cikk

A törléshez való jog („az elfeledtetéshez való jog”)

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes_adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes_adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)	a személyes_adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)	az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)	az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)	a személyes_adatokat jogellenesen kezelték;

e)	a személyes_adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)	a személyes_adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2) Ha az adatkezelő nyilvánosságra hozta a személyes_adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes_adatokra mutató linkek vagy e személyes_adatok másolatának, illetve másodpéldányának törlését.

(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

a)	a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b)	a személyes_adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c)	a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d)	a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e)	jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

18. cikk

Az adatkezelés korlátozásához való jog

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a)	az érintett vitatja a személyes_adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes_adatok pontosságát;

b)	az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c)	az adatkezelőnek már nincs szüksége a személyes_adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d)	az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes_adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

19. cikk

A személyes_adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes_adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

22. cikk

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

a)	az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b)	meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c)	az érintett kifejezett hozzájárulásán alapul.

(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes_adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

5. szakasz

Korlátozások

26. cikk

Közös adatkezelők

(1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.

28. cikk

Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes_adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a személyes_adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes_adatoknak valamely harmadik ország vagy nemzetközi_szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)	biztosítja azt, hogy a személyes_adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)	meghozza a 32. cikkben előírt intézkedéseket;

d)	tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;

e)	az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)	segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)	az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes_adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes_adatok tárolását írja elő;

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.

(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.

(7) A Bizottság – a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8) A felügyeleti_hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

30. cikk

Az adatkezelési tevékenységek nyilvántartása

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatkezelés céljai;

c)	az érintettek kategóriáinak, valamint a személyes_adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes_adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi_szervezeteket;

adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f)	ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b)	az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c)	adott esetben a személyes_adatok harmadik országba vagy nemzetközi_szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi_szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;

d)	ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti_hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes_adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes_adatoknak a kezelésére.

32. cikk

Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a)	a személyes_adatok álnevesítését és titkosítását;

b)	a személyes_adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c)	fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes_adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d)	az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3) Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.

(4) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes_adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

33. cikk

Az adatvédelmi_incidens bejelentése a felügyeleti_hatóságnak

(1) Az adatvédelmi_incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti_hatóságnak, kivéve, ha az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi_incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)	ismertetni kell az adatvédelmi_incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b)	közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)	ismertetni kell az adatvédelmi_incidensből eredő, valószínűsíthető következményeket;

d)	ismertetni kell az adatkezelő által az adatvédelmi_incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi_incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi_incidenseket, feltüntetve az adatvédelmi_incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti_hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

37. cikk

Az adatvédelmi tisztviselő kijelölése

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)	az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)	az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes_adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

(2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

(3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(4) Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti_hatósággal közli.

40. cikk

Magatartási kódexek

(1) A tagállamok, a felügyeleti_hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és közép vállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a)	tisztességes és átlátható adatkezelés;

b)	az adatkezelők jogos érdekei meghatározott körülmények között;

c)	az adatgyűjtés;

d)	személyes_adatok álnevesítése;

e)	a nyilvánosság és az érintettek tájékoztatása;

f)	az érintettek jogainak gyakorlása;

g)	a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h)	a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i)	a felügyeleti_hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi_incidensekről;

j)	a személyes_adatok harmadik országok vagy nemzetközi_szervezetek részére történő továbbítása; vagy

k)	az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(4) Az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság feladat- és hatáskörének sérelme nélkül az e cikk (2) bekezdése szerinti magatartási kódexek olyan mechanizmusokat határoznak meg, amelyek lehetővé teszik a 41. cikk (1) bekezdésében említett szervezet számára, hogy elvégezze annak kötelező ellenőrzését, hogy a kódex alkalmazását vállaló adatkezelők vagy adatfeldolgozók megfelelnek-e a kódex rendelkezéseinek.

(5) Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti_hatóságnak. A felügyeleti_hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

(6) Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti_hatóság a kódexet nyilvántartásba veszi és közzéteszi.

(7) Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, az 55. cikk alapján illetékes felügyeleti_hatóság a kódextervezet, a módosítás vagy a kiegészítés jóváhagyását megelőzően a 63. cikkben említett eljárás keretében benyújtja azt a Testületnek, amely véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van-e ezen rendelettel, illetve az e cikk (3) bekezdésében említett esetben arról, hogy megfelelő garanciákat nyújt-e.

(8) Ha a (7) bekezdésben említett vélemény megerősíti, hogy a magatartási kódex tervezete, a módosítás vagy a kiegészítés összhangban van e rendelettel, illetve a (3) bekezdésben említett esetben azt, hogy megfelelő garanciákat nyújt, a Testület benyújtja véleményét a Bizottságnak.

(9) A Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a hozzá az e cikk (8) bekezdése szerint benyújtott, jóváhagyott magatartási kódex, módosítás vagy kiegészítés az Unió területén általános érvénnyel rendelkezik. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

(10) A Bizottság biztosítja azon jóváhagyott kódexek megfelelő nyilvánosságát, amelyek esetében a (9) bekezdéssel összhangban úgy határozott, hogy általánosan érvényesek.

(11) A Testület valamennyi jóváhagyott magatartási kódexet, módosítást és kiegészítést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

41. cikk

A jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése

(1) Az 57. vagy az 58. cikk alapján illetékes felügyeleti_hatóság feladat- és hatásköreinek sérelme nélkül a 40. cikk szerinti magatartási kódexnek való megfelelés ellenőrzését olyan szervezet végezheti, amely a kódex tárgya tekintetében megfelelő szakértelemmel rendelkezik, és amelyet az illetékes felügyeleti_hatóság erre akkreditál.

(2) Az (1) bekezdésben említett szervezetet a magatartási kódexnek való megfelelés ellenőrzésére abban az esetben lehet akkreditálni, ha a szervezet:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a kódex tárgyában szakértelemmel bír;

létrehozott olyan eljárásokat, amelyek révén meg tudja állapítani, hogy az érintett adatkezelők és adatfeldolgozók alkalmasak-e a kódex alkalmazására, ellenőrizni tudja, hogy az érintett adatkezelők és adatfeldolgozók betartják-e a kódex rendelkezéseit, és rendszeres időközönként felül tudja vizsgálni a kódex működését;

c)	létrehozott olyan eljárásokat és struktúrákat, amelyek révén kezelni tudja a kódex megsértésével vagy a kódex adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá teszi; és

d)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) A 63. cikkben említett, egységességi mechanizmusnak megfelelően az illetékes felügyeleti_hatóság az e cikk (1) bekezdésében említett szervezet akkreditációjával kapcsolatos szempontok tervezetét a Testületnek benyújtja.

(4) Az illetékes felügyeleti_hatóság feladat- és hatásköreinek, valamint a VIII. fejezet rendelkezéseinek sérelme nélkül az e cikk (1) bekezdésében említett szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti_hatóságot tájékoztatja.

(5) Az illetékes felügyeleti_hatóság visszavonja az (1) bekezdésben említett szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a szerv intézkedései megsértik e rendeletet.

(6) Ez a cikk nem alkalmazandó a közhatalmi szervek és közfeladatot ellátó egyéb szervek által végzett adatkezelésre.

42. cikk

Tanúsítás

(1) A tagállamok, a felügyeleti_hatóságok, a Testület, valamint a Bizottság – különösen uniós szinten – ösztönzik olyan adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek e rendelet előírásainak. Figyelembe kell venni a mikro-, kis- és közép vállalkozások sajátos igényeit.

(2) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett az (5) bekezdésnek megfelelően jóváhagyott adatvédelmi tanúsítási mechanizmusokat, bélyegzőket vagy jelöléseket annak bizonyítására is létre lehet hozni, hogy a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók a 46. cikk (2) bekezdésének f) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

(3) A tanúsításnak önkéntesnek kell lennie, és átlátható eljáráson keresztül kell elérhetővé tenni.

(4) Az e cikk szerinti tanúsítás nem csökkenti az adatkezelő vagy adatfeldolgozó e rendelet betartásáért való felelősségét, és nem sérti az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóságok feladat- és hatáskörét.

(5) Az e cikk szerinti tanúsítványt a 43. cikkben említett tanúsító szervezetek vagy az illetékes felügyeleti_hatóságok állítják ki, az illetékes felügyeleti_hatóság által az 58. cikk (3) bekezdésének, vagy a Testület által a 63. cikknek megfelelően jóváhagyott szempontok alapján. Ha a szempontokat a Testület hagyja jóvá, ennek eredményeként közös tanúsítvány, az európai adatvédelmi bélyegző állítható ki.

(6) Az adatkezelő vagy adatfeldolgozó, amely az adatkezelési tevékenységét aláveti a tanúsítási mechanizmusnak, a 43. cikkben említett tanúsító szervezet vagy adott esetben az illetékes felügyeleti_hatóság részére minden olyan információt megad és minden olyan adatkezelési tevékenységéhez hozzáférést biztosít, amely a tanúsítási eljárás lefolytatásához szükséges.

(7) Az adatkezelő vagy adatfeldolgozó részére a tanúsítványt legfeljebb hároméves időtartamra lehet kiállítani, amely azonos feltételek mellett a tanúsítvány megújítható, feltéve, hogy a vonatkozó követelmények továbbra is teljesülnek. Adott esetben, ha a tanúsításra vonatkozó követelmények nem vagy már nem teljesülnek, a 43. cikkben említett tanúsító szervezet vagy az illetékes felügyeleti_hatóság a tanúsítványt visszavonja.

