5419/1/16 REV 1 ADD 1 as/ar 1 DRI

Átírás

1 Az Európai Unió Tanácsa Brüsszel, április 8. (OR. en) Intézményközi referenciaszám: 2012/0011 (COD) 5419/1/16 REV 1 ADD 1 A TANÁCS INDOKOLÁSA Tárgy: DATAPROTECT 2 JAI 38 MI 25 DIGIT 21 DAPIX 9 FREMP 4 CODEC 52 PARLNAT 83 A Tanács első olvasatban kialakított álláspontja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló EURÓPAI PARLAMENTI ÉS TANÁCSI RENDELET (általános adatvédelmi rendelet) elfogadása céljából A Tanács indokolása A Tanács által április 8-án elfogadott szöveg 5419/1/16 REV 1 ADD 1 as/ar 1

2 I. BEVEZETÉS A Bizottság január 25-én javaslatot tett egy átfogó adatvédelmi reformra, amely a következőkből áll: a tárgymezőben említett általános adatvédelmi rendelet, amely a (korábbi első pillérbe tartozó) évi adatvédelmi irányelv helyébe lépne; a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, üldözése vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése vonatkozásában a természetes személyek védelméről és az ilyen adatok szabad áramlásáról szóló irányelv, amely a (korábbi harmadik pillérbe tartozó) évi adatvédelmi kerethatározatot váltaná fel. Az Európai Parlament március 12-én elfogadta első olvasatbeli álláspontját a javasolt általános adatvédelmi rendeletről (7427/14). A Tanács június 15-én általános megközelítést fogadott el, és ezáltal tárgyalási megbízást adott az elnökségnek az Európai Parlament és a Bizottság részvételével tartandó háromoldalú egyeztetésekre (9565/15). Az Európai Parlament és a Tanács az Állampolgári Jogi, Bel- és Igazságügyi Bizottság, illetve az Állandó Képviselők Bizottsága szintjén december 17-én, illetve december 18-án megerősítette a háromoldalú egyeztetéseken folytatott tárgyalások eredményeképpen létrejött kompromisszumos szövegről elért megállapodást. A Tanács február 12-i ülésén politikai megállapodásra jutott a rendelettervezetről (5455/16). A Tanács április 8-án elfogadta az első olvasatbeli álláspontját, amely teljes mértékben összhangban áll a rendeletnek a Tanács és az Európai Parlament közötti nem hivatalos tárgyalások során jóváhagyott kompromisszumos szövegével. Az Európai Gazdasági és Szociális Bizottság 2012-ben véleményt nyilvánított a rendelettel kapcsolatban (HL C 229., , 90. o.). 5419/1/16 REV 1 ADD 1 as/ar 2

3 A Régiók Bizottsága véleményt nyilvánított a rendelettel kapcsolatban (HL C 391., , 127. o.). Az európai adatvédelmi biztossal való konzultáció megtörtént; a biztos először 2012-ben (HL C 192., , 7. o.), másodjára pedig 2015-ben (HL C 301., , 1. o.) nyilvánított véleményt. Az Alapjogi Ügynökség október 1-jén nyilvánított véleményt. II. CÉL Az általános adatvédelmi rendelet összehangolja az adatvédelmi szabályokat az Európai Unióban. A rendelet célja, hogy megerősítse a természetes személyek adatvédelmi jogait, elősegítse a személyes adatok szabad áramlását az egységes piacon és csökkentese az adminisztrációs terheket. III. A TANÁCS ELSŐ OLVASATBAN ELFOGADOTT ÁLLÁSPONTJÁNAK ELEMZÉSE A. Általános megjegyzések Tekintettel az Európai Tanács ama célkitűzésére, hogy 2015 végéig biztosítsa az adatvédelmi reformról való megállapodás létrejöttét, az Európai Parlament és a Tanács nem hivatalos tárgyalásokat folytatott álláspontjaik közelítése céljából. Az általános adatvédelmi rendelettel kapcsolatos, első olvasatban kialakított tanácsi álláspont szövege teljes mértékben tükrözi a két társjogalkotó között az Európai Bizottság segítségével létrejött kompromisszumot. A Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelv célkitűzéseit: az adatvédelemhez való jog tiszteletben tartását és az adatok szabad áramlásának biztosítását. Ugyanakkor a jelenleg hatályos adatvédelmi szabályok kiigazítására törekszik, tekintettel arra, hogy a technológiai változások és a globalizáció következtében egyre növekszik a kezelt személyes adatok mennyisége. Annak érdekében, hogy a rendelet időtálló legyen, a Tanács első olvasatbeli álláspontjában foglalt adatvédelmi szabályok technológiai szempontból semlegesek. 5419/1/16 REV 1 ADD 1 as/ar 3

