interactive GDPR 2016/0679 HU

b)	az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)	az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik_fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes_adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a)	az uniós jog, vagy

b)	azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes_adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes_adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a)	a személyes_adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b)	a személyes_adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c)	a személyes_adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes_adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

d)	azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e)	megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

9. cikk

A személyes_adatok különleges kategóriáinak kezelése

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes_adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus_adatok, az egészségügyi_adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes_adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)	az érintett kifejezett hozzájárulását adta az említett személyes_adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c)	az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes_adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e)	az adatkezelés olyan személyes_adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

f)	az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes_adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

(3) Az (1) bekezdésben említett személyes_adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai_adatok, a biometrikus_adatok és az egészségügyi_adatok kezelésére vonatkozóan.

12. cikk

Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes_adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2) Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15–22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti_hatóságnál, és élhet bírósági jogorvoslati jogával.

(5) A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a)	észszerű összegű díjat számíthat fel, vagy

b)	megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(6) A 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(7) Az érintett részére a 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.

(8) A Bizottság felhatalmazást kap arra, hogy a 92. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az ikonok által megjelenítendő információk és a szabványosított ikonok biztosítására vonatkozó eljárások meghatározása céljából.

2. szakasz

Tájékoztatás és a személyes_adatokhoz való hozzáférés

49. cikk

Különös helyzetekben biztosított eltérések

(1) A 45. cikk (3) bekezdése szerinti megfelelőségi határozat, illetve a 46. cikk szerinti megfelelő garanciák hiányában – beleértve a kötelező_erejű_vállalati_szabályokat is –, a személyes_adatok harmadik ország vagy nemzetközi_szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

a)	az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;

b)	az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

c)	az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

d)	az adattovábbítás fontos közérdekből szükséges;

e)	az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;

f)	az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Ha az adattovábbítás nem alapulhat a 45. vagy a 46. cikk rendelkezésein, beleértve a kötelező_erejű_vállalati_szabályok rendelkezéseit is, és az első albekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi_szervezetek részére történő adattovábbítás csak akkor történhet, ha az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik, az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes_adatok védelme tekintetében. Az adatkezelőnek tájékoztatnia kell a felügyeleti_hatóságot az adattovábbításról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

(2) Az (1) bekezdés első albekezdésének g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes_adatok vagy személyes_adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.

(3) Az (1) bekezdés első albekezdésének a), b) és c) pontja, valamint második albekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.

(4) Az (1) bekezdés első albekezdésének d) pontjában említett közérdeket akkor kell figyelembe venni, ha azt az uniós jog vagy az adatkezelőre vonatkozó tagállami jog elismeri.

(5) Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriákba tartozó személyes_adatok valamely harmadik országba vagy nemzetközi_szervezethez történő továbbítását. A tagállamok az ilyen rendelkezéseket bejelentik a Bizottságnak.

(6) Az adatkezelő vagy az adatfeldolgozó az e cikk (1) bekezdésének második albekezdésében említett vizsgálatot és megfelelő garanciákat a 30. cikkben említett nyilvántartásban dokumentálja.

57. cikk

Feladatok

(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti_hatóság a saját területén ellátja a következő feladatokat:

a)	nyomon követi és kikényszeríti e rendelet alkalmazását;

b)	elősegíti a nyilvánosság figyelmének felkeltését és az ismeretek terjesztését a személyes_adatok kezelésével összefüggő kockázatok, szabályok, garanciák és jogok vonatkozásában. Különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre;

c)	a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes_adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

d)	felhívja az adatkezelők és az adatfeldolgozók figyelmét az e rendelet szerinti kötelezettségeikre;

e)	kérésre tájékoztatást ad bármely érintettnek az e rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti_hatóságaival;

kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 80. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti_hatósággal való együttműködés válik szükségessé;

g)	együttműködik más felügyeleti_hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;

h)	vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti_hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

i)	figyelemmel kíséri a személyes_adatok védelmére kiható jelentősebb fejleményeket, különösen az információs és kommunikációs technológiák, valamint a kereskedelmi gyakorlatok fejlődését;

j)	megállapítja a 28. cikk (8) bekezdésében és a 46. cikk (2) bekezdésének d) pontjában említett általános szerződési feltételeket;

k)	a 35. cikk (4) bekezdésének megfelelően jegyzéket állít össze és az adatvédelmi hatásvizsgálatra vonatkozó kötelezettséggel kapcsolatban vezeti azt;