(8) A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt, illetve jelölést egy nyilvántartásban állítja össze, és megfelelő módon nyilvánosan elérhetővé teszi őket.

43. cikk

Tanúsító szervezetek

(1) Az illetékes felügyeleti_hatóság 57. és 58. cikk alapján fennálló feladat- és hatásköreinek sérelme nélkül a tanúsítvány kiállítását és megújítását – a felügyeleti_hatóság a célból való tájékoztatását követően, hogy az szükség esetén gyakorolhassa az 58. cikk (2) bekezdésének h) pontja szerinti hatáskörét – olyan tanúsító szervezet végzi, amely az adatvédelem terén megfelelő szakértelemmel rendelkezik. A tagállamok biztosítják, hogy e tanúsító szervezetek akkreditációját az alábbiak közül egy vagy mindkettő elvégezte:

a)	az a felügyeleti_hatóság, amelyik az 55. vagy az 56. cikk alapján illetékes;

b)	az EN-ISO/IEC 17065/2012 szabványnak megfelelően, a 765/2008/EK európai parlamenti és tanácsi rendelettel (20), valamint az 55. vagy az 56. cikk alapján illetékes a felügyeleti_hatóság által megállapított kiegészítő követelményekkel összhangban megnevezett nemzeti akkreditáló testület.

(2) Az (1) bekezdésben említett tanúsító szervezetet kizárólag abban az esetben lehet az említett bekezdéssel összhangban akkreditálni, ha:

a)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltatott arra nézve, hogy független, és a tanúsítás tárgyában szakértelemmel bír;

b)	vállalja, hogy tiszteletben tartja a 42. cikk (5) bekezdésében említett, az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság, illetve a 63. cikknek megfelelően a Testület által jóváhagyott szempontokat;

c)	eljárásokat hozott létre az adatvédelmi tanúsítványok, bélyegzők, illetve jelölések kibocsátására, rendszeres időközönkénti felülvizsgálatára és visszavonására;

olyan eljárásokat és struktúrákat hozott létre, amelyek révén kezelni tudja a tanúsítvánnyal kapcsolatos jogsértésekkel vagy annak az adatkezelő vagy adatfeldolgozó általi alkalmazásával kapcsolatos panaszokat, és ezeket az eljárásokat és struktúrákat az érintettek és a nyilvánosság számára átláthatóvá tudja tenni; és

e)	az illetékes felügyeleti_hatóság számára kielégítő bizonyítékot szolgáltat arra nézve, hogy feladataival kapcsolatban nem áll fenn összeférhetetlenség.

(3) Az e cikk (1) és (2) bekezdésében említett tanúsító szervezet akkreditálását az 55. vagy az 56. cikk alapján illetékes felügyeleti_hatóság által, illetve az 57. cikknek megfelelően a Testület által jóváhagyott szempontok alapján kell elvégezni. Ha az akkreditálásra az e cikk (1) bekezdése b) pontja alapján kerül sor, ezek a követelmények kiegészítik a 765/2008/EK rendeletben előirányzott követelményeket és a tanúsító szervek módszereire és eljárásaira vonatkozó technikai szabályokat.

(4) Az adatkezelő vagy adatfeldolgozó e rendelet betartására vonatkozó felelősségének sérelme nélkül a tanúsítás vagy annak visszavonása alapjául szolgáló megfelelő vizsgálat lefolytatásáért az (1) bekezdésben említett tanúsító szervezet felelős. Az akkreditációt legfeljebb ötéves időtartamra lehet megadni, és az azonos feltételek mellett mindaddig megújítható, feltéve hogy az adott tanúsító szervezet teljesíti az e cikkben meghatározott követelményeket.

(5) Az (1) bekezdésben említett tanúsító szervezet közli az illetékes felügyeleti_hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait.

(6) Az e cikk (3) bekezdésében említett követelményeket és a 42. cikk (5) bekezdésében említett szempontokat a felügyeleti_hatóság könnyen hozzáférhető formában közzéteszi. A felügyeleti_hatóságok ezeket a követelményeket és szempontokat a Testület részére is továbbítják. A Testület valamennyi tanúsítási mechanizmust és adatvédelmi bélyegzőt egy nyilvántartásban állítja össze, és azokat megfelelő módon nyilvánosan elérhetővé teszi.

(7) A VIII. fejezet sérelme nélkül az illetékes felügyeleti_hatóság vagy a nemzeti akkreditáló testület visszavonja az e cikk (1) bekezdésében említett tanúsító szervezet akkreditációját, ha az az akkreditációs feltételeknek nem vagy már nem felel meg, vagy ha a tanúsító szervezet intézkedései megsértik e rendeletet.

(8) A Bizottság felhatalmazást kap arra, hogy a 42. cikk (1) bekezdésében említett adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása érdekében a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el.

(9) A Bizottság végrehajtási jogi aktusok elfogadása révén a tanúsítási mechanizmusokra és az adatvédelmi bélyegzőkre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és a bélyegzők, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

V. FEJEZET

A személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbítása

46. cikk

Megfelelő garanciák alapján történő adattovábbítások

(1) A 45. cikk (3) bekezdése szerinti határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes_adatokat harmadik országba vagy nemzetközi_szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.

(2) A felügyeleti_hatóság külön engedélye nélkül az (1) bekezdés szerinti megfelelő garanciákat az alábbiak jelenthetik:

a)	közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;

b)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok;

c)	a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;

d)	a felügyeleti_hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;

e)	a 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy

f)	a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

(3) Az illetékes felügyeleti_hatóság engedélyével az (1) bekezdésben említett megfelelő garanciákként különösen az alábbiak is szolgálhatnak:

a)	az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi_szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes_adatok címzettje között létrejött szerződéses rendelkezések; vagy

b)	közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.

(4) A felügyeleti_hatóság az e cikk (3) bekezdésében említett esetekben a 63. cikkben említett egységességi mechanizmust alkalmazza.

(5) A valamely tagállam vagy felügyeleti_hatóság által a 95/46/EK irányelv 26. cikkének (2) bekezdése alapján kiadott engedélyek hatályban maradnak mindaddig, amíg azokat szükség esetén a felügyeleti_hatóság nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül. A Bizottság által a 95/46/EK irányelv 26. cikkének (4) bekezdése alapján elfogadott határozatok mindaddig hatályban maradnak, amíg azokat szükség esetén az e cikk (2) bekezdésével összhangban elfogadott bizottsági határozat nem módosítja, nem váltja fel vagy nem helyezi hatályon kívül.

56. cikk

A fő felügyeleti_hatóság illetékessége

(1) Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatóság jogosult fő felügyeleti_hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.

(2) Az (1) bekezdéstől eltérve, minden felügyeleti_hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti_hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti_hatóságot. A fő felügyeleti_hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti_hatósága a fő felügyeleti_hatóságot tájékoztatta.

(4) Ha a fő felügyeleti_hatóság úgy határoz, hogy eljár az ügyben, a 60. cikkben meghatározott eljárást kell alkalmazni. A fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság döntéstervezetet nyújthat be a fő felügyeleti_hatóságnak. A fő felügyeleti_hatóság a 60. cikk (3) bekezdésében említett döntéstervezet elkészítése során a lehető legnagyobb mértékben figyelembe veszi az említett tervezetet.

(5) Abban az esetben, ha a fő felügyeleti_hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti_hatóságot tájékoztató felügyeleti_hatóság jár el a 61. és a 62. cikknek megfelelően.

(6) A fő felügyeleti_hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban.

62. cikk

A felügyeleti_hatóságok közös műveletei

(1) A felügyeleti_hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti_hatóságainak tagjai vagy alkalmazottai is részt vesznek.

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti_hatósága jogosult részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdése alapján illetékes felügyeleti_hatóság felkéri az összes szóban forgó tagállam felügyeleti_hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti_hatóság részvételre irányuló megkeresésére.

(3) A felügyeleti_hatóság a tagállami joggal összhangban, valamint a kirendelő felügyeleti_hatóság engedélyével, hatáskört – ideértve a vizsgálati hatáskört is – ruházhat át a kirendelő felügyeleti_hatóság közös műveletben részt vevő tagjaira vagy alkalmazottaira, vagy – amennyiben a fogadó felügyeleti_hatóság tagállamának joga lehetővé teszi –, engedélyezheti a kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai számára, hogy vizsgálati hatáskörüket a kirendelő felügyeleti_hatóság tagállami jogának megfelelően gyakorolják. A vizsgálati hatáskört kizárólag a fogadó felügyeleti_hatóság tagjainak vagy alkalmazottainak irányítása mellett és jelenlétében lehet gyakorolni. A kirendelő felügyeleti_hatóság tagjai vagy alkalmazottai a fogadó felügyeleti_hatóság tagállami jogának hatálya alá tartoznak.

(4) Ha egy kirendelő felügyeleti_hatóság alkalmazottai az (1) bekezdésnek megfelelően egy másik tagállamban végeznek tevékenységet, cselekedeteikért, ideértve a tevékenységük során általuk okozott károkat is, a fogadó felügyeleti_hatóság tagállama viseli a felelősséget a tevékenységvégzés helye szerinti tagállam jogának megfelelően.