4 A természetes személyek egységes szintű védelmének az Unió egész területén való biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében a Tanács első olvasatbeli álláspontja nagyrészt olyan egységes szabályrendszert ír elő, amely az egész Unióban közvetlenül alkalmazandó. Ez a harmonizáció meg fogja szüntetni a 95/46/EK irányelvet végrehajtó, eltérő tagállami jogszabályokból eredő széttagoltságot. Mindazonáltal a konkrét többek között a közszférát is érintő adatkezelési helyzetek támasztotta követelmények figyelembevétele érdekében, az első olvasatban kialakított tanácsi álláspont lehetővé teszi a tagállamok számára, hogy a rendeletben meghatározott adatvédelmi szabályok alkalmazását tovább pontosítsák nemzeti jogukban. A személyes adatok védelmének joga az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdésében rögzített alapvető jog. Ezenfelül az Európai Unió működéséről szóló szerződés 16. cikke megállapítja, hogy állampolgárságától és lakóhelyétől függetlenül mindenkinek joga van a rá vonatkozó személyes adatok védelméhez, továbbá hogy szabályokat kell megállapítani e célból és a személyes adatok szabad áramlásának biztosítása céljából. Ennek alapján a Tanács első olvasatbeli álláspontja megállapítja a természetes személyeknek a személyes adataik kezelése tekintetében való védelméhez kapcsolódó elveket és szabályokat. A rendelet céljainak elérése érdekében az első olvasatban kialakított tanácsi álláspont megerősíti (a személyes adatok kezelése céljainak és módjainak meghatározásáért felelős) adatkezelők és (a személyes adatoknak az adatkezelő nevében végzett kezeléséért felelős) adatfeldolgozók elszámoltathatóságát egy valódi adatvédelmi kultúra megteremtése céljából. Mindezek alapján a rendelet teljes szövegében olyan kockázatalapú megközelítés kerül bevezetésre, ami lehetővé teszi az adatkezelő és az adatfeldolgozó kötelezettségeinek az általuk végzett adatkezelési műveletek által jelentett kockázatnak megfelelő alakítását. Ezen túlmenően a magatartási kódexek és a tanúsítási mechanizmusok hozzájárulnak az adatvédelmi szabályoknak való megfeleléshez. Ez a megközelítés megakadályozza a túlzottan előíró jellegű szabályokat, és csökkenti az adminisztratív terheket anélkül, hogy csökkentené a megfelelés mértékét. Továbbá a kiszabható bírságok visszatartó ereje ösztönzőként szolgál arra nézve, hogy az adatkezelők betartsák a rendelet előírásait. 5419/1/16 REV 1 ADD 1 as/ar 4

5 Az első olvasatban kialakított tanácsi álláspontban foglalt új adatvédelmi szabályok emellett megerősített és érvényesíthető jogokat biztosítanak az állampolgárok számára. Ez lehetővé teszi a természetes személyek számára a személyes adataik feletti nagyobb rendelkezést, ami növeli a fogyasztók határokon átnyúló online szolgáltatásokba vetett bizalmát, ami pedig hozzájárul az egységes digitális piac fellendítéséhez. A gyermekeket különös védelemben kell részesíteni, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésének kockázataival, illetve az adatok kezeléséhez kapcsolódó jogaikkal. A Tanács első olvasatbeli álláspontja fokozza továbbá a felügyeleti hatóságok függetlenségét, ugyanakkor összehangolja feladataikat és hatásköreiket. A felügyeleti hatóságok közötti, illetve adott esetben a Bizottsággal történő, határokon átnyúló esetekben való együttműködés szabályai (az egységességi mechanizmus) hozzájárulnak majd ahhoz, hogy az Európai Unió egészében egységesen alkalmazzák a rendeletet. Ez fokozza a jogbiztonságot, és csökkenti az adminisztratív terheket. Ezenfelül az egyablakos mechanizmus keretében egyetlen kapcsolattartó áll majd az adatkezelők és adatfeldolgozók rendelkezésére az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban, az újonnan létrehozott Európai Adatvédelmi Testület pedig kötelező erejű döntéseket hozhat a vitarendezési eljárás során. E mechanizmusnak köszönhetően a rendelet alkalmazása egységesebbé válik, valamint nő a jogbiztonság és csökkennek az adminisztratív terhek. Végezetül, a Tanács első olvasatbeli álláspontja átfogó keretet teremt a személyes adatoknak az Európai Unióból harmadik országbeli címzettek vagy nemzetközi szervezetek részére történő továbbítására vonatkozóan, új eszközöket biztosítva a 95/46/EK irányelvhez képest. B. A legfontosabb kérdések A Tanács és az Európai Parlament a nem hivatalos tárgyalások során az Európai Bizottság közreműködésével közelítették álláspontjaikat, melyeket a Tanács általános megközelítése, illetve a Parlament első olvasatban kialakított álláspontja tartalmaz. Az általános adatvédelmi rendelettel kapcsolatos, első olvasatban kialakított tanácsi álláspont teljes mértékben tükrözi a létrejött kompromisszumot. Az első olvasatban kialakított tanácsi álláspontban szabályozott legfontosabb kérdések a következők: 5419/1/16 REV 1 ADD 1 as/ar 5

6 1. A rendelet hatálya 1.1. A rendelet tárgyi hatálya és annak elhatárolása az adatvédelmi irányelv hatályától Az első olvasatban kialakított tanácsi álláspont szerint az általános adatvédelmi rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek a személyes adatok bármely, meghatározott ismérvek alapján hozzáférhető strukturált állományának részét képezik, vagy amelyeket ilyen strukturált állomány részévé kívánnak tenni. Az általános adatvédelmi rendelet tárgyi hatálya és a bűnüldözés területére vonatkozó adatvédelmi irányelv hatálya kölcsönösen kizárja egymást. Rögzítésre került, hogy a rendelet nem alkalmazandó az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése és üldözése, illetve büntetőjogi szankciók végrehajtása, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett adatkezelésre. Ez az elhatárolás lehetővé teszi a bűnüldöző hatóságok, különösen a rendőrség számára, hogy főszabályként az irányelvben meghatározott adatvédelmi rendszert alkalmazzák, és egyúttal biztosítja azon természetes személyek személyes adatainak következetes és magas szintű védelmét, akik ellen bűnüldözési műveleteket folytatnak Európai uniós intézmények és szervek Az érintettek személyes adataik kezelése tekintetében való védelmének egységessége és következetessége érdekében a Tanács első olvasatban kialakított álláspontja kimondja, hogy az általános adatvédelmi rendelet elfogadását követően az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó 45/2001/EK rendelet szükséges módosításait is el kell fogadni, hogy e két jogszabály alkalmazása egy időben kezdődhessen meg Az otthoni tevékenységek mentessége Annak érdekében, hogy e szabályok ne rójanak szükségtelen terhet a természetes személyekre, a Tanács első olvasatbeli álláspontja előírja, hogy a rendelet nem alkalmazandó a személyes adatok természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett, azaz szakmai vagy kereskedelmi tevékenységgel össze nem függő kezelésére. 5419/1/16 REV 1 ADD 1 as/ar 6