l)	tanácsot ad a 36. cikk (2) bekezdésében említett adatkezelési műveletekkel kapcsolatban;

m)	ösztönzi a 40. cikk (1) bekezdése szerinti magatartási kódex kidolgozását, valamint a 40. cikk (5) bekezdésével összhangban véleményezi, illetve jóváhagyja a megfelelő garanciákat kínáló ilyen magatartási kódexeket;

n)	ösztönzi a 42. cikk (1) bekezdése szerinti az adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozását, és a 42. cikk (5) bekezdésének megfelelően jóváhagyja a tanúsítási szempontokat;

o)	adott esetben rendszeres időközönként felülvizsgálja a 42. cikk (7) bekezdésének megfelelően kiadott tanúsítványokat;

p)	meghatározza és közzéteszi a magatartási kódexnek való megfelelést ellenőrző 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációjára vonatkozó szempontokat;

q)	elvégzi a magatartási kódexnek való megfelelést ellenőrző, a 41. cikk szerinti szervezet és a 43. cikk szerinti tanúsító szervezet akkreditációját;

r)	engedélyezi a 46. cikk (3) bekezdésében említett szerződéses feltételeket és rendelkezéseket;

s)	jóváhagyja a 47. cikk szerinti kötelező_erejű_vállalati_szabályokat;

t)	hozzájárul a Testület tevékenységeihez;

u)	belső nyilvántartást vezet e rendelet megsértéséről és az 58. cikk (2) bekezdése szerint meghozott intézkedésekről; és

v)	a személyes_adatok védelméhez kapcsolódó minden más feladatot ellát.

(2) A felügyeleti_hatóság megkönnyíti az (1) bekezdés f) pontjában említett panasz benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(3) A felügyeleti_hatóság úgy látja el feladatait, hogy az az érintett és adott esetben az adatvédelmi tisztviselő számára térítésmentes legyen.

(4) Ha a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti_hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti_hatóságot terheli.

83. cikk

A közigazgatási bírságok kiszabására vonatkozó általános feltételek

(1) Valamennyi felügyeleti_hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)	a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)	a jogsértés szándékos vagy gondatlan jellege;

c)	az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)	az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)	az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)	a felügyeleti_hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)	a jogsértés által érintett személyes_adatok kategóriái;

h)	az, ahogyan a felügyeleti_hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)	ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)	az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)	az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25-39., a 42. és a 43. cikkben meghatározott kötelezettségek;

b)	a tanúsító szervezet tekintetében a 42. és 43. cikkben meghatározott kötelezettségek;

c)	az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében meghatározott kötelezettségek;

(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)	az érintettek jogai a 12–22. cikknek megfelelően;

c)	személyes_adatoknak harmadik országbeli címzett vagy nemzetközi_szervezet részére történő továbbítása a 44–49. cikknek megfelelően;

d)	a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)	a felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6) A felügyeleti_hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7) A felügyeleti_hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű.

(8) A felügyeleti_hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

(9) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti_hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti_hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25-ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.

whereas

(45) Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie.
Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon.
Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség.
Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni.
E rendeletnek a személyes_adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes_adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes_adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják.
Uniós vagy tagállami jog határozza meg továbbá, hogy a közérdekű vagy közhatalmi feladatot teljesítő adatkezelőnek közhatalmi szervnek vagy egyéb, a közjog hatálya alá tartozó természetes vagy jogi személynek, vagy ha ezt a közérdek egészségügyi célok, mint például a népegészségügyi, illetve szociális védelmi és az egészségügyi szolgálatok irányítása miatt indokolttá teszi, a magánjog hatálya alá tartozó szervnek – például szakmai egyesületnek – kell-e lennie.

- = -

(65) Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes_adatok helyesbítését és megilleti őt az „elfeledtetéshez való jog”, ha a szóban forgó adatok megőrzése sérti e rendeletet vagy az olyan uniós vagy tagállami jogot, amelynek hatálya az adatkezelőre kiterjed.
Az érintett jogosult különösen arra, hogy személyes_adatait töröljék és a továbbiakban ne kezeljék, ha a személyes_adatok gyűjtése vagy más módon való kezelése az adatkezelés eredeti céljaival összefüggésben már nincs szükség, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes_adataik kezelése egyéb szempontból nem felel meg e rendeletnek.
Ez a jog különösen akkor lényeges, ha az érintett gyermekként adta meg hozzájárulását, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival, később pedig el akarja távolítani a szóban forgó személyes_adatokat, különösen az internetről.
Az érintett e jogát gyakorolhatja akkor is, ha már nem gyermek.
Ugyanakkor a személyes_adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, valamely jogi kötelezettségnek való megfelelés, illetőleg közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása miatt, vagy a népegészségügy területét érintő közérdekből, közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

- = -

(124) Ha a személyes_adatok kezelésére az adatkezelő vagy az adatfeldolgozó Unión belüli tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor, és az adatkezelő vagy az adatfeldolgozó egynél több tagállamban rendelkezik tevékenységi hellyel, vagy ha az adatkezelő vagy az adatfeldolgozó kizárólag Unión belüli tevékenységi helyen folytatott tevékenységekkel összefüggésben megvalósuló adatkezelés az érintetteket egynél több tagállamban jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti, akkor fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatósága jár el.
A fő hatóság együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek amiatt, hogy az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik a tagállamuk területén, hogy a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintve vannak, vagy, hogy panaszt nyújtottak be hozzájuk.
Továbbá, ha az adott tagállam területén lakóhellyel nem rendelkező érintett nyújtott be panaszt, azt a felügyeleti_hatóságot, amelyhez a panaszt benyújtotta, szintén érintett felügyeleti_hatóságnak kell tekinteni.
Az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozó iránymutatások kiadásával összefüggő feladatai keretében a Testület számára lehetővé kell tenni, hogy iránymutatásokat adjon ki különösen azokra a szempontokra vonatkozóan, amelyeket figyelembe kell venni ahhoz, hogy meg lehessen győződni arról, hogy a szóban forgó adatkezelés egynél több tagállamban érint-e jelentős mértékben érintetteket, valamint arra vonatkozóan, hogy mi tekintendő releváns_és_megalapozott_kifogásnak.

- = -

(146) Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni.
Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli.
A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit.
Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket.
Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is.
Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.
Ha egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, akkor minden egyes adatkezelő vagy adatfeldolgozó egyetemleges felelősséggel tartozik a teljes kárért.
Ha azonban az érintett adatkezelőket a tagállami jognak megfelelően bevonják ugyanabba az eljárásba, a kártérítési kötelezettség megosztható az egyes adatkezelők, illetve adatfeldolgozók között az általuk okozott kár arányában, feltéve hogy így is biztosított marad, hogy az érintettet ért kárt teljes mértékben és ténylegesen megtérítik.
Azok az adatkezelők vagy adatfeldolgozók, akik teljes kártérítést fizettek, ezt követően viszontkereseti eljárást indíthatnak az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.

- = -

(159) E rendeletet a személyes_adatok tudományos kutatási célú kezelése esetében is alkalmazni kell.
E rendelet alkalmazásában a személyes_adatok tudományos kutatási célú kezelését tág körűen kell értelmezni, oly módon, hogy az magában foglalja többek között a technológiafejlesztési és demonstrációs tevékenységeket, az alapkutatást, az alkalmazott kutatást, és a magánfinanszírozású kutatást.
Emellett az ilyen célú adatkezelés összefüggésében figyelembe kell venni az EUMSZ 179.
cikkének (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést.
A tudományos kutatási célok közé kell sorolni a népegészségügy terén folytatott közérdekű kutatásokat is.
Ahhoz, hogy az adatkezelés megfeleljen a személyes_adatok tudományos kutatási célú kezelésére vonatkozó jellemzőknek, speciális feltételeknek kell eleget tenni különösen a személyes_adatok tudományos kutatási célok keretében történő közzétételére vagy egyéb nyilvánosságra hozatalát illetően.
Ha a – különösen az egészségügyi témakörben végzett – tudományos kutatás eredménye miatt az érintett érdekében további intézkedések válnak indokolttá, ezen intézkedések tekintetében az e rendeletben foglalt általános szabályokat kell alkalmazni.

- = -

(170) Mivel e rendelet célját, nevezetesen a természetes személyek azonos szintű védelmét, valamint a személyes_adatok Unión belüli szabad áramlását a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés terjedelme vagy hatásainak meghatározása miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés (EUSZ) 5.
cikkében foglalt szubszidiaritás elvének megfelelően.
Az említett cikkben foglalt arányossági elvnek megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

- = -

dal 2004 diritto e informatica