(5) A károkozás helye szerinti tagállam a kárt ugyanolyan feltételek mellett téríti meg, mintha azt a saját alkalmazottai okozták volna. Azon kirendelő felügyeleti_hatóság tagállama, amelynek alkalmazottai egy másik tagállam területén valamely személynek kárt okoztak, teljes mértékben megtéríti ennek a másik tagállamnak azt az összeget, amelyet az a kártérítésre jogosult személynek kifizetett.

(6) A harmadik felekkel szembeni jogai gyakorlásának sérelme nélkül és az (5) bekezdésben foglaltak kivételével, az (1) bekezdésben meghatározott esetben minden tagállam eltekint attól, hogy a (4) bekezdésben említett károk megtérítését követelje egy másik tagállamtól.

(7) Ha egy felügyeleti_hatóság egy tervezett közös művelet esetében, egy hónapon belül nem tesz eleget az e cikk (2) bekezdése második mondatában foglalt kötelezettségnek, a többi felügyeleti_hatóság az 55. cikkel összhangban a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében véleményt bocsát ki vagy kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban.

2. szakasz

Egységesség

64. cikk

Az Európai Adatvédelmi Testület véleménye

(1) A Testület véleményt bocsát ki, ha valamely illetékes felügyeleti_hatóság az alábbiakban felsorolt intézkedések valamelyikének elfogadását tervezi. Ebből a célból az illetékes felügyeleti_hatóságnak közölnie kell a döntéstervezetet a Testülettel, ha a döntés:

a)	olyan adatkezelési műveletek jegyzékének az elfogadására irányul, amelyekre a 35. cikk (4) bekezdése szerint vonatkozik az adatvédelmi hatásvizsgálat követelménye;

b)	a 40. cikk (7) bekezdése szerint azon kérdésre vonatkozik, hogy valamely magatartási kódex tervezete, illetve valamely magatartási kódex módosítása vagy bővítése összhangban van-e ezzel a rendelettel;

c)	a 41. cikk (3) bekezdése szerint valamely szervezet, illetve a 43 cikk (3) bekezdése szerint valamely tanúsító szervezet akkreditációjára vonatkozó szempontok jóváhagyására irányul;

d)	a 46. cikk (2) bekezdésének d) pontjában és a 28. cikk (8) bekezdésében említett általános adatvédelmi kikötések meghatározására irányul;

e)	a 46. cikk (3) bekezdésének a) pontjában említett szerződéses rendelkezések engedélyezésére irányul; vagy

f)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok jóváhagyására irányul.

(2) Bármely felügyeleti_hatóság, a Testület elnöke vagy a Bizottság kérheti, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti_hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel.

(4) A felügyeleti_hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti_hatóságok véleményét.

(5) A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja:

a)	egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és

b)	tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti_hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz.

(6) Az illetékes felügyeleti_hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az (1) bekezdésben említett döntéstervezetét.

(7) Az (1) bekezdésben említett felügyeleti_hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet.

(8) Ha az érintett felügyeleti_hatóság az e cikk (7) bekezdésében említett határidőn belül, a releváns indokok megadásával arról tájékoztatja a Testület elnökét, hogy egészében vagy részben nem kíván a Testület véleménye alapján eljárni, akkor a 65. cikk (1) bekezdését kell alkalmazni.

70. cikk

Az Európai Adatvédelmi Testület feladatai

(1) A Testület biztosítja e rendelet egységes alkalmazását. Ennek érdekében a Testület saját kezdeményezésére vagy adott esetben a Bizottság kérésére ellátja különösen a következő feladatokat:

a)	ellenőrzi és biztosítja e rendelet helyes alkalmazását a 64. és 65. cikkben meghatározott esetekben, a nemzeti felügyeleti_hatóságok feladatainak sérelme nélkül;

b)	tanácsot ad a Bizottságnak a személyes_adatok Unión belüli védelmével kapcsolatos kérdésekben, ideértve az e rendelet módosítására irányuló javaslatokat is;

c)	tanácsot ad a Bizottságnak az adatkezelők, az adatfeldolgozók és a felügyeleti_hatóságok között a kötelező_erejű_vállalati_szabályokkal kapcsolatban folytatott információcsere formátumára és eljárásaira vonatkozóan;

iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatokra mutató linkeknek, az ilyen adatok másolatainak vagy másodpéldányainak a nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő törlésére vonatkozóan, a 17. cikk (2) bekezdésben említettek szerint;

e)	saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja az e rendelet alkalmazását érintő kérdéseket, valamint e rendelet egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki;

f)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 22. cikk (2) bekezdése szerinti profilalkotáson alapuló döntéshozatalra vonatkozó szempontok és feltételek további pontosítása érdekében;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a 33. cikk (1) és (2) bekezdésében említett adatvédelmi_incidens és indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelőnek vagy az adatfeldolgozónak be kell jelentenie az adatvédelmi_incidenst;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi_incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a 34. cikk (1) bekezdésében említettek szerint;

e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az adatkezelők, illetve az adatfeldolgozók által követett, a kötelező_erejű_vállalati_szabályokon alapuló, személyes_adatok továbbítására vonatkozó, a 47. cikkben említett szempontok és követelmények, valamint az érintettek személyes_adatainak védelmét biztosítani hivatott ugyanazon cikkben említett egyéb szükséges követelmények további pontosítása céljából;

j)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki a személyes_adatoknak a 49. cikk (1) bekezdése alapján történő továbbítására vonatkozó szempontok és előírások további pontosítása céljából;

k)	iránymutatásokat dolgoz ki a felügyeleti_hatóságok számára az 58. cikk (1), (2) és (3) bekezdésében említett intézkedések alkalmazására, valamint a 83. cikk szerinti közigazgatási bírságok megállapítására vonatkozóan;

l)	felülvizsgálja az e), illetve f) pontban említett iránymutatások, ajánlások és legjobb gyakorlatok gyakorlati alkalmazását;

m)	e bekezdés e) pontjával összhangban iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki az 54. cikk (2) bekezdésben említett, a természetes személyek által e rendelet megsértését illetően tett bejelentésekre vonatkozó közös eljárások megállapítása érdekében,;

n)	ösztönzi a magatartási kódexek kidolgozását, valamint az adatvédelmi tanúsítási mechanizmusok és az adatvédelmi bélyegzők, illetve jelölések létrehozását a 40. és 42. cikkben említettek szerint;

a 43. cikknek megfelelően elvégzi a tanúsító szervezetek akkreditációját és annak rendszeres felülvizsgálatát, nyilvános nyilvántartást vezet egyrészt a 43. cikk (6) bekezdése szerint az akkreditált szervezetekről, másrészt a 42. cikk (7) bekezdése szerint a harmadik országban tevékenységi hellyel rendelkező akkreditált adatkezelőkről és adatfeldolgozókról;

p)	részletesen meghatározza a 43. cikk (3) bekezdésében említett követelményeket a tanúsító szervezetek 42. cikk szerinti akkreditációja céljából;

q)	véleményezi a Bizottság számára a 43. cikk (8) bekezdésében említett tanúsítási követelményeket;

r)	véleményezi a Bizottság számára a 12. cikk (7) bekezdésében említett ikonokat;

véleményt bocsát ki a Bizottság számára a valamely harmadik országban vagy nemzetközi_szervezetben biztosított védelmi szint megfelelőségének megítéléséhez, ideértve annak megállapítását is, ha a harmadik ország, a harmadik ország valamely területe vagy egy vagy több meghatározott ágazata, vagy a nemzetközi_szervezet már nem biztosít megfelelő védelmi szintet. A Bizottság e célból biztosítja a Testület számára az összes szükséges dokumentációt, köztük a harmadik ország kormányával, a harmadik ország, annak valamely területe vagy meghatározott ágazata tekintetében, illetve a nemzetközi_szervezettel folytatott levélváltást;

az egységességi mechanizmus keretében véleményt bocsát ki a felügyeleti_hatóságok 64 cikk (1) bekezdése szerinti döntéstervezeteiről, a 64. cikk (2) bekezdésének megfelelően elé terjesztett ügyekről,, valamint a 65. cikk értelmében – ideértve a 66. cikkben említett eseteket is – kötelező erejű döntéseket hoz;

u)	előmozdítja az együttműködést, valamint az információk és gyakorlatok hatékony két- vagy többoldalú cseréjét a felügyeleti_hatóságok között;

v)	támogatja a közös képzési programokat, továbbá megkönnyíti a csereprogramokat a felügyeleti_hatóságok között, valamint adott esetben harmadik országok felügyeleti_hatóságaival vagy nemzetközi_szervezetekkel;

w)	az adatvédelmi felügyeleti_hatóságok körében világszerte előmozdítja az adatvédelmi jogszabályokra és gyakorlatokra vonatkozó ismeretek és dokumentáció cseréjét;

x)	véleményt bocsát ki a 40. cikk (9) bekezdése szerinti, uniós szinten kidolgozott magatartási kódexekről; és

y)	nyilvánosan hozzáférhető elektronikus nyilvántartást vezet az egységességi mechanizmus keretében kezelt ügyekkel kapcsolatban a felügyeleti_hatóságok és a bíróságok által hozott határozatokról.

(2) A Bizottság, ha tanácsot kér a Testülettől, az ügy sürgősségét figyelembe véve határidőt jelölhet meg.