7 1.4. Területi hatály A Tanács első olvasatban kialakított álláspontja egyenlő versenyfeltételeket teremt az adatkezelők és adatfeldolgozók számára a területi hatály tekintetében, azáltal, hogy kiterjed valamennyi adatkezelőre és adatfeldolgozóra függetlenül attól, hogy rendelkeznek-e tevékenységi hellyel az Unióban vagy sem. Először is a rendelet rögzíti, hogy az adatvédelmi szabályokat alkalmazni kell a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére függetlenül attól, hogy az adatkezelés az Unióban vagy azon kívül történik-e. Másodszor, annak biztosítása érdekében, hogy a természetes személyeket ne lehessen megfosztani adataik védelmétől, e rendeletet alkalmazni kell az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére is, amennyiben ezek az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az ilyen érintettek számára történő Unión belüli kínálásához kapcsolódnak, illetve az ilyen érintettek magatartásának megfigyeléséhez kapcsolódnak, feltéve, hogy az Európai Unió területén belül tanúsított magatartásukról van szó. Ezen túlmenően a hatály ily módon történő meghatározása javítja a jogbiztonságot mind az adatkezelők, mind az érintettek (azon természetes személyek, akiknek a személyes adatait kezelik) számára. A Tanács első olvasatban kialakított álláspontja emellett biztosítja, hogy az érintettek és a felügyeleti hatóságok egy kapcsolattartó ponthoz fordulhassanak az Unióban abban az esetben, ha az adatkezelő vagy adatfeldolgozó nem rendelkezik tevékenységi hellyel az Unióban, de a rendelet hatálya alá tartozik: az ilyen adatkezelőknek és adatfeldolgozóknak írásban ki kell jelölniük unióbeli képviselőjüket. A szükségtelen adminisztratív terhek elkerülése érdekében ez a kötelezettség nem alkalmazandó azokra az adatkezelési műveletekre, amelyek vélhetően nem járnak kockázattal a természetes személyek jogaira és szabadságaira nézve, illetve amelyeket a harmadik ország közhatalmi szervei, illetve egyéb, közfeladatot ellátó szervei végeznek. 5419/1/16 REV 1 ADD 1 as/ar 7

8 2. A személyes adatok kezelésére vonatkozó alapelvek Az adatvédelem elveit minden azonosítható vagy azonosított természetes személyre vonatkozó információ esetében alkalmazni kell, ideértve azokat az információkat is, amelyek esetében további információk felhasználása nélkül már nem állapítható meg, hogy azok mely konkrét érintettre vonatkoznak, feltéve hogy e további információk külön vannak tárolva, és sor került bizonyos technikai és szervezési intézkedések megtételére annak biztosítása érdekében, hogy a személyes adatokat ne lehessen azonosított vagy azonosítható természetes személyekhez kapcsolni (álnevesítés). A 95/46/EK irányelvvel összevetve a rendelet nagyrészt biztosítja a folytonosságot a személyes adatok kezelése alapjául szolgáló elvek tekintetében. Ugyanakkor az adattakarékosság elve kiigazításra került a digitális valóság figyelembevétele érdekében, valamint egyrészt a személyes adatok védelme, másrészt az adatkezelők adatkezelési lehetőségei közötti egyensúly megteremtése érdekében. 3. Az adatkezelés jogszerűsége 3.1. A jogszerűség feltételei A jogbiztonság megvalósítása céljából a Tanács első olvasatbeli álláspontja a 95/46/EK irányelven alapul, mivel kimondja, hogy a személyes adatok kezelése kizárólag akkor jogszerű, ha az alábbi feltételek közül legalább az egyik teljesül: az érintett hozzájárulása személyes adatainak egy vagy több konkrét célból történő kezeléséhez; szerződéskötés; jogi kötelezettség; az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme; közérdekű feladat vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtása; az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Az említett feltételek közül kettő bővebb magyarázatra szorul: az érintett hozzájárulása, illetve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése. 5419/1/16 REV 1 ADD 1 as/ar 8

9 Az érintett hozzájárulása Személyes adatai kezelésének engedélyezése céljából az érintett egyértelmű megerősítő cselekedettel, vagyis önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű egyetértésének kinyilvánításával a hozzájárulását adhatja a rá vonatkozó személyes adatok kezeléséhez. E hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan kell megadni. Az adatkezelőnek továbbá képesnek kell lennie annak bizonyítására, hogy az érintett hozzájárult az adatkezelési művelethez. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás fogalmának megszövegezése biztosítja a 95/46/EK irányelv alapján e fogalom használata tekintetében kialakult uniós vívmányokkal való folytonosságot, és ugyanakkor elősegíti a hozzájárulás fogalmának egységes módon történő értelmezését és alkalmazását az Unió egész területén. Az érintettek adatvédelmi jogainak védelme érdekében továbbá rögzítésre került, hogy amennyiben az érintett a hozzájárulását más ügyekre is vonatkozó írásbeli nyilatkozat keretében adta meg, e nyilatkozat bármely olyan része, amely sérti e rendeletet, nem bír kötelező erővel. Annak megállapítása során pedig, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni egyebek mellett azt is, hogy valamely szerződés teljesítésének feltételéül szabták-e az olyan adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez. Végezetül a személyes adatok különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérés lehetővé tétele érdekében a Tanács első olvasatbeli álláspontja szigorúbb követelményeket fogalmaz meg, mint az egyéb adatkezelés esetében, mivel az érintettnek kifejezett hozzájárulását kell adnia az ilyen különleges személyes adatok kezeléséhez. 5419/1/16 REV 1 ADD 1 as/ar 9

