interactive GDPR 2016/0679 HU

„ személyes_adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

„ adatkezelés”: a személyes_adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.	„az adatkezelés korlátozása”: a tárolt személyes_adatok megjelölése jövőbeli kezelésük korlátozása céljából;

„ profilalkotás”: személyes_adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes_adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

„ álnevesítés”: a személyes_adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes_adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes_adatot nem lehet kapcsolni;

6.	„ nyilvántartási_rendszer”: a személyes_adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

„ adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes_adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.	„ adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes_adatokat kezel;

„ címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes_adatot közlik, függetlenül attól, hogy harmadik_fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes_adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

10.

„ harmadik_fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes_adatok kezelésére felhatalmazást kaptak;

11.

„ az_érintett_hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes_adatok kezeléséhez;

12.	„ adatvédelmi_incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes_adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

13.

„ genetikai_adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes_adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

14.

„ biometrikus_adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes_adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

15.	„ egészségügyi_adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes_adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

16.

„ tevékenységi_központ”:

az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi_központnak tekinteni;

az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;

17.

„ képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;

18.	„ vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

19.	„ vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;

20.

„ kötelező_erejű_vállalati_szabályok”: a személyes_adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes_adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;

21.	„ felügyeleti_hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

22.

„érintett felügyeleti_hatóság”: az a felügyeleti_hatóság, amelyet a személyes_adatok kezelése a következő okok valamelyike alapján érint:

a)	az adatkezelő vagy az adatfeldolgozó az említett felügyeleti_hatóság tagállamának területén rendelkezik tevékenységi hellyel;

b)	az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti_hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy

c)	panaszt nyújtottak be az említett felügyeleti_hatósághoz;

23.

„ személyes_adatok határokon átnyúló adatkezelése”:

a)	személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

személyes_adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

24.

„ releváns_és_megalapozott_kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes_adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;

25.	„ az_információs_társadalommal_összefüggő_szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

26.	„ nemzetközi_szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

II. FEJEZET

Elvek

28. cikk

Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes_adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a személyes_adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes_adatoknak valamely harmadik ország vagy nemzetközi_szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)	biztosítja azt, hogy a személyes_adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)	meghozza a 32. cikkben előírt intézkedéseket;

d)	tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;

e)	az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)	segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)	az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes_adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes_adatok tárolását írja elő;

az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Az első albekezdés h) pontjával kapcsolatban az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

(4) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött, a (3) bekezdésben említett szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

(5) A 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatfeldolgozó biztosítja az (1) és (4) bekezdésben említett megfelelő garanciákat.

(6) Az adatkezelő és az adatfeldolgozó közötti egyedi szerződés sérelme nélkül az e cikk (3) és (4) bekezdésében említett szerződés vagy más jogi aktus teljes egészében vagy részben az e cikk (7) és (8) bekezdésében említett általános szerződési feltételeken alapulhat, beleértve azt is, amikor ezek a 42. és a 43. cikk alapján az adatkezelőnek vagy az adatfeldolgozónak megadott tanúsítvány részét képezik.

(7) A Bizottság – a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően – általános szerződési feltételeket határozhat meg az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(8) A felügyeleti_hatóságok a 63. cikkben említett egységességi mechanizmusnak megfelelően általános szerződési feltételeket fogadhatnak el az e cikk (3) és (4) bekezdésében foglaltakra vonatkozóan.

(9) A (3) és (4) bekezdésben említett szerződést vagy más jogi aktust írásba kell foglalni, ideértve az elektronikus formátumot is.

(10) A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.

60. cikk

Együttműködés a fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság között

(1) A fő felügyeleti_hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti_hatósággal. A fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok minden releváns információt kicserélnek egymással.

(2) A fő felügyeleti_hatóság bármikor kérheti más érintett felügyeleti_hatóságoktól a 61. cikk szerinti kölcsönös segítségnyújtást és végezhet a 62. cikk szerinti közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak.