(3) A Testület továbbítja a véleményeit, iránymutatásait, ajánlásait és legjobb gyakorlatait a Bizottságnak és a 93. cikkben említett bizottságnak, és nyilvánosságra hozza azokat.

(4) A Testület adott esetben konzultál az érintett felekkel, és lehetőséget biztosít számukra, hogy észszerű határidőn belül közöljék észrevételeiket. A Testület, a 76. cikk sérelme nélkül,nyilvánosan elérhetővé teszi a konzultációs eljárás eredményeit.

80. cikk

Az érintettek képviselete

(1) Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes_adataik vonatkozásában biztosított védelme területén tevékenykedik.

(2) A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti_hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes_adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.

81. cikk

Az eljárás felfüggesztése

(1) Ha valamely tagállam illetékes bírósága információval rendelkezik arról, hogy ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, köteles megkeresni e másik tagállam bíróságát, hogy megbizonyosodjon arról, valóban folyamatban van-e ilyen eljárás.

(2) Ha ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, valamennyi olyan illetékes bíróság, amely előtt az eljárás később indult meg, felfüggesztheti az előtte folyó eljárást.

(3) Ha ezen eljárások első fokon vannak folyamatban, valamennyi olyan bíróság, amely előtt az eljárás később indult meg, valamely fél kérelmére joghatóságának hiányát is megállapíthatja, ha az említett eljárásokra az a bíróság, amely előtt elsőként indult meg az eljárás, joghatósággal rendelkezik, és a rá vonatkozó jog az eljárások egyesítését lehetővé teszi.

83. cikk

A közigazgatási bírságok kiszabására vonatkozó általános feltételek

(1) Valamennyi felügyeleti_hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti_hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes_adatok kategóriái;

h)	az, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25-39., a 42. és a 43. cikkben meghatározott kötelezettségek;

b)	a tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek;

c)	az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek;

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

c)	személyes_adatoknak harmadik országbeli címzett vagy nemzetközi_szervezet részére történő továbbítása a 44–49. cikknek megfelelően;

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)	a felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6) A felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti_hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti_hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti_hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti_hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25-ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.

89. cikk

A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések

(1) A személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani.

(2) A személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelése vonatkozásában az uniós vagy a tagállami jog – az e cikk (1) bekezdésében említett feltételekre és garanciákra is figyelemmel – eltérést állapíthat meg a 15., 16., 18. és 21. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják az adott célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(3) A személyes_adatok közérdekű archiválás céljából való kezelése vonatkozásában az uniós vagy a tagállami jog – az e cikk (1) bekezdésében említett feltételekre és garanciákra is figyelemmel – eltérést állapíthat meg a 15., 16., 18., 19., 20. és 21. cikkben említett jogokat illetően, ha e jogok valószínűsíthetően lehetetlenné teszik vagy súlyosan hátráltatják az adott célok elérését, és azok megvalósításához szükség van ilyen eltérésre.

(4) Ha a (2), illetve (3) bekezdésben említett adatkezelés egyidejűleg más célokat is szolgál, az eltérést kizárólag az érintett bekezdésben említett adatkezelési célokra kell alkalmazni.

91. cikk

Egyházak és vallási szervezetek létező adatvédelmi szabályai

(1) Ha egy tagállamban egyház, illetve vallási szervezet vagy közösség e rendelet hatálybalépésének időpontjában átfogó szabályokat alkalmaz a természetes személyek személyes_adatok kezelése tekintetében történő védelme vonatkozásában, e szabályok tovább alkalmazhatók, ha összhangba hozzák őket e rendelettel.

(2) Az e cikk (1) bekezdésének megfelelően átfogó szabályokat alkalmazó egyház vagy vallási szervezet egy független felügyeleti_hatóság ellenőrzése alá tartozik, amely lehet egy külön, e céljra egyedileg kijelölt hatóság is, feltéve hogy megfelel az e rendelet VI. fejezetében megállapított feltételeknek.

X. FEJEZET

Felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok

whereas

(6) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes_adatok védelmét.
A személyes_adatok gyűjtése és megosztása jelentős mértékben megnőtt.
A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes_adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi.
Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes_adatokat.
A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes_adatok Unión belüli szabad áramlását és a személyes_adatok harmadik országok és nemzetközi_szervezetek részére történő továbbítását, biztosítva egyúttal a személyes_adatok magas szintű védelmét.

- = -

(8) Ha e rendelet úgy rendelkezik, hogy a benne foglalt szabályokat tagállami jog által pontosítani, illetve korlátozni lehet, a tagállamok e rendelet egyes elemeit beépíthetik a nemzeti jogukba, ha az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek.

- = -

(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes_adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni.
A természetes személyeknek a személyes_adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell.
A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes_adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges.
A 95/46/EK irányelvet végrehajtó általános és horizontális adatvédelmi jogszabályokhoz kapcsolódóan a tagállamok számos ágazatspecifikus jogszabályt hoztak azokon a területeken, ahol konkrétabb rendelkezésekre van szükség.
Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes_adatok különleges kategóriáira („különleges adatok”) vonatkozókat is.
Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes_adatok kezelése.

- = -

(20) Bár ezt a rendeletet a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell, az uniós, illetve a tagállami jog a személyes_adatok kezelésével összefüggésben a bíróságok és más igazságügyi hatóságok által végzett kezelési műveleteket és eljárásokat pontosabban meghatározhatja.
Annak érdekében, hogy az igazságszolgáltatási feladataik ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a bírói kar függetlensége, a felügyeleti_hatóságok hatásköre nem terjedhet ki a személyes_adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek.
lehetővé kell tenni, hogy az ilyen adatkezelési műveletek felügyeletével a tagállamok igazságügyi rendszerén belül olyan szakosodott szerveket bízzanak meg, amelyek elsősorban biztosítják az e rendeletben foglalt szabályoknak való megfelelést, növelik a bírói kar tudatosságát az e rendelet szerinti kötelezettségeik tekintetében és kezelik az említett adatkezelési tevékenységgel kapcsolatos panaszokat.

- = -

(23) Annak biztosítása érdekében, hogy a természetes személyeket e rendelet szerinti védelemtől ne lehessen megfosztani, helyénvaló, hogy ha az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az említett érintettek részére történő nyújtásához kapcsolódnak, az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó az Unióban tartózkodó érintettek személyes_adatainak kezelését e rendelet betartásával végezze, függetlenül attól, hogy ahhoz társul-e kifizetés.
Annak megállapítása érdekében, hogy az ilyen adatkezelő vagy adatfeldolgozó kínál-e termékeket és szolgáltatásokat Unió területén lévő érintetteknek, meg kell bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő vagy adatfeldolgozó az Unió egy vagy több tagállamában az érintettek számára szolgáltatásokat tervez nyújtani.
Nem tekintendő e szándék nyilvánvaló jelének az a puszta tény, hogy az adatkezelő, adatfeldolgozó vagy valamely közvetítő honlapja, e-mail címe vagy más elérhetősége hozzáférhető az Unió területén, sem pedig az adatkezelő tevékenységi helye szerinti harmadik országban általánosan használt nyelv használata, ha viszont például az adatkezelő olyan nyelvet vagy pénznemet használ, amely egy vagy több tagállamban is általánosan használatos, és így lehetőséget biztosít termékeknek és szolgáltatásoknak az említett másik nyelven történő megrendelésére, vagy az Unióban tartózkodó fogyasztókra vagy felhasználókra tesz utalást, az egyértelműen jelezheti, hogy az adatkezelő említett érintetteknek az Unió területén termékeket vagy szolgáltatásokat szándékozik kínálni.

- = -

(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
Az álnevesített személyes_adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni.
Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja.
Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését.
Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes_adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható.
Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

- = -

(27) Ezt a rendelet nem kell alkalmazni az elhunyt személyekkel kapcsolatos személyes_adatokra.
A tagállamok számára lehetővé kell tenni, hogy az elhunyt személyek személyes_adatainak kezelését szabályozzák.

- = -

(29) Az álnevesítés személyes_adatok kezelése során történő alkalmazásának ösztönzése céljából lehetővé kell tenni az álnevesítésre irányuló intézkedések és az általános elemzés egyidejű alkalmazását egyazon adatkezelő szervezetén belül, amennyiben az adatkezelő meghozta azokat a technikai és szervezési intézkedéseket, amelyek e rendelet az érintett adatkezelés vonatkozásában történő végrehajtásához szükségesek, továbbá biztosítja, hogy az ahhoz szükséges további információkat, amely által a személyes_adatokat egy adott érintetthez lehessen kapcsolni, elkülönítve tárolják.
A személyes_adatokat kezelő adatkezelő megjelöli, hogy ugyanazon a szervezeten belül ki minősül feljogosított személyek.

- = -

(33) Gyakran nem lehetséges a tudományos kutatási célú személyesadat-kezelés célját az adatgyűjtés időpontjában teljes mértékben azonosítani.
Ezért lehetővé kell tenni az érintettek számára, hogy a tudományos kutatás bizonyos területeire vonatkozóan hozzájárulásukat adják az adatkezeléshez, betartva a tudományos kutatásokra vonatkozó, elismert etikai előírásokat.
Az érintettek számára biztosítani kell annak lehetőségét, hogy – annyiban, ha a célok ezt lehetővé teszik – csak egyes kutatási területekre vagy a kutatási projekteknek csupán bizonyos részeire vonatkozóan adjanak hozzájárulást.