10 A gyermekek tekintetében a Tanács első olvasatbeli álláspontja egyedi védelmi rendszert állapít meg, amennyiben az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan gyermek adja hozzájárulását személyes adatainak kezeléséhez. A 16 éves felső korhatárnál fiatalabb gyermekek személyes adatainak kezelése csak akkor jogszerű, ha a rendelkezésére álló technológia figyelembevételével megbízható módon ellenőrizhető, hogy a hozzájárulást a gyermek feletti szülői felügyelet gyakorlója adta meg, illetve engedélyezte. A tagállamok e tekintetben alacsonyabb felső korhatárt is meghatározhatnak, amennyiben azt megfelelőbbnek tartják, amely azonban nem lehet alacsonyabb 13 évnél Az adatkezelő jogos érdeke A személyes adatok kezelése jogszerűnek tekinthető, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Azonban e jogos érdekek nem szolgáltatnak elegendő indokot a jogszerű adatkezelésre, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek a személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. A jogos érdek meglétének megállapításához meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy az adott célból adatkezelésre kerülhet sor. Személyes adatok közvetlen üzletszerzési célú kezelése szintén tekinthető jogos érdeken alapulónak. Mivel a jogalkotónak feladata, hogy jogszabályban meghatározza a személyes adatok közhatalmi szervek általi kezelésének jogalapját, a fentiek nem vonatkoznak a közhatalmi szervek által feladataik ellátása során végzett személyesadat-kezelésre. 5419/1/16 REV 1 ADD 1 as/ar 10

11 3.2. A rendelet alkalmazásának kiigazítását célzó konkrét tagállami szabályok A Tanács első olvasatbeli álláspontja lehetővé teszi a tagállamok számára, hogy konkrétabb rendelkezéseket tartsanak fenn vagy vezessenek be, amelyek kiigazítják a rendeletben foglalt szabályok alkalmazását, ha a személyes adatok kezelésére jogi kötelezettség teljesítése céljából kerül sor, vagy ha az adatkezelés valamely közérdekű feladat vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ezen túlmenően eltéréseket, konkrét követelményeket és egyéb intézkedéseket irányoz elő bizonyos különös adatkezelési műveletekkel kapcsolatban, melyek révén a tagállamok összeegyeztethetik a személyes adatok védelméhez való jogot a véleménynyilvánítás szabadságához és az információszabadsághoz való joggal, illetve a hivatalos dokumentumokhoz való nyilvános hozzáféréssel, a nemzeti azonosító számok kezelésével, a foglalkoztatással összefüggő adatkezeléssel és a közérdekű archiválás céljából, illetve tudományos és történelmi kutatási vagy statisztikai célból folytatott adatkezeléssel További adatkezelés A Tanács első olvasatbeli álláspontja értelmében a személyes adatoknak a gyűjtésük eredeti céljától eltérő célból történő kezelése kizárólag akkor jogszerű, ha a további adatkezelés összeegyeztethető azokkal a célokkal, amelyekre a személyes adatokat eredetileg gyűjtötték. Azonban ha az érintett hozzájárulását adta, illetve ha az adatkezelés uniós vagy tagállami jogszabályon alapul, és egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül bizonyos fontos közérdekek védelme szempontjából, az adatkezelőnek a célok összeegyeztethetőségétől függetlenül jogában áll további adatkezelést végezni a szóban forgó személyes adatokon. Az érintettek jogai fokozottan érvényesülnek a további adatkezelés esetében, különösen a tájékoztatáshoz való jog és a tiltakozáshoz való jog tekintetében, amennyiben nincs szükség további adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében. 5419/1/16 REV 1 ADD 1 as/ar 11

12 Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelőnek figyelembe kell vennie többek között minden, az eredeti célok és a tervezett további adatkezelés célja között fennálló összefüggést, a személyes adatok gyűjtésének körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű várakozásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további adatkezelési műveletek során A személyes adatok különleges kategóriáinak kezelése A természetüknél fogva különleges személyes adatok különleges védelmet érdemelnek, mivel a kezelésük körülményei jelentős kockázattal járhatnak a természetes személyek alapvető jogaira és szabadságaira nézve. Ezért főszabályként a Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelvben alkalmazott megközelítést, és tiltja a személyes adatok különleges kategóriáinak kezelését. E szabálytól eltérve, bizonyos kimerítően felsorolt helyzetekben megengedett a különleges adatok kezelése, például ha az érintett kifejezett hozzájárulását adta, ha az adatkezelés jelentős közérdek miatt szükséges, vagy ha az adatkezelés más célból szükséges, így például az egészségügy területén. Végezetül a Tanács első olvasatbeli álláspontja értelmében a tagállamok további feltételeket többek között korlátozásokat vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan. Azonban e további feltételek nem akadályozhatják az adatok Unión belüli szabad áramlását. 5419/1/16 REV 1 ADD 1 as/ar 12

13 4. Az érintettek jogainak fokozott érvényesítése 4.1. Bevezetés A Tanács első olvasatbeli álláspontja elősegíti az érintettek jogainak fokozott érvényesítését azáltal, hogy megerősíti adatvédelmi jogaikat és kötelezettségeket ró az adatkezelőkre. Az érintett jogai magukban foglalják a tájékoztatáshoz való jogot, a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez való jogot, a személyes adatok törléséhez, illetve a tárolásuk megszüntetéséhez való jogot, az adatkezelés korlátozásához fűződő jogot, az adathordozhatósághoz és a tiltakozáshoz való jogot, valamint a kizárólag automatizált adatkezelésen többek között profilalkotáson alapuló döntések hatálya alóli mentesülés jogát. Azok a jogok, amelyek tekintetében fontos változásokra került sor a 95/46/EK irányelvhez képest, az alábbiakban részletesebb kifejtésre kerülnek. Az adatkezelők kötelesek megkönnyíteni az érintettek jogainak gyakorlását, valamint a személyes adatok kezelését az átláthatóság elvével összhangban végezni, különösen azáltal, hogy tájékoztatást nyújtanak a személyes adatok általuk végzett kezeléséről. Azonban amennyiben az adatkezelő által kezelt adatok nem teszik lehetővé az adatkezelő számára valamely érintett azonosítását, akkor az adatkezelő nem kötelezhető további információk megszerzésére az érintett személyazonosságának kizárólag abból a célból történő megállapítása érdekében, hogy az adatkezelő megfeleljen e rendelet valamely rendelkezésének. Az érintettek említett jogai és az adatkezelők említett kötelezettségei ellenére a Tanács első olvasatbeli álláspontja fenntartja a 95/46/EK irányelvben alkalmazott megközelítést azáltal, hogy lehetővé teszi az általános elvek és a természetes személyek jogainak korlátozását, amennyiben ez a korlátozás az uniós vagy a nemzeti jogon alapul. Az ilyen korlátozásoknak tiszteletben kell tartaniuk az alapvető jogok és szabadságok lényeges tartalmát, továbbá a demokratikus társadalomban bizonyos közérdekek védelméhez szükséges és arányos intézkedésnek kell minősülniük. 5419/1/16 REV 1 ADD 1 as/ar 13

