6834/15 hk/pu/pu/hk/kb 1 DG D 2C

Átírás

1 Az Európai Unió Tanácsa Brüsszel, március 9. (OR. en) Intézményközi referenciaszám: 2012/0011 (COD) 6834/15 DATAPROTECT 27 JAI 157 MI 145 DRS 19 DAPIX 31 FREMP 46 COMIX 103 CODEC 296 FELJEGYZÉS Küldi: Címzett: Tárgy: az elnökség a Tanács Javaslat Az Európai Parlament és a Tanács rendelete a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet) II. fejezet Háttérinformációk 1. Az információcserével foglalkozó és adatvédelmi munkacsoport február 5 6-i ülésén és az IB-tanácsosok február 23-i, március 2-i és március 5-i 1 ülésén tartott megbeszéléseket követően az elnökség néhány további módosítást tett a II. fejezet szövegében. A legutóbbi változtatásokat félkövér aláhúzott szedés jelöli a mellékletben található szövegben. 2. Az elnökség véleménye szerint a mellékletben foglalt szöveg a lehető legjobb kompromisszumos megoldás, amely figyelembe veszi a delegációk különböző álláspontjait is. 1 Ezen az ülésen az osztrák delegáció felhívta a figyelmet a II. fejezetről szóló feljegyzésére: 6741/15 DATAPROTECT 21 JAI 151 MI 133 DRS 17 DAPIX 29 FREMP 34 COMIX 95 CODEC /15 hk/pu/pu/hk/kb 1 DG D 2C HU

2 3. Ennélfogva felkérjük a Tanácsot, hogy állapodjon meg a II. fejezetre vonatkozó, e feljegyzés mellékletében található részleges általános megközelítésről, az alábbi feltételek mellett: i. a részleges általános megközelítést azzal együtt kell kialakítani, hogy mindaddig nincs semmiről megállapodás, amíg mindenről megállapodás nem született, és a szóban forgó megközelítés nem zárja ki az ideiglenesen elfogadott cikkeknek a rendelet egésze egységességének érdekében történő jövőbeli módosításait; ii. a részleges általános megközelítés nem érint horizontális kérdéseket; valamint iii. a részleges általános megközelítés nem hatalmazza fel az elnökséget arra, hogy a szövegről háromoldalú informális egyeztetéseket kezdjen az Európai Parlamenttel. 6834/15 hk/pu/pu/hk/kb 2 DG D 2C HU

3 I. MELLÉKLET 23) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az olyan adatok, köztük az álnevesített adatok, amelyeket további információ felhasználásával valamely természetes személyhez lehet társítani, azonosítható természetes személyre vonatkozó információnak tekintendők. Annak meghatározására, hogy valamely személy azonosítható-e, minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy ésszerű módon felhasználhat az egyén közvetlen vagy közvetett azonosítására. Annak megállapításakor, hogy mely eszközökről feltételezhető ésszerűen, hogy egy adott személy azonosítására fel fogják használni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve mind az adatkezeléskor rendelkezésre álló technológiákat, mind a technológia fejlődését. Az adatvédelem elvei ennek megfelelően nem alkalmazandók az anonim információkra, vagyis az olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan adatokra, amelyeket olyan módon anonimizáltak, aminek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért az ilyen anonim információk feldolgozására a statisztikai és kutatási célú adatkezelést is ideértve nem vonatkozik. (...) 2. (23a) A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy megfeleljenek az adatvédelmi kötelezettségeiknek. Az álnevesítés kifejezett bevezetése e rendelet cikkeiben tehát nem más adatvédelmi intézkedések kizárására irányul. (23b) (...) 2 Elképzelhető, hogy a rendelet elhunyt személyekre való alkalmazásának kérdésére vissza kell térni a jövőben. 6834/15 hk/pu/pu/hk/kb 3

4 (23c) A személyes adatok kezelése során az álnevesítés alkalmazásának ösztönzése céljából lehetővé kell tenni az álnevesítésre irányuló intézkedéseket az általános elemzés lehetővé tétele mellett egyazon adatkezelő szervezetén belül, ha az adatkezelő meghozta azokat a technikai és szervezési intézkedéseket, amelyek e rendelet rendelkezéseinek végrehajtásához szükségesek, figyelembe véve az érintett adatkezelést, és biztosítva azt, hogy külön tárolják az ahhoz szükséges további információkat, hogy a személyes adatokat egy adott érintetthez lehessen társítani. Az adatokat kezelő adatkezelőnek említést kell tennie az ugyanazon adatkezelő szervezetén belül engedéllyel rendelkező személyekről. Ebben az esetben azonban az adatkezelőnek gondoskodnia kell arról, hogy az álnevesítést végző személy(ek) neve ne szerepeljen a metaadatok között 3. 24) Az online szolgáltatásokat igénybevevők a berendezéseik, alkalmazásaik, eszközeik és protokolljaik által rendelkezésre bocsátott online azonosítókhoz például IP-címekhez vagy cookie-azonosítókhoz társíthatók. Ezáltal olyan nyomok keletkeznek, amelyek az egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal kombinálva felhasználhatók személyes profil létrehozására, és az adott személy azonosítására. Az azonosítószámok, helymeghatározó adatok, online azonosítók vagy egyéb specifikus tényezők önmagukban nem (...) tekintendők személyes adatnak, feltéve hogy az adott személyt nem azonosítják, vagy nem teszik azonosíthatóvá BIZ, IE, IT, AT, SE, UK fenntartással, FR pedig vizsgálati fenntartással él a két utolsó mