interactive GDPR 2016/0679 HU

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes_adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes_adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)	a személyes_adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)	az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)	az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)	a személyes_adatokat jogellenesen kezelték;

e)	a személyes_adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)	a személyes_adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2) Ha az adatkezelő nyilvánosságra hozta a személyes_adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes_adatokra mutató linkek vagy e személyes_adatok másolatának, illetve másodpéldányának törlését.

(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

a)	a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b)	a személyes_adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c)	a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;

d)	a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

e)	jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

25. cikk

Beépített és alapértelmezett adatvédelem

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes_adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes_adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes_adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

(3) A 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e cikk (1) és (2) bekezdésében előírt követelményeket.

32. cikk

Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a)	a személyes_adatok álnevesítését és titkosítását;

b)	a személyes_adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c)	fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes_adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d)	az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3) Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.

(4) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes_adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

97. cikk

A Bizottság jelentései

(1) A Bizottság 2020. május 25-ig és minden azt követő negyedik évben jelentést terjeszt az Európai Parlament és a Tanács elé e rendelet értékeléséről és felülvizsgálatáról.

(2) Az (1) bekezdésben említett értékelések és felülvizsgálat keretében a Bizottság különösen a következő rendelkezések alkalmazását és hatékonyságát vizsgálja:

a)	a személyes_adatok harmadik országokba vagy nemzetközi_szervezetek részére történő továbbításáról szóló V. fejezet, különös tekintettel az e rendelet 43. cikkének (3) bekezdése szerint, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdése alapján elfogadott határozatokra;

b)	az együttműködésről és az egységességről szóló VII. fejezet.

(3) A Bizottság az (1) bekezdésben említett célokból információkat kérhet a tagállamoktól és a felügyeleti_hatóságoktól.

(4) A Bizottság az (1) és (2) bekezdésben említett értékelések és felülvizsgálatok során figyelembe veszi az Európai Parlament, a Tanács és az egyéb érintett szervek vagy források álláspontját és megállapításait.

(5) A Bizottság szükség esetén megfelelő javaslatokat nyújt be e rendelet módosítására, figyelembe véve különösen az információs technológia fejlődését és az információs társadalom fejlődési szintjét.

whereas

(6) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes_adatok védelmét.
A személyes_adatok gyűjtése és megosztása jelentős mértékben megnőtt.
A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes_adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi.
Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes_adatokat.
A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes_adatok Unión belüli szabad áramlását és a személyes_adatok harmadik országok és nemzetközi_szervezetek részére történő továbbítását, biztosítva egyúttal a személyes_adatok magas szintű védelmét.

- = -

(15) A komoly szabály-kerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól.
A természetes személyek védelme a személyes_adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes_adatokat nyilvántartási_rendszerben tárolják vagy kívánják tárolni.
Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.

- = -

(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
Az álnevesített személyes_adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni.
Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja.
Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését.
Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes_adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható.
Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

- = -

(49) Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység (CERT), hálózatbiztonsági incidenskezelő egységek (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes_adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben.
Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

- = -

(58) Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék.
Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül.
Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek-e róla személyes_adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete.
Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.

- = -

(78) A természetes személyeket személyes_adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az e rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát.
Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit.
Az említett intézkedések magukban foglalhatják a személyes_adatok kezelésének minimálisra csökkentését, a személyes_adatok mihamarabbi álnevesítését, a személyes_adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.
Az olyan alkalmazások, szolgáltatások és termékek kifejlesztésekor, tervezésekor, kiválasztásakor és felhasználásakor, amelyek személyes_adatok kezelésén alapulnak vagy rendeltetésük teljesítéséhez személyes_adatokat kezelnek, a termékek, szolgáltatások és alkalmazások előállítóit arra kell ösztönözni, hogy e termékek, szolgáltatások és alkalmazások kifejlesztésekor és tervezésekor szem előtt tartsák a személyes_adatok védeleméhez való jogot, és a tudomány és technológia állását kellően figyelembe véve gondoskodjanak arról, hogy az adatkezelők és az adatfeldolgozók adatvédelmi kötelezettségeiknek eleget tegyenek.
A beépített és az alapértelmezett adatvédelem elveit a közbeszerzések során is figyelembe kell venni.

- = -

(83) A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz.
Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes_adatok jellegével összefüggő költségeit.
Az adatbiztonsági kockázat felmérése során a személyes_adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés –mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

- = -

(84) Az e rendeletnek való megfelelés olyan esetek érdekében történő előmozdítása érdekében, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel.
A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes_adatok kezelése megfelel e rendeletnek.
Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti_hatósággal konzultálni kell.

- = -

(87) Meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi_incidens haladéktalan megállapítása, másrészt a felügyeleti_hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében.
Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi_incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani.
A felügyeleti_hatóságnak történt bejelentést az e rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.

- = -

(91) Ez különösen vonatkozik egyrészt azokra a nagymértékű adatkezelési műveletekre, amelyek jelentős mennyiségű személyes_adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehet, és amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve, különösen, ha az említett műveletek megnehezítik az érintettek számára, hogy a jogaikat gyakorolják.
Adatvédelmi hatásvizsgálatot kell végezni továbbá, amikor az a személyes_adatkezelés célja, hogy konkrét természetes személyekkel kapcsolatban döntést lehessen hozni azt követően, hogy elvégzik a természetes személyek személyes jellemzőinek szisztematikus és kiterjedt értékelését az említett adatokon alapuló profilalkotás alapján, illetve a személyes_adatok különleges kategóriáira, a biometrikus_adatokra vagy a büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelését követően.
Az adatvédelmi hatásvizsgálatok elvégzése a nyilvános helyek nagymértékű megfigyelése esetében szintén követelmény, különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre, valamint az olyan egyéb műveletek esetében is, amelyeknél az illetékes felügyeleti_hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek, vagy mivel az említett műveletekre szisztematikusan és nagy számban kerül sor.
A személyes_adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes_adataira vonatkozik.
Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.

- = -

(159) E rendeletet a személyes_adatok tudományos kutatási célú kezelése esetében is alkalmazni kell.
E rendelet alkalmazásában a személyes_adatok tudományos kutatási célú kezelését tág körűen kell értelmezni, oly módon, hogy az magában foglalja többek között a technológiafejlesztési és demonstrációs tevékenységeket, az alapkutatást, az alkalmazott kutatást, és a magánfinanszírozású kutatást.
Emellett az ilyen célú adatkezelés összefüggésében figyelembe kell venni az EUMSZ 179.
cikkének (1) bekezdésében foglalt, az európai kutatási térség létrehozására irányuló célkitűzést.
A tudományos kutatási célok közé kell sorolni a népegészségügy terén folytatott közérdekű kutatásokat is.
Ahhoz, hogy az adatkezelés megfeleljen a személyes_adatok tudományos kutatási célú kezelésére vonatkozó jellemzőknek, speciális feltételeknek kell eleget tenni különösen a személyes_adatok tudományos kutatási célok keretében történő közzétételére vagy egyéb nyilvánosságra hozatalát illetően.
Ha a – különösen az egészségügyi témakörben végzett – tudományos kutatás eredménye miatt az érintett érdekében további intézkedések válnak indokolttá, ezen intézkedések tekintetében az e rendeletben foglalt általános szabályokat kell alkalmazni.

- = -

dal 2004 diritto e informatica