14 4.2. Átláthatóság Az átláthatóság elvének megfelelően az adatkezelőnek a személyes adatok kezelésével kapcsolatos információkat és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett információk esetében. Az információkat írásban vagy más módon, adott esetben elektronikusan kell megadni. A Tanács első olvasatbeli álláspontja továbbá határidőket szab meg az információnak vagy tájékoztatásnak az adatkezelő általi nyújtásával, illetve az adatkezelő általi bármely egyéb intézkedéssel kapcsolatos kérelmek esetében a válaszadásra, melyet főszabályként díjmentesen kell nyújtani. Azonban amennyiben az érintett kérelme egyértelműen megalapozatlan vagy például különösen ismétlődő jellege miatt túlzó, az adatkezelő figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre méltányos összegű díjat számíthat fel, vagy megtagadhatja a kérelem nyomán történő intézkedést. Ebben az esetben az adatkezelőt terheli a kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása Az adatkezelő által nyújtandó információk, illetve tájékoztatás Az azzal kapcsolatos egyensúly megteremtése érdekében, hogy egyrészt az érintettek elegendő információt kapjanak személyes adataik kezeléséről, másrészt pedig el lehessen kerülni az adatkezelők számára terhet jelentő kötelezettségeket, a Tanács első olvasatbeli álláspontja kétlépcsős megközelítést határoz meg annak biztosítása céljából, hogy az érintettek megfelelő tájékoztatásban részesüljenek akkor is, ha a személyes adatokat az érintettől gyűjtik be, illetve abban az esetben is, ha az adatok begyűjtésére más forrásból került sor. Első lépésként az adatkezelőnek a személyes adatok megszerzésének időpontjában az érintett rendelkezésére kell bocsátania az e rendeletben felsorolt információkat. Második lépésként az adatkezelőnek a rendeletben felsorolt, a tisztességes és hatékony adatkezelés biztosításához szükséges további információkat is rendelkezésre kell bocsátania. Az adatkezelőnek abban az esetben is tájékoztatnia kell az érintetteket, ha a személyes adatokat a gyűjtésük céljától eltérő bármely egyéb célból szándékozik kezelni. 5419/1/16 REV 1 ADD 1 as/ar 14

15 Az adatkezelő nem köteles közölni az első, illetve a második lépés körébe tartozó információkat, ha az érintett már birtokában van ezeknek az információknak. Ha a személyes adatokat nem az érintettől szerezték be, az adatkezelő semmilyen információt nem bocsát az érintett rendelkezésére, amennyiben a szóban forgó személyes adatok rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne. Végezetül az adatkezelő köteles minden olyan címzettet tájékoztatni valamennyi helyesbítésről, törlésről, illetve adatkezelés-korlátozásról, akivel, illetve amellyel az adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Ezenfelül az adatkezelőnek kérésre tájékoztatnia kell az érintettet e címzettekről Ikonok Az átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Ennek alapján a Tanács első olvasatbeli álláspontja megállapítja, hogy az érintettnek nyújtott információkat szabványosított ikonokkal is ki lehet egészíteni. Az adatkezelők önkéntes alapon dönthetnek arról, hogy a szabványosított ikonok használata hasznos lenne-e a személyes adatok általuk végzett kezeléséhez. Az ikonoknak jól látható, könnyen érthető és jól olvasható formában érdemi áttekintést kell adniuk a tervezett adatkezelésről. Az ikonoknak a tájékoztatással egyidejűleg kell megjelenniük. Az elektronikus formában megjelenített ikonoknak géppel olvashatóknak kell lenniük. Az ikonok EU-n belüli egységes használatának elősegítése céljából a rendelet felhatalmazza a Bizottságot, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el az ikonok által megjelenítendő információk, valamint a szabványosított ikonok kialakítását szolgáló eljárások meghatározása céljából. Az Európai Adatvédelmi Testületnek véleményt kell nyilvánítania a Bizottság által javasolt ikonokról. A felhatalmazáson alapuló jogi aktusok elfogadásának lehetősége nem akadályozza meg az Európai Adatvédelmi Testületet abban, hogy iránymutatásokat, véleményeket és bevált gyakorlatokat tegyen közzé az ikonokkal kapcsolatban. 5419/1/16 REV 1 ADD 1 as/ar 15