- = -

(34) A genetikai_adatot olyan, a természetes személy örökölt vagy szerzett genetikai jellemzőivel összefüggő személyes_adatként kell meghatározni, és amely az érintett személytől vett biológiai minta elemzésének – különösen kromoszómaelemzésnek, illetve a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, vagy az ezekből nyerhető információkkal megegyező információk kinyerését lehetővé tevő bármilyen más elem vizsgálatának – az eredménye.

- = -

(35) Az egészségügyi személyes_adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról.
Ide tartoznak az alábbiak: a természetes személyre vonatkozó olyan személyes_adatok, amelyeket az egyénnek a 2011/24/EU európai parlamenti és tanácsi irányelvben (9) említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel, vagy ilyen szolgáltatások nyújtása során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai_adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

- = -

(38) A gyermekek személyes_adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes_adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal.
Ezt a különös védelmet főként a gyermekek személyes_adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes_adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére.
A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

- = -

(39) A személyes_adatok kezelésének jogszerűnek és tisztességesnek kell lennie.
A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes_adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes_adatokat milyen mértékben kezelik vagy fogják kezelni.
Az átláthatóság elve megköveteli, hogy a személyes_adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes_adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról.
A természetes személyt a személyes_adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
A személyes_adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes_adatok gyűjtésének időpontjában meghatározottaknak kell lenniük.
A személyes_adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni.
Ehhez pedig biztosítani kell különösen azt, hogy a személyes_adatok tárolása a lehető legrövidebb időtartamra korlátozódjon.
Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.
Annak biztosítása érdekében, hogy a személyes_adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.
A pontatlan személyes_adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni.
A személyes_adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes_adatokhoz és a személyes_adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.

- = -

(42) Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult.
Különösen a más ügyben tett írásbeli nyilatkozattal összefüggésben garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette.
A 93/13/EGK tanácsi irányelvnek (10) megfelelően az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket.
Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes_adatok kezelésének céljával.
A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

- = -

(43) Annak biztosítása érdekében, hogy hozzájárulást önkéntesen adták, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes_adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, különösen ha az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt.
A hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes_adatkezelési műveletekhez, noha az adott esetben megfelelő, illetve ha egy – például szolgáltatási – szerződés teljesítését a hozzájárulástól teszik függővé, annak ellenére, hogy a hozzájárulás nem szükséges az a szerződés teljesítéséhez.

- = -

(45) Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie.
Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon.
Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség.
Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni.
E rendeletnek a személyes_adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes_adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes_adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják.
Uniós vagy tagállami jog határozza meg továbbá, hogy a közérdekű vagy közhatalmi feladatot teljesítő adatkezelőnek közhatalmi szervnek vagy egyéb, a közjog hatálya alá tartozó természetes vagy jogi személynek, vagy ha ezt a közérdek egészségügyi célok, mint például a népegészségügyi, illetve szociális védelmi és az egészségügyi szolgálatok irányítása miatt indokolttá teszi, a magánjog hatálya alá tartozó szervnek – például szakmai egyesületnek – kell-e lennie.

- = -

(47) Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes_adatokat közölhetik – vagy valamely harmadik_fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait.
Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.
A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes_adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.
Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes_adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.
Mivel a jogalkotó feladata, hogy jogszabályban határozza meg, hogy a közhatalmi szervek milyen jogalapon kezelhetek személyes_adatokat, az adatkezelő jogszerű érdekét alátámasztó jogalapot nem lehet alkalmazni, a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül.
Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

- = -

(50) A személyes_adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes_adatokat eredetileg gyűjtötték.
Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes_adatok gyűjtését.
Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, uniós vagy tagállami jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő.
A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni.
Az uniós vagy tagállami jogban foglalt, a személyes_adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat.
Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes_adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között minden, az említett eredeti célok és a tervezett további adatkezelési célok között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes_adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat-kezelési műveletek során.

- = -

(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes_adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.
Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes_adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket.
A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus_adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket.
Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében.
Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében.
A személyes_adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

- = -

(52) A személyes_adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés szintén megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor a személyes_adatok és más alapvető jogok védelme érdekében, ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén, a nyugdíjakat is beleértve, valamint a népegészség-védelem, a nyomonkövetési és riasztási célok, a fertőző betegségek és más súlyos egészségügyi veszélyek megelőzése, valamint az ellenük való védekezés érdekében végzett személyesadat-kezelés esetében.
Ezekre az eltérésekre egészségügyi célokból – köztük a népegészségüggyel és az egészségügyi szolgáltatások irányításával kapcsolatos célokból – kerülhet sor, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból.
Eltérés alapján az ilyen személyes_adatok kezelése olyan esetekben lehetséges, amikor az jogi igények előterjesztése, érvényesítése, illetve védelme céljából szükséges, függetlenül attól, hogy erre bírósági eljárás, közigazgatási, vagy egyéb, nem bírósági útra tatozó eljárás keretében kerül-e sor.

- = -

(53) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes_adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános országos és helyi felügyelete, továbbá az egészségügyi és szociális ellátás, a határokon átnyúló egészségügyi ellátás, valamint a népegészség-védelem folytonosságának biztosítása, nyomonkövetési és riasztási célok, a közérdekű archiválás céljából, tudományos és történelmi kutatási vagy statisztikai célból közérdekű célt szolgáló uniós vagy tagállami jog alapján, illetve a népegészség területén közérdekből készített tanulmányok céljából.
Ebből kifolyólag a sajátos adatkezelési szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni az egészségügyi személyes_adatok különleges kategóriáinak kezelésére vonatkozóan, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik.
Az uniós vagy tagállami jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes_adatainak védelmére irányulnak.
A tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.
Ez azonban nem akadályozhatja a személyes_adatok Unión belüli szabad áramlását azokban az esetekben, amikor az említett feltételek az ilyen adatok határokon átnyúló kezelésére vonatkoznak.

- = -

(54) A népegészség területén közérdekből szükséges lehet a személyes_adatok különleges kategóriáinak az_érintett_hozzájárulása nélkül történő kezelése.
Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében, megfelelő és célzott intézkedéseket kell hozni.
Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben (11) meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok.
Az egészségügyi_adatok ilyen közérdekű kezelése nem eredményezheti a személyes_adatok más célokból harmadik személyek, így munkáltatók, vagy biztosítók és bankok általi kezelését.

- = -

(57) Ha az adatkezelő által kezelt személyes_adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelőt az érintett személyazonosságának megállapítása érdekben nem lehet további információk beszerzésére kötelezni annak érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének.
Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának támogatása érdekében nyújtott további információkat.
Az azonosítás magában foglalja az érintettek például olyan hitelesítési mechanizmus révén történő digitális azonosítását, amelynek keretében az érintett ugyanazokat a belépési azonosító adatokat adja meg, amelyeket az adatkezelő által nyújtott online szolgáltatáshoz történő bejelentkezéshez használ.

- = -

(58) Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék.
Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül.
Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes_adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete.
Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.

- = -

(59) Az érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes_adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát.
Az adatkezelő ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is különösen, ha a személyes_adatok kezelése elektronikus úton történik.
Az adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely kérelmének nem tesz eleget, indokolnia kell azt.

- = -

(60) A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.
Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes_adatok kezelésének konkrét körülményeit és kontextusát.
Az érintettet továbbá a profilalkotás tényéről és annak következményeiről tájékoztatni kell.
Ha a személyes_adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes_adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár.
Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon.
Amikor az ikonokat elektronikus formátumban jelenítik meg, azoknak géppel olvashatóknak kell lenniük.

- = -

(62) Mindazonáltal a tájékoztatás nyújtására vonatkozó kötelezettség előírása nem szükséges, ha az érintettnek ez az információ már a birtokában van, vagy ha a személyes_adat rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.
E helyzet állhat elő különösen akkor, ha az adatkezelés közérdekű archiválás célt, tudományos és történelmi kutatási célt vagy statisztikai célt szolgál.
E tekintetben az érintettek számát, az adatok korát, valamint az elfogadott megfelelő garanciákat figyelembe kell venni.

- = -

(63) Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát.
Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes_adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen.
Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes_adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes_adatok kezelése milyen időtartamra vonatkozik, a személyes_adatok címzettjeit, azt, hogy a személyes_adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, továbbá hogy minderről tájékoztatást kapjon.
Ha lehetséges, az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, amelyen keresztül az érintett a saját személyes_adataihoz közvetlenül hozzáférhet.
Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat.
Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak.
Ha az adatkezelő nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik.

- = -

(64) Az adatkezelő minden észszerű intézkedést megtesz a hozzáférést kérő érintett személyazonosságának megállapítására, különösen az online szolgáltatásokkal és az online azonosítókkal összefüggésben.
Az adatkezelő nem őrizheti meg a személyes_adatokat kizárólag abból a célból, hogy a lehetséges kérelmeket meg tudja válaszolni.

- = -

(68) Ha a személyes_adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes_adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák.
Az adatkezelőket ösztönözni kell, hogy az adathordozhatóságot lehetővé tevő interoperábilis formátumokat fejlesszenek ki.
Ez a jog abban az esetben gyakorolható, ha az érintett a személyes_adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges.
E jog nem gyakorolható akkor, ha az adatkezelés jogalapja a hozzájárulástól vagy szerződéstől eltérő egyéb jogalap.
Ez a jog természeténél fogva nem állhat fenn olyan adatkezelőkkel szemben, akik a személyes_adatok kezelését közhatalmi feladataik gyakorlása keretében végzik.
Ennélfogva nem gyakorolható különösen akkor, ha a személyes_adatok kezelésére valamely, az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges.
Az érintett azon joga, hogy továbbítsa, illetve megkapja a rá vonatkozóan kezelt személyes_adatokat, nem teremthet olyan kötelezettséget az adatkezelők számára, hogy egymással műszakilag kompatibilis adatkezelő rendszereket vezessenek be vagy tartsanak fenn.
Ha egy adott személyes_adatállomány egynél több érintettre vonatkozik, a személyes_adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait.
Ez a jog nem érinti továbbá az érintettnek jogát arra, hogy a személyes_adatainak törlését elérje, sem pedig az e jogra vonatkozóan e rendeletben megállapított korlátozásokat, továbbá nem járhat különösen az érintettre vonatkozó olyan személyes_adatok törlésével, amelyeket az érintett valamely szerződés teljesítése céljából bocsátott rendelkezésre, ha és ameddig a szóban forgó személyes_adatokra szükség van az adott szerződés teljesítéséhez.
Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.

- = -

(72) A profilalkotást ennek a rendeletnek a személyes_adatok kezelésére vonatkozó rendelkezései szabályozzák, például az adatkezelés jogalapja és az adatkezelési elvek tekintetében.
Az e rendelet által létrehozott Európai Adatvédelmi Testület (a továbbiakban: a Testület) számára lehetővé kell tenni, hogy erre vonatkozóan iránymutatást adjon ki.

- = -

(85) Az adatvédelmi_incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes_adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes_adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi_incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi_incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti_hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi_incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

- = -

(86) Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi_incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket.
Az tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi_incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat.
Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti_hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást.
Például az érintettek sürgős tájékoztatása a kár közvetlen veszélyének mérsékléséhez szükséges, azonban annak megelőzése több időt igényelhet, hogy a folyamatos vagy azonos jellegű adatvédelmi_incidens esetében megfelelő intézkedéseket kell végrehajtani.

- = -

(91) Ez különösen vonatkozik egyrészt azokra a nagymértékű adatkezelési műveletekre, amelyek jelentős mennyiségű személyes_adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehet, és amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve, különösen, ha az említett műveletek megnehezítik az érintettek számára, hogy a jogaikat gyakorolják.
Adatvédelmi hatásvizsgálatot kell végezni továbbá, amikor az a személyes_adatkezelés célja, hogy konkrét természetes személyekkel kapcsolatban döntést lehessen hozni azt követően, hogy elvégzik a természetes személyek személyes jellemzőinek szisztematikus és kiterjedt értékelését az említett adatokon alapuló profilalkotás alapján, illetve a személyes_adatok különleges kategóriáira, a biometrikus_adatokra vagy a büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelését követően.
Az adatvédelmi hatásvizsgálatok elvégzése a nyilvános helyek nagymértékű megfigyelése esetében szintén követelmény, különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre, valamint az olyan egyéb műveletek esetében is, amelyeknél az illetékes felügyeleti_hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek, vagy mivel az említett műveletekre szisztematikusan és nagy számban kerül sor.
A személyes_adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes_adataira vonatkozik.
Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.

- = -

(94) Ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti_hatósággal konzultálni kell.
Valószínűsíthetően ilyen magas kockázattal járnak a személyes_adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A felügyeleti_hatóság a konzultáció iránti megkeresésre meghatározott határidőn belül választ ad.
Ha azonban, a felügyeleti_hatóság az említett határidőn belül nem reagál, nem érinti a felügyeleti_hatóságnak az e rendeletben megállapított feladataival és hatásköreivel összhangban álló beavatkozási jogkörét, az adatkezelési műveletek megtiltására vonatkozó hatáskörét is beleértve.
E konzultációs eljárás során a szóban forgó adatkezelés tekintetében végzett adatvédelmi hatásvizsgálat eredményét, és különösen a természetes személyek jogait és szabadságait veszélyeztető kockázat mérséklésére szolgáló intézkedések tervezetét be lehet nyújtani a felügyeleti_hatóságnak.

- = -

(98) Az adatkezelők, illetve adatfeldolgozók kategóriáit képviselő egyesületeket vagy egyéb szerveket az e rendelet által szabott határokon belül, az e rendelet hatékony alkalmazásának az elősegítése érdekében magatartási kódexek létrehozására kell ösztönözni, adatkezelés sajátosságaira, valamint a mikro-, kis- és közép vállalkozások sajátos szükségleteire figyelemmel.
E magatartási kódexek keretében meg lehetne határozni az adatkezelők és az adatfeldolgozók kötelezettségeit, figyelembe véve azt a kockázatot, amellyel az adatkezelés a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően jár.

- = -

(100) Az átláthatóság és az e rendeletnek való megfelelés elősegítése érdekében ösztönözni kell olyan tanúsítási mechanizmusok, és adatvédelmi bélyegzők illetve jelölések létrehozását, amelyek lehetővé teszik az érintettek számára, hogy gyorsan értékelni tudják az adott termékek és szolgáltatások adatvédelmi szintjét.

- = -

(103) Az Unió egészére kiterjedő hatállyal a Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi_szervezet megfelelő adatvédelmi szintet nyújt, így biztosítva az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi_szervezetek tekintetében.
Ilyen esetekben a személyes_adatok az említett országokba vagy nemzetközi_szervezetek részére történő továbbítása további engedély beszerzése nélkül lehetséges.
A Bizottság a harmadik országnak vagy nemzetközi_szervezetnek küldött, teljes körű indokolással ellátott értesítést követően határozhat úgy is, hogy visszavonja ezt a döntést.

- = -

(104) A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is.
Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya.
A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes_adatokat egy vagy több konkrét ágazatban kezelik.
A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.

- = -

(108) Megfelelőségi határozat hiányában az adatkezelő vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról.
Ezek a megfelelő garanciák magukban foglalhatják a kötelező_erejű_vállalati_szabályok, a Bizottság által elfogadott általános adatvédelmi kikötések, a felügyeleti_hatóság által elfogadott általános adatvédelmi kikötések vagy a felügyeleti_hatóság által engedélyezett általános szerződési feltételek alkalmazását.
A garanciák biztosítják az adatvédelmi követelményeknek való megfelelést, és az Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat biztosítanak az érintettek számára, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül ideértve azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe és kártérítést igényelhessenek az Unióban vagy egy harmadik országban.
A garanciák különösen a személyes_adatok kezelésre vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak.
Adattovábbítást közhatalmi szerv vagy egyéb, közfeladatot ellátó szervek is végezhetnek, harmadik országbeli közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek vagy hasonló feladatot vagy funkciókat ellátó nemzetközi_szervezetek felé, ideértve a közigazgatási megállapodásokba – például egyetértési megállapodás formájában – beillesztendő, az érintetteknek tényleges és érvényesíthető jogokat biztosító rendelkezések alapján.
Az illetékes felügyeleti_hatóság engedélyét be kell szerezni abban az esetben, ha a garanciákat olyan közigazgatási megállapodások tartalmazzák, amelyek jogilag nem kötelező erejűek.

- = -

(109) Az a lehetőség, mely szerint az adatkezelő vagy az adatfeldolgozó alkalmazhatja a Bizottság vagy a felügyeleti_hatóság által elfogadott általános adatvédelmi kikötéseket, egyik sem zárja ki, hogy az adatkezelő vagy az adatfeldolgozó szélesebb körű szerződésben – ideértve az adatfeldolgozó és valamely egyéb adatfeldolgozó közötti szerződéseket is – alkalmazza ezen általános adatvédelmi kikötéseket, sem azt, hogy további rendelkezéseket vagy garanciákat adjon hozzá, feltéve hogy azok sem közvetlen, sem közvetett módon nem ellentétesek a Bizottság vagy a felügyeleti_hatóság által elfogadott általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait és szabadságait.
Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános adatvédelmi kikötéseket kiegészítő további szerződéses kötelezettségvállalások útján még erőteljesebb garanciákat nyújtsanak.

- = -

(110) A vállalkozáscsoportok és a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportjai számára lehetővé kell tenni, hogy jóváhagyott kötelező_erejű_vállalati_szabályokat alkalmazzanak az Unióból a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli szervezetekhez irányuló nemzetközi adattovábbítások során, feltéve hogy e kötelező_erejű_vállalati_szabályok minden olyan alapvető elvet és érvényesíthető jogot magukban foglalnak, amelyek megfelelő garanciát nyújtanak a személyes_adatoknak vagy azok bizonyos kategóriáinak a továbbítására vonatkozóan.