(3) A fő felügyeleti_hatóság késedelem nélkül közli a többi érintett felügyeleti_hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.

(4) Ha a többi érintett felügyeleti_hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns_és_megalapozott_kifogást emel a döntéstervezettel szemben, a fő felügyeleti_hatóság, ha nem ért egyet a releváns_és_megalapozott_kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.

(5) Ha a fő felügyeleti_hatóság helyt kíván adni a releváns_és_megalapozott_kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti_hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.

(6) Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti_hatóság egyike sem emel kifogást a fő felügyeleti_hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

(7) A fő felügyeleti_hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi_központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti_hatóságot és a Testületet. Az a felügyeleti_hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

(8) Amennyiben a panaszt visszautasították vagy elutasították, a (7) bekezdéstől eltérve az a felügyeleti_hatóság fogadja el a döntést, közli a panaszosal, és tájékoztatja az adatkezelőt, amelyhez a panaszt benyújtották.

(9) Ha a fő felügyeleti_hatóság és az érintett felügyeleti_hatóságok egyetértenek abban, hogy a panasz egyes részeit visszautasítják vagy elutasítják, más részeivel kapcsolatban viszont eljárnak, külön döntést fogadnak el az ügy minden ilyen részére vonatkozóan. Az adatkezelővel kapcsolatos intézkedéseket érintő részre vonatkozó döntést a fő felügyeleti_hatóság fogadja el, és közli az adatkezelőnek, illetve az adatfeldolgozónak a hatóság tagállama területén lévő tevékenységi_központjával vagy egyetlen tevékenységi helyével, valamint tájékoztatja a panaszost; a panasz visszautasított vagy elutasított részére vonatkozó döntést a panaszos felügyeleti_hatósága fogadja el, és közli a panaszossal, valamint tájékoztatja az adatkezelőt vagy az adatfeldolgozót.

(10) Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti_hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti_hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti_hatóság tájékoztatja a többi érintett felügyeleti_hatóságot.

(11) Ha egy érintett felügyeleti_hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni.

(12) A fő felügyeleti_hatóság és a többi érintett felügyeleti_hatóság elektronikus úton, egységes formátum alkalmazásával továbbítja egymásnak az e cikkben előírt információkat.

64. cikk

Az Európai Adatvédelmi Testület véleménye

(1) A Testület véleményt bocsát ki, ha valamely illetékes felügyeleti_hatóság az alábbiakban felsorolt intézkedések valamelyikének elfogadását tervezi. Ebből a célból az illetékes felügyeleti_hatóságnak közölnie kell a döntéstervezetet a Testülettel, ha a döntés:

a)	olyan adatkezelési műveletek jegyzékének az elfogadására irányul, amelyekre a 35. cikk (4) bekezdése szerint vonatkozik az adatvédelmi hatásvizsgálat követelménye;

b)	a 40. cikk (7) bekezdése szerint azon kérdésre vonatkozik, hogy valamely magatartási kódex tervezete, illetve valamely magatartási kódex módosítása vagy bővítése összhangban van-e ezzel a rendelettel;

c)	a 41. cikk (3) bekezdése szerint valamely szervezet, illetve a 43 cikk (3) bekezdése szerint valamely tanúsító szervezet akkreditációjára vonatkozó szempontok jóváhagyására irányul;

d)	a 46. cikk (2) bekezdésének d) pontjában és a 28. cikk (8) bekezdésében említett általános adatvédelmi kikötések meghatározására irányul;

e)	a 46. cikk (3) bekezdésének a) pontjában említett szerződéses rendelkezések engedélyezésére irányul; vagy

f)	a 47. cikk szerinti kötelező_erejű_vállalati_szabályok jóváhagyására irányul.

(2) Bármely felügyeleti_hatóság, a Testület elnöke vagy a Bizottság kérheti, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti_hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel.

(4) A felügyeleti_hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti_hatóságok véleményét.

(5) A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja:

a)	egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és

b)	tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti_hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz.

(6) Az illetékes felügyeleti_hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az (1) bekezdésben említett döntéstervezetét.

(7) Az (1) bekezdésben említett felügyeleti_hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet.

(8) Ha az érintett felügyeleti_hatóság az e cikk (7) bekezdésében említett határidőn belül, a releváns indokok megadásával arról tájékoztatja a Testület elnökét, hogy egészében vagy részben nem kíván a Testület véleménye alapján eljárni, akkor a 65. cikk (1) bekezdését kell alkalmazni.

94. cikk

A 95/46/EK irányelv hatályon kívül helyezése

(1) A 95/46/EK irányelv 2018. május 25-i hatállyal hatályát veszti.

(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A 95/46/EK irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes_adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.

whereas

(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
Az álnevesített személyes_adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni.
Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja.
Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését.
Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes_adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható.
Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

- = -

(36) Az adatkezelő Unión belüli tevékenységi_központja az Unión belüli központi ügyvitelének helye, kivéve, ha a személyes_adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy másik Unión belüli tevékenységi helyén hozzák, amely esetben ez utóbbi másik tevékenységi_központot kell a tevékenységi_központnak tekinteni.
Az adatkezelő Unión belüli tevékenységi_központját objektív szempontok alapján kell meghatározni, és e fogalom magában foglalja az adatkezelés céljára és eszközeire vonatkozó fő döntéseket meghatározó ügyvezetési tevékenység tényleges és valós, tartós jelleget biztosító körülmények közötti gyakorlását.
E szempont nem függhet attól, hogy a személyes_adatok kezelése a szóban forgó helyszínen zajlik-e.
A személyes_adatok kezelésére szolgáló műszaki eszközök jelenléte és használata, illetve az adatkezelési tevékenység önmagában nem jár tevékenységi_központként való minősítéssel, és ezért nem meghatározó szempontja a tevékenységi_központnak.
Az adatfeldolgozó tevékenységi_központja az Unión belüli központi ügyvitelének helye kell, hogy legyen, vagy ha az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az a hely, ahol az Unióban a fő adatkezelési tevékenységek zajlanak.
Az adatkezelőt és az adatfeldolgozót egyaránt érintő esetekben továbbra is annak a tagállamnak a felügyeleti_hatósága az illetékes fő felügyeleti_hatóság, amelynek területén az adatkezelő tevékenységi_központja található, azonban az adatfeldolgozó felügyeleti_hatósága érintett felügyeleti_hatóságnak tekintendő, ennek a felügyeleti_hatóságnak részt kell vennie az e rendeletben meghatározott együttműködési eljárásban.
Az olyan tagállam(ok) felügyeleti_hatóságai, amely(ek) területén az adatfeldolgozó egy vagy több tevékenységi hellyel rendelkezik, semmi esetre sem tekinthetők érintett felügyeleti_hatóságnak, ha az adott döntéstervezet csak az adatkezelőre vonatkozik.
Ha az adatkezelést vállalkozáscsoport végzi, az ellenőrző vállalkozás tevékenységi_központja tekintendő a vállalkozáscsoport tevékenységi_központjának, kivéve, ha az adatkezelés céljait és eszközeit valamely más vállalkozás határozza meg.

- = -

(37) A vállalkozáscsoportot egy ellenőrző vállalkozás és az általa ellenőrzött vállalkozások alkotják; ellenőrző vállalkozásnak azt a vállalkozást kell tekinteni, amely – például tulajdonosi jogok, pénzügyi részesedés vagy az arra vonatkozó szabályok, vagy a személyes_adatok védelmére vonatkozó szabályok végrehajtására való jogosultság révén – a többi vállalkozás felett meghatározó befolyást gyakorol.
Az a vállalkozás, amely ellenőrzi a hozzá kapcsolt vállalkozásokban a személyes_adatok kezelését, ezen intézményekkel együtt „ vállalkozáscsoportnak” tekinthető jogalanyt alkot.