16 4.5. A hozzáférés joga Az érintettnek jogában áll, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy folyamatban van-e rá vonatkozó személyes adatok kezelése, és amennyiben folyamatban van ilyen személyes adatok kezelése, joga van a rendeletben felsorolt információkhoz való hozzáféréshez. Ennek alapján a rendelet kimondja, hogy az adatkezelő köteles ingyenesen, az érintett rendelkezésére bocsátani az adatkezelés tárgyát képező személyes adatok másolatát. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. A másolat megszerzésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait. 4,6. A törléshez való jog ( a személyes adatok tárolásának megszüntetéséhez való jog ) A Tanács első olvasatbeli álláspontja feljogosítja az érintetteket a rájuk vonatkozó személyes adatok töröltetésére, amennyiben a szóban forgó adatok kezelése nem felel meg e rendeletnek vagy valamely olyan uniós vagy tagállami jogszabálynak, amelynek hatálya kiterjed az adatkezelőre. A személyes adatok tárolásának megszüntetéséhez való jogra történő hivatkozás elismeri, hogy ki kell igazítani a törléshez való jog fogalmát, különösen digitális környezetben való alkalmazás esetében. Annak az adatkezelőnek, aki olyan személyes adatokat hozott nyilvánosságra, melyeknek tárolását az érintett meg kívánja szüntetni, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az észszerűen elvárható lépéseket többek között technikai intézkedéseket annak érdekében, hogy tájékoztassa a szóban forgó személyes adatokat kezelő adatkezelőket arról, hogy az érintett kérte az adatokra mutató linkeknek vagy az adatok másolatának, illetve másodpéldányának a törlését. Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és bevált gyakorlatokat tehet közzé a személyes adatokra mutató linkeknek, azok másolatainak vagy másodpéldányainak a nyilvánosság számára hozzáférhető kommunikációs szolgáltatásokból történő törlésére vonatkozóan. A törléshez való jog és az adatkezelő azon kötelezettsége, hogy tájékoztassa a többi adatkezelőt a törlési kérelemről, nem alkalmazandó, amennyiben a személyes adatok kezelése a rendeletben kimerítő jelleggel felsorolt például a véleménynyilvánítás szabadságához és az információszabadsághoz való joggal kapcsolatos célokból szükséges. 5419/1/16 REV 1 ADD 1 as/ar 16

17 4.7. Az adathordozhatósághoz való jog A Tanács első olvasatbeli álláspontja értelmében amennyiben a személyes adatok kezelése automatizált módon történik, az érintetteknek jogukban áll, hogy az általuk az adatkezelő rendelkezésére bocsátott, rájuk vonatkozó személyes adatokhoz strukturált, széles körben használt, géppel olvasható és interoperábilis formátumban férjenek hozzá, és azokat egy másik adatkezelő részére továbbítsák. Továbbá rögzítésre került, hogy az érintetteknek jogukban áll a személyes adatoknak az adatkezelők közötti közvetlen továbbításáról rendelkezni, amennyiben ez technikailag megvalósítható. Ez tovább erősíti az érintetteknek az adataik feletti rendelkezését. Emellett az adatkezelők közötti versenyt is ösztönzi. Azonban az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű feladat vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ezenkívül amennyiben egy adott személyesadat-állomány egynél több érintettre vonatkozik, az egyik érintettnek a személyes adatokhoz való hozzáféréshez való joga nem sértheti egyéb személyek jogait és szabadságait A kifogásoláshoz való jog Az érintettnek akkor is jogában áll tiltakozni az egyedi helyzetére vonatkozó személyes adatok kezelésével szemben, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott hivatali hatáskör gyakorlása keretében végzett feladat végrehajtásához, illetve az adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség. Ebben az esetben az adatkezelő nem kezelheti tovább a személyes adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. 5419/1/16 REV 1 ADD 1 as/ar 17

18 Mindezek alapján megállapításra került, hogy amennyiben a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintettnek jogában áll, hogy bármikor tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen. Ebbe beletartozik a profilalkotás is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Profilalkotáson a személyes adatok automatizált kezelésének bármely olyan formáját kell érteni, amelynek során az említett adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére különösen a munkahelyi teljesítményhez, anyagi helyzethez, egészséghez, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, magatartáshoz, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban nem kezelhetők e célból. Erre a jogra továbbá legkésőbb az adatkezelő és az érintett közötti első kapcsolatfelvétel során kifejezetten és egyértelműen fel kell hívni az érintett figyelmét. A Tanács első olvasatbeli álláspontja továbbá utalást tartalmaz a böngészők ne kövess funkciójára is, mivel kimondja, hogy az információs társadalommal összefüggő szolgáltatások használata során az érintett a felhasználó-követés elleni tiltakozás jogát automatizált eszközökkel, technikai beállítások használata révén is gyakorolhatja Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást Az érintettnek jogában áll az, hogy ne terjedhessen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti. Példa erre egy online hitelkérelem automatikus elutasítása vagy az emberi beavatkozás nélkül lefolytatott online munkaerő-toborzás. Ilyen automatizált adatkezelésnek minősülhet a profilalkotás is. Mindazonáltal az automatizált adatkezelés alóli mentesülés joga nem alkalmazandó, amennyiben az automatizált adatkezelés: az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; amennyiben azt olyan uniós vagy nemzeti jogszabály teszi lehetővé, amelynek hatálya kiterjed az adatkezelőre és amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, mint például a csalások vagy az adócsalás nyomon követése; vagy 5419/1/16 REV 1 ADD 1 as/ar 18

19 amennyiben az az érintett kifejezett hozzájárulásán alapul. Az uniós vagy nemzeti jogszabály által engedélyezett adatkezelésre vonatkozó második eset kivételével, az adatkezelést automatizált módon végző adatkezelő köteles megfelelő garanciákat bevezetni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében. Ezen garanciák közé értendő legalább az érintett azon joga, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze és kifogással éljen az automatizált adatkezelésen alapuló döntéssel szemben. Ezenkívül a tisztességes és átlátható adatkezelés biztosítása érdekében az adatkezelőnek adekvát matematikai és statisztikai eljárásokat kell alkalmaznia a profilalkotáshoz, és olyan intézkedéseket kell bevezetnie, amelyek minimálisra csökkentik az érintett érdekeit potenciálisan veszélyeztető tényezőket. Az érintettek jogai ezáltal fokozottabban érvényesülnek, mert a tisztességes és átlátható adatkezelés biztosításához az adatkezelő köteles az érintett rendelkezésére bocsátani az automatizált döntéshozatal így a profilalkotás meglétével kapcsolatos információkat, valamint legalább ezekben az esetekben érthető információkat annak logikájáról, továbbá az ilyen adatkezelés jelentőségéről és várható következményeiről az érintettre nézve. Végezetül a személyes adatok különleges kategóriáin alapuló automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezett. Ilyen feltétel például, hogy az érintett kifogást emelhessen az adatkezelés ellen, ha a személyes adatait tudományos vagy történelmi kutatási, illetve statisztikai célból további adatkezelésnek vetik alá, kivéve ha az adatkezelés valamely közérdekű feladat végrehajtásához szükséges. Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és legjobb gyakorlatokat tehet közzé a profilalkotáson alapuló döntéshozatalra vonatkozó kritériumok és feltételek további pontosítását illetően. 5419/1/16 REV 1 ADD 1 as/ar 19