- = -

(111) Ha az érintett kifejezett hozzájárulását adta, az adatok továbbítását bizonyos körülmények esetén lehetővé kell tenni, ha az adattovábbítás alkalomszerű, és valamely szerződéssel vagy jogi igénnyel kapcsolatban válik szükségessé, függetlenül attól, hogy a szerződés teljesítésére vagy a jogi igény érvényesítésére bírósági eljárás, illetve közigazgatási vagy egyéb nem bírósági útra tartozó eljárás keretében kerül-e sor, ideértve a szabályozói szervek előtt zajló eljárásokat is.
Szintén lehetővé kell tenni az adatok továbbítását, ha azt az uniós vagy tagállami jogban megállapított fontos közérdek védelme megkívánja, vagy ha a továbbításra jogszabály alapján létrehozott nyilvántartásból kerül sor, és célja a nyilvánosság vagy az e tekintetben jogos érdekkel rendelkezők általi betekintés biztosítása.
Ez utóbbi esetben az ilyen továbbítás nem vonatkozhat a nyilvántartásban szereplő személye adatok vagy adatkategóriák összességére, és ha a nyilvántartás célja a jogos érdekkel rendelkező személyek általi betekintés biztosítása, a nekik való továbbításra kizárólag e személyek kérelmére kerülhet sor, vagy akkor, ha ők a címzettek, teljes mértékben figyelembe véve az érintettek érdekeit és alapvető jogait.

- = -

(112) Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyeleti_hatóságok vagy a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere érdekében, például fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése vagy a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából.
A személyes_adatok továbbítása hasonlóképpen jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni.
Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriába tartozó adatoknak valamely harmadik országba vagy nemzetközi_szervezet részére történő továbbítását.
A tagállamok az ilyen rendelkezésekről a Bizottságot értesítik.
Ha a genfi egyezmények által előírt feladat elvégzése, illetve a nemzetközi humanitárius jog fegyveres konfliktus esetén alkalmazandó rendelkezéseinek történő megfelelés alapján valamely nemzetközi humanitárius szervezet számára olyan érintett személyes_adatait továbbítják, akinek fizikailag vagy jogilag nem áll módjában a hozzájárulás megadása, erre úgy lehet tekinteni, mint ami fontos közérdekből vagy az érintett létfontosságú érdeke védelmében szükséges.

- = -

(113) Az ismétlődőnek nem minősíthető és csupán korlátozott számú érintettre vonatkozó adattovábbítás szintén megengedhető az adatkezelő által követett, kényszerítő erejű jogos érdekből, feltéve hogy ezen érdekekkel szemben nem élveznek elsőbbséget az érintett érdekei vagy jogai és szabadságai, és az adatkezelő az adattovábbítás összes körülményét felmérte.
Az adatkezelőnek különös figyelmet kell fordítania a személyes_adatok jellegére, a tervezett adatkezelési művelet vagy műveletek céljára és időtartamára, valamint a származási országban, a harmadik országban és a célországban fennálló helyzetre, továbbá a személyes_adatok kezelése tekintetében a természetes személyek alapvető jogainak és szabadságainak védelme érdekében nyújtott megfelelő garanciákra.
Ilyen adattovábbítás csak abban az esetben lehetséges, ha az adattovábbítás egyéb lehetséges indokait nem lehet alkalmazni.
A tudományos és történelmi kutatási célokból, vagy statisztikai célokból folytatott adatkezelés esetében figyelembe kell venni a társadalomnak a tudás növelésével kapcsolatos jogos elvárásait.
Az adatkezelő az adattovábbításról tájékoztatja a felügyeleti_hatóságot és az érintettet.

- = -

(124) Ha a személyes_adatok kezelésére az adatkezelő vagy az adatfeldolgozó Unión belüli tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor, és az adatkezelő vagy az adatfeldolgozó egynél több tagállamban rendelkezik tevékenységi hellyel, vagy ha az adatkezelő vagy az adatfeldolgozó kizárólag Unión belüli tevékenységi helyen folytatott tevékenységekkel összefüggésben megvalósuló adatkezelés az érintetteket egynél több tagállamban jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti, akkor fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatósága jár el.
A fő hatóság együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek amiatt, hogy az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik a tagállamuk területén, hogy a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintve vannak, vagy, hogy panaszt nyújtottak be hozzájuk.
Továbbá, ha az adott tagállam területén lakóhellyel nem rendelkező érintett nyújtott be panaszt, azt a felügyeleti_hatóságot, amelyhez a panaszt benyújtotta, szintén érintett felügyeleti_hatóságnak kell tekinteni.
Az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozó iránymutatások kiadásával összefüggő feladatai keretében a Testület számára lehetővé kell tenni, hogy iránymutatásokat adjon ki különösen azokra a szempontokra vonatkozóan, amelyeket figyelembe kell venni ahhoz, hogy meg lehessen győződni arról, hogy a szóban forgó adatkezelés egynél több tagállamban érint-e jelentős mértékben érintetteket, valamint arra vonatkozóan, hogy mi tekintendő releváns_és_megalapozott_kifogásnak.

- = -

(127) A nem fő felügyeleti_hatóságként eljáró egyes felügyeleti_hatóságok illetékesek helyi ügyekben abban az esetben, ha az adatkezelő vagy az adatfeldolgozó ugyan egynél több tagállamban rendelkezik tevékenységi hellyel, azonban a konkrét adatkezelés tárgya csak egyetlen tagállamban végzett adatkezelésre vonatkozik, és csak abban az egyetlen tagállamban élő érintettekre irányul, például ha a személyes_adatok kezelésének tárgya a munkavállalói adatoknak konkrét foglalkoztatással összefüggő kezelése egy adott tagállamban.
Ilyen esetekben a felügyeleti_hatóság az ügyről a fő felügyeleti_hatóságot haladéktalanul tájékoztatja.
A tájékoztatás kézhezvételét követően a fő felügyeleti_hatóság eldönti, hogy eljár-e az ügyben a fő felügyeleti_hatóság és a más érintett felügyeleti_hatóság közötti együttműködésre vonatkozó rendelkezésnek megfelelően („egységességi mechanizmus”), vagy pedig az ügyben a helyi szinten a tájékoztatást adó felügyeleti_hatóság járjon el.
Amikor döntést hoz arról, hogy maga jár el az ügyben, a fő felügyeleti_hatóság figyelembe veszi, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel az őt tájékoztató felügyeleti_hatóság tagállamában, annak biztosítása érdekében, hogy a döntést hatékonyan végre lehessen hajtani az adatkezelővel vagy az adatfeldolgozóval szemben.
Ha a fő felügyeleti_hatóság úgy dönt, hogy eljár az ügyben, az őt tájékoztató felügyeleti_hatóság számára lehetővé kell tenni, hogy benyújtson egy döntéstervezetet, amelyet a fő felügyeleti_hatóság a legmesszebbmenőkig figyelembe vesz akkor, amikor az együttműködés és az egységességi mechanizmus keretén belül saját döntéstervezetét megszövegezi.

- = -

(128) A fő felügyeleti_hatóságra és az együttműködést és egységességi mechanizmusra vonatkozó szabályokat nem lehet alkalmazni abban az esetben, ha az adatkezelést közhatalmi szervek vagy közérdekből eljáró magánfél szervezetek végzik.
Ilyen esetben kizárólag az a felügyeleti_hatóság lehet illetékes az e rendelettel összhangban rá ruházott hatáskörök gyakorlására, amely annak a tagállamnak a felügyeleti_hatósága, ahol az adott közhatalmi szerv vagy magánfél szerv székhelye található.

- = -

(130) Ha a felügyeleti_hatóság, amelyhez a panaszt benyújtották, nem a fő felügyeleti_hatóság, a fő felügyeleti_hatóság e rendeletben az együttműködésre és az összhang biztosítására megállapított rendelkezéseknek megfelelően szorosan együttműködik azzal a felügyeleti_hatósággal, amelyhez a panaszt benyújtották.
Minden ilyen esetben a fő felügyeleti_hatóság minden olyan intézkedés meghozatalakor, amelynek célja valamely joghatás elérése – ideértve a közigazgatási bírságok kiszabását is – a lehető legnagyobb mértékben figyelembe veszi annak a felügyeleti_hatóságnak a véleményét, amelyhez a panaszt benyújtották, és amely hatóság a saját tagállama területén lefolytatandó vizsgálat tekinttében illetékes marad, együttműködésben a fő felügyeleti_hatósággal.

- = -

(137) Az érintettek jogainak és szabadságainak védelme céljából sürgős intézkedésre is szükség lehet, különösen abban az esetben, amikor fennáll annak a veszélye, hogy az érintett jelentősen akadályoztatva van jogainak gyakorlásában.
A felügyeleti_hatóság számára ezért lehetővé kell tenni, hogy a tagállamának területére vonatkozóan kellően indokolt ideiglenes intézkedéseket fogadjon el; amely intézkedések érvényessége meghatározott időtartamra, de legfeljebb három hónapra szólhat.

- = -

(144) Ha egy olyan bíróság, amely előtt eljárást indítottak valamely felügyeleti_hatóság által hozott döntéssel szemben, okkal feltételezheti, hogy ugyanazon adatkezelésre vonatkozóan – például ha ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése esetében megegyezik a tárgy, illetve ha megegyezik a jogalap – már eljárás indult valamely más tagállam illetékes bírósága előtt, annak érdekében, hogy meggyőződjön ezeknek az összefüggő eljárásoknak a létezéséről, ez utóbbi bírósággal felveszi a kapcsolatot.
Ha valamely más tagállam bírósága előtt összefüggő eljárások vannak folyamatban, valamennyi olyan bíróságnak, amely előtt az eljárás később indult meg, felfüggesztheti az eljárását, vagy valamelyik fél megkeresésére a joghatóságának hiányát állapíthatja meg annak a bíróságnak javára, amely előtt elsőként indult meg az eljárás, ha ez utóbbi bíróságnak van joghatósága a szóban forgó eljárások tekintetében és az adott tagállam joga lehetővé teszi az összefüggő eljárások összevonását.
Az eljárások akkor tekintendők összefüggőnek, ha közöttük olyan szoros kapcsolatáll fenn, hogy a külön eljárásokban hozott, egymásnak ellentmondó ítéletek elkerülése érdekében célszerű azokat együttesen tárgyalni és róluk együtt határozatot hozni.