- = -

(46) Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik.
Más természetes személy létfontosságú érdekeire hivatkozással személyes_adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.
A személyes_adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.

- = -

(50) A személyes_adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes_adatokat eredetileg gyűjtötték.
Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes_adatok gyűjtését.
Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, uniós vagy tagállami jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő.
A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni.
Az uniós vagy tagállami jogban foglalt, a személyes_adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat.
Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes_adatok gyűjtésének eredeti céljával, az adatkezelő – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között minden, az említett eredeti célok és a tervezett további adatkezelési célok között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes_adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat-kezelési műveletek során.

- = -

(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes_adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.
Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes_adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket.
A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus_adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket.
Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében.
Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében.
A személyes_adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

- = -

(112) Ezeket az eltéréseket különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például a versenyhatóságok, adó- és vámhatóságok, pénzügyi felügyeleti_hatóságok vagy a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti nemzetközi adatcsere érdekében, például fertőző betegségek felmerülésének esetekor a fertőzöttekkel való érintkezések nyomon követése vagy a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából.
A személyes_adatok továbbítása hasonlóképpen jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását megadni.
Megfelelőségi határozat hiányában az uniós jog vagy a tagállami jog fontos közérdekből kifejezetten korlátozhatja bizonyos kategóriába tartozó adatoknak valamely harmadik országba vagy nemzetközi_szervezet részére történő továbbítását.
A tagállamok az ilyen rendelkezésekről a Bizottságot értesítik.
Ha a genfi egyezmények által előírt feladat elvégzése, illetve a nemzetközi humanitárius jog fegyveres konfliktus esetén alkalmazandó rendelkezéseinek történő megfelelés alapján valamely nemzetközi humanitárius szervezet számára olyan érintett személyes_adatait továbbítják, akinek fizikailag vagy jogilag nem áll módjában a hozzájárulás megadása, erre úgy lehet tekinteni, mint ami fontos közérdekből vagy az érintett létfontosságú érdeke védelmében szükséges.

- = -

(124) Ha a személyes_adatok kezelésére az adatkezelő vagy az adatfeldolgozó Unión belüli tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor, és az adatkezelő vagy az adatfeldolgozó egynél több tagállamban rendelkezik tevékenységi hellyel, vagy ha az adatkezelő vagy az adatfeldolgozó kizárólag Unión belüli tevékenységi helyen folytatott tevékenységekkel összefüggésben megvalósuló adatkezelés az érintetteket egynél több tagállamban jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti, akkor fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi_központja vagy egyetlen tevékenységi helye szerinti felügyeleti_hatósága jár el.
A fő hatóság együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek amiatt, hogy az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik a tagállamuk területén, hogy a területükön lakóhellyel rendelkező érintettek jelentős mértékben érintve vannak, vagy, hogy panaszt nyújtottak be hozzájuk.
Továbbá, ha az adott tagállam területén lakóhellyel nem rendelkező érintett nyújtott be panaszt, azt a felügyeleti_hatóságot, amelyhez a panaszt benyújtotta, szintén érintett felügyeleti_hatóságnak kell tekinteni.
Az e rendelet alkalmazásával kapcsolatos kérdésekre vonatkozó iránymutatások kiadásával összefüggő feladatai keretében a Testület számára lehetővé kell tenni, hogy iránymutatásokat adjon ki különösen azokra a szempontokra vonatkozóan, amelyeket figyelembe kell venni ahhoz, hogy meg lehessen győződni arról, hogy a szóban forgó adatkezelés egynél több tagállamban érint-e jelentős mértékben érintetteket, valamint arra vonatkozóan, hogy mi tekintendő releváns_és_megalapozott_kifogásnak.

- = -

dal 2004 diritto e informatica