20 5. Az adatkezelő és az adatfeldolgozó 5.1. Bevezetés A Tanács első olvasatbeli álláspontja megállapítja a személyes adatoknak az adatkezelő által vagy az adatkezelő nevében az adatfeldolgozó által végzett bárminemű kezelése tekintetében fennálló hatáskörre és felelősségre vonatkozó jogi keretet. Az elszámoltathatóság elvének megfelelően az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania, és bizonyítani kell tudnia, hogy az általa végzett adatkezelési műveletek megfelelnek a rendeletnek. A fentiekre tekintettel a rendelet szabályokat állapít meg arra vonatkozóan, hogy az adatkezelőre milyen felelősség hárul a hatásvizsgálatok, az adatkezelés nyilvántartása, az adatvédelmi incidensek, az adatvédelmi tisztviselő kijelölése, a magatartási kódex és a tanúsítási mechanizmusok vonatkozásában Hatásvizsgálatok Amennyiben az adatkezelés valószínűsíthetően nagy kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. A Tanács első olvasatbeli álláspontja meghatározza, hogy mely esetekben van különösen szükség adatvédelmi hatásvizsgálat végzésére ilyenek például bizonyos nagy volumenű adatkezelési műveletek. Amennyiben a hatásvizsgálat szerint az adatkezelési műveletek olyan nagy kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően konzultálni kell a felügyeleti hatósággal. A felügyeleti hatóság tanácsot adhat az adatkezelőnek, és bármely hatáskörét gyakorolhatja. Az Európai Adatvédelmi Testület iránymutatásokat adhat ki az olyan adatkezelési műveletekre vonatkozóan, amelyek vélhetően nagy kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, és megadhatja, hogy ilyen esetben mely intézkedésekre van szükség a potenciális kockázat kielégítő kezeléséhez. 5419/1/16 REV 1 ADD 1 as/ar 20

21 5.3. Az adatkezelés nyilvántartása Annak érdekében, hogy a felügyeleti hatóság utólagos ellenőrzéseket végezhessen, az adatkezelőnek és ha van ilyen az adatkezelő képviselőjének, vagy az adatfeldolgozónak nyilvántartást kell vezetnie a felelőssége mellett végzett adatkezelési tevékenységekről, ideértve az adatvédelmi incidenseket is. Az adminisztratív terhek csökkentése érdekében a nyilvántartási kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra vagy szervezetekre, kivéve ha az általuk végzett adatkezelési tevékenység valószínűsíthetően kockázattal jár az érintett jogaira és szabadságaira nézve, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés különleges adatok vagy büntetőítéletekre és bűncselekményekre vonatkozó adatok kezelését foglalja magában Adatvédelmi incidensek Az adatvédelmi incidensek fizikai sérülést, vagyoni vagy nem vagyoni kárt okozhatnak a természetes személyek számára, ideértve többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérülését, a szakmai titoktartási kötelezettség által védett adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb gazdasági vagy szociális hátrányt. A Tanács első olvasatbeli álláspontja értelmében az adatkezelőnek értesítenie kell a felügyeleti hatóságot az adatvédelmi incidensről, kivéve ha az vélhetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatkezelőnek továbbá tájékoztatnia kell az érintetteket, amennyiben az adatvédelmi incidens vélhetően nagy kockázattal jár. Az értesítésnek köszönhetően a felügyeleti hatóságok szükség esetén intézkedéseket hozhatnak, az érintettek pedig óvintézkedéseket tehetnek. Az adminisztratív terhek csökkentése érdekében a Tanács első olvasatbeli álláspontja eltérő határidőket állapít meg a felügyeleti hatóságnak szóló értesítést és az érintettnek címzett tájékoztatást illetően: az előbbire szigorúbb határidő vonatkozik. Amint az adatvédelmi incidens az adatkezelő tudomására jut, indokolatlan késedelem nélkül, és amennyiben lehetséges, legkésőbb 72 órán belül értesítenie kell arról az illetékes felügyeleti hatóságot. Az adatkezelő ugyanakkor eltekinthet az értesítéstől, amennyiben bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Néhány kivételtől eltekintve az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintetteket az adatvédelmi incidensről, amennyiben az valószínűsíthetően nagy kockázattal jár az érintettek jogaira és szabadságaira nézve. 5419/1/16 REV 1 ADD 1 as/ar 21