- = -

(145) Az adatkezelő vagy adatfeldolgozó elleni eljárást illetően a felperes számára lehetővé kell tenni, hogy eldöntse, hogy az eljárást annak a tagállamnak a bírósága előtt indítja-e meg, ahol az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik, vagy pedig az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének minősül.

- = -

(149) A tagállamok megállapíthatják az e rendelet megsértése – így ideértve az e rendelet alapján és általa szabott korlátokon belül elfogadott nemzeti szabályok megsértése – esetén alkalmazandó büntetőjogi szankciókra vonatkozó szabályokat.
E büntetőjogi szankciók lehetővé tehetik például az e rendelet megsértése révén szerzett vagyoni előny elvonását.
Az ilyen tagállami szabályok megsértésére vonatkozó büntetőjogi szankciók, illetve közigazgatási szankciók kiszabása azonban nem eredményezheti a Bíróság értelmezése szerinti ne bis in idem elv megsértését.

- = -

(151) Dánia és Észtország jogrendszere nem teszi lehetővé az e rendeletben meghatározott közigazgatási bírságok kiszabását.
A közigazgatási bírságokra vonatkozó szabályok Dániában oly módon alkalmazhatók, hogy a bírságot az illetékes nemzeti bíróságok büntetőjogi szankcióként róják ki, Észtországban pedig a felügyeleti_hatóság rója ki a bírságot fegyelmi eljárás keretében, feltéve hogy a szabályok ilyen fajta alkalmazása ezekben a tagállamokban a felügyeleti_hatóságok által kiszabott közigazgatási bírságokkal azonos joghatással járnak.
Ezért az illetékes nemzeti bíróságok figyelembe veszik a bírság kiszabását kezdeményező felügyeleti_hatóság ajánlását.
A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

- = -

(154) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét e rendelet alkalmazása során.
A hivatalos iratokhoz való nyilvános hozzáférés közérdeknek tekinthető.
lehetővé kell tenni, hogy a közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek birtokában lévő dokumentumokban szereplő személyes_adatokat az érintett hatóság vagy szerv nyilvánosságra hozza, ha a nyilvánosságra hozatalt az uniós jog vagy annak a tagállamnak a joga, amelynek az adott közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv a hatálya alá tartozik, előírja.
Ezeknek a jogoknak össze kell egyeztetniük a hivatalos dokumentumokhoz való nyilvános hozzáférést és a közszféra információinak további felhasználását a személyes_adatok védelméhez való joggal, és ennélfogva rendelkezhetnek a személyes_adatok védelméhez való, e rendelet szerinti joggal történő szükséges összeegyeztetésről.
A közhatalmi szervek és egyéb, közfeladatot ellátó szervek szervekre való hivatkozásba ebben az összefüggésben mindazon hatóságokat vagy egyéb olyan szerveket is bele kell érteni, amelyekre vonatkozik a dokumentumokhoz való nyilvános hozzáférést szabályozó tagállami jog.
A 2003/98/EK európai parlamenti és tanácsi irányelv (14) nem módosítja és nem érinti a természetes személyeknek a személyes_adatok kezelése tekintetében történő, az uniós és a tagállami jogba foglalt rendelkezések védelmi szintjét, és különösen nem módosítja az ebben e rendeletben foglalt kötelezettségeket és jogokat.
Különösen, az említett irányelvet nem kell alkalmazni olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes_adatok védelmének indokával korlátozzák vagy kizárják, valamint az említett szabályok értelmében hozzáférhető dokumentumok azon részeire, amelyek olyan személyes_adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a természetes személyeknek a személyes_adatok kezelése tekintetében történő védelmére vonatkozó jogszabályokkal.

- = -

(156) E rendelet alapján a személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak.
Ez említett garanciák biztosítják, hogy technikai és szervezési intézkedéseket hoztak különösen annak érdekében, hogy az adattakarékosság elve érvényesüljön.
A személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további kezelésére akkor kerülhet sor, ha az adatkezelő előzetesen felmérte, hogy ezek a célok megvalósíthatók olyan személyes_adatok kezelésével, amelyek eleve nem vagy a továbbiakban már nem teszik lehetővé az érintettek azonosítását, feltéve hogy megfelelő garanciák állnak rendelkezésre (mint például a személyes_adatok álnevesítése).
A tagállamok megfelelő garanciákról kell rendelkezniük a személyes_adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő kezelése tekintetében.
A tagállamok számára engedélyezni kell, hogy konkrét feltételekkel és az érintettek számára nyújtott megfelelő garanciák mellett pontosításokat és eltéréseket alkalmazzanak a tájékoztatási követelményekre, a helyesbítéshez való jogra, a törléshez való jogra, az elfeledtetéshez való jogra, az adatkezelés korlátozásához való jogra, valamint az adathordozhatósághoz való jogra, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő adatkezeléssel összefüggő tiltakozáshoz való jogra vonatkozóan.
A szóban forgó feltételek és garanciák eredményezhetnek egyrészt az említett jogoknak az érintettek általi érvényesítését szolgáló eljárásokat – ha ez megfelelő az adott adatkezelés céljainak fényében –, másrészt az arányosság és a szükségesség elveinek érvényesítése érdekében a személyes_adatok kezelésének minimálisra korlátozását célzó technikai és szervezési intézkedéseket.
A személyes_adatok tudományos célú kezelésének meg kell felelnie az egyéb, például a klinikai vizsgálatokat szabályozó jogszabályoknak is.

- = -

(157) A nyilvántartásokból nyert információk összevetésével a kutatók jelentős értékű új tudásra tehetnek szert többek között a széles körben elterjedt betegségekkel – például a szív- és érrendszeri betegségekkel, a rákkal, és a depresszióval – kapcsolatban.
A kutatási eredményeket a nyilvántartások segítségével javítani lehet, mivel az adatok a lakosság szélesebb körétől származnak.
A társadalomtudományokban a nyilvántartások alapján végzett kutatásokkal a kutatók lényeges ismeretekre tehetnek szert több társadalmi körülmény – mint például a munkanélküliség és az iskolai végzettség – egyéb életkörülményekkel való hosszú távú összefüggéséről.
A nyilvántartások alapján elért kutatási eredmények szilárd, színvonalas tudást nyújtanak, mely alapul szolgálhat a tudásalapú szakpolitikák kidolgozásához és végrehajtásához, javíthatja számos ember életminőségét, valamint fokozhatja a szociális szolgálatok hatékonyságát.
A tudományos kutatás megkönnyítése érdekében a személyes_adatok az uniós vagy a tagállami jogban meghatározott megfelelő feltételek és garanciák mellett tudományos kutatási célból kezelhetők.

- = -

(158) E rendeletet az archiválási célokat szolgáló személyes_adatok kezelésekor is alkalmazni kell, szem előtt tartva, hogy e rendelet nem alkalmazható elhunyt személyek személyes_adataira.
A közérdekű adatokat tároló közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek vagy magánfél szervezetek olyan szolgálatok kell, hogy legyenek, amelyek uniós vagy a tagállami jog szerint kötelesek az általános közérdek szempontjából tartós értéket képviselő adatokat beszerezni, megőrizni, értékelni, rendezni, leírni, közölni, előmozdítani, terjeszteni, illetve azokhoz hozzáférést biztosítani.
A tagállamok számára továbbá lehetővé kell tenni, hogy rendelkezzenek a személyes_adatok archiválási célokat szolgáló további kezeléséről, például a volt totalitárius államrendszerek alatt tanúsított politikai magatartáshoz, népirtáshoz, az emberiesség elleni bűncselekményekhez, különösen a holokauszthoz és a háborús bűncselekményekhez kapcsolódó konkrét információk szolgáltatása érdekében.

- = -

(162) E rendeletet a személyes_adatok statisztikai célú kezelése esetében is alkalmazni kell.
E rendelet jelentette korlátokon belül az uniós vagy a tagállami jog határozza meg a statisztikai tartalmat, a hozzáférés ellenőrzését, a személyes_adatok statisztikai célú kezelésének szempontjait, az érintettek jogainak és szabadságainak védelmét és a statisztikai adatok bizalmas jellegének garantálását szolgáló megfelelő intézkedéseket.
Statisztikai célúnak minősül a személyes_adatok statisztikai felmérések vagy statisztikai eredmények kiszámításának céljából történő gyűjtése és kezelése.
Ezeket a statisztikai eredményeket a későbbiekben többféle célra is fel lehet használni, többek között tudományos kutatás céljára is.
A statisztikai célból következik, hogy a statisztikai célú adatkezelés eredménye nem személyes_adat, hanem összesített adat, és hogy ezt az eredményt vagy a személyes_adatokat nem használják fel konkrét természetes személyekre vonatkozó intézkedések vagy döntések alátámasztására.

- = -

dal 2004 diritto e informatica