22 Az Európai Adatvédelmi Testület iránymutatásokat, ajánlásokat és legjobb gyakorlatokat tehet közzé az adatvédelmi incidens és az indokolatlan késedelem tényének megállapítására, valamint azokra a konkrét körülményekre vonatkozóan, amelyek fennállása esetén az adatkezelőnek értesítést kell küldenie az adatvédelmi incidensről, továbbá azokra a körülményekre vonatkozóan, amelyek fennállása esetén az adatvédelmi incidens várhatóan nagy kockázattal jár az egyének jogaira és szabadságaira nézve Adatvédelmi tisztviselő Adatvédelmi tisztviselő kijelölésére azért van szükség, hogy javítani lehessen a rendeletnek való megfelelést. Az adatvédelmi tisztviselőnek ezért olyan személynek kell lennie, aki szakértelemmel rendelkezik az adatvédelmi jog és gyakorlat terén. Az adatvédelmi tisztviselőnek segítenie kell az adatkezelőt vagy adatfeldolgozót abban, hogy házon belül ellenőrizni tudja, tevékenysége megfelel-e e rendeletnek. Az adatvédelmi felelős az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Vállalkozáscsoport esetében, illetve amennyiben az adatkezelő vagy az adatfeldolgozó közhatalmi szerv, egyetlen közös adatvédelmi felelős is kijelölhető. A Tanács első olvasatbeli álláspontja előírja, hogy kötelező adatvédelmi tisztviselőt kijelölni, ha: az adatkezelést közhatalmi szervek, illetve egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat vagy független igazságügyi szerveket, vagy az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagy volumenű megfigyelését teszik szükségessé, vagy az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges adatok, valamint büntetőítéletekre és bűncselekményekre vonatkozó adatok nagy volumenű kezelését foglalják magukban. 5419/1/16 REV 1 ADD 1 as/ar 22

23 5.6. Magatartási kódexek és tanúsítási mechanizmus A Tanács első olvasatbeli álláspontja magatartási kódexek alkalmazására, valamint az adatvédelmi tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések szélesebb körű használatára ösztönöz, mivel ezek elősegítik az adatvédelmi szabályoknak való megfelelést, ugyanakkor nem túlzottan előíró jellegűek és csökkentik a végrehajtásért felelős közhatalmi szervekre, illetve egyéb, közfeladatot ellátó szervekre háruló költségeket. A magatartási kódexekben ezen túlmenően figyelembe lehet venni a meghatározott ágazatokban végzett adatkezelés sajátosságait, valamint a mikro-, kis- és középvállalkozások sajátos szükségleteit. A tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések pedig annak révén segítik elő a rendeletnek való megfelelést, hogy lehetővé teszik az érintettek számára az adott termékek és szolgáltatások tekintetében biztosított adatvédelmi szint könnyű felmérését. A Tanács első olvasatbeli álláspontja több szabályt is tartalmaz a magatartási kódexekre és tanúsítási mechanizmusokra, adatvédelmi védjegyekre és jelölésekre vonatkozóan, amely szabályok teret hagynak a magánkezdeményezéseknek, a felügyeleti hatóságoknak biztosított szerep révén ugyanakkor gondoskodnak a megfelelő adatvédelmi szabványok védelméről Magatartási kódexek A felügyeleti hatóság jóváhagyhat magatartási kódexeket, továbbá jóváhagyhatja azok módosításait vagy bővítéseit. Amennyiben a magatartási kódex tervezete több tagállamot is érintő adatkezelői tevékenységekre vonatkozik, az illetékes felügyeleti hatóságnak a jóváhagyás előtt véleményezésre be kell nyújtania az Európai Adatvédelmi Testülethez a kódex tervezetét, illetve a módosított vagy kibővített változatot. A Bizottság végrehajtási aktusok útján határozhat úgy, hogy az illetékes felügyeleti hatóság által jóváhagyott új magatartási kódexek, illetve a hatályos magatartási kódexek illetékes felügyeleti hatóság által jóváhagyott módosításai vagy bővítései általános érvénnyel bírnak az Unió területén. Az Európai Adatvédelmi Testületnek ösztönöznie kell magatartási kódexek kidolgozását. Emellett valamennyi jóváhagyott magatartási kódexet és azok módosításait egy nyilvántartásban kell összegyűjtenie, és azokat megfelelő módon nyilvánosan elérhetővé kell tennie. 5419/1/16 REV 1 ADD 1 as/ar 23

24 Tanúsítási mechanizmusok, adatvédelmi védjegyek, illetve jelölések A Tanács első olvasatbeli álláspontja értelmében minden tagállamnak meg kell győződnie arról, hogy a tanúsító szervezeteket akkreditálta-e a felügyeleti hatóság vagy a nemzeti akkreditáló testület. Az akkreditált tanúsító szervezetek az illetékes felügyeleti hatóság által, illetve az egységességi mechanizmusnak megfelelően az Európai Adatvédelmi Testület által jóváhagyott kritériumok alapján végezhetik az adatkezelők és adatfeldolgozók tanúsítását. Ez utóbbi esetben az Európai Adatvédelmi Testület által jóváhagyott kritériumok eredményeként közös tanúsítvány állítható ki, az európai adatvédelmi védjegy. Az adatkezelők vagy adatfeldolgozók részére legfeljebb három évre szóló, megújítható tanúsítvány állítható ki. A tanúsító szervezetnek közölnie kell a felügyeleti hatósággal a kért tanúsítvány megadásának vagy visszavonásának okait. Ezt követően a felügyeleti hatóság megtagadhatja vagy érvénytelennek nyilváníthatja a tanúsítványt. A Bizottság felhatalmazáson alapuló jogi aktusokat fogadhat el az adatvédelmi tanúsítási mechanizmusok tekintetében figyelembe veendő követelmények meghatározása céljából. Az Európai Adatvédelmi Testületnek véleményt kell nyilvánítania ezekről a követelményekről. A Bizottság végrehajtási aktusok útján a tanúsítási mechanizmusokra és az adatvédelmi védjegyekre, illetve jelölésekre vonatkozó technikai szabványokat, valamint a tanúsítási mechanizmusok és az adatvédelmi védjegyek, illetve jelölések népszerűsítésére és elismerésére szolgáló mechanizmusokat határozhat meg. Végezetül, az Európai Adatvédelmi Testületnek ösztönöznie kell adatvédelmi tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések kialakítását. 6. A személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítása 6,1. Bevezetés A globális kereskedelem és a határokon átnyúló digitális gazdaság összefüggésében elengedhetetlen a személyes adatoknak az Unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló, határokat átlépő forgalma. Az uniós polgárok személyes adatainak az Unión kívülre továbbításakor nem sérülhet az Unióban biztosított védelem szintje. 5419/1/16 REV 1 ADD 1 as/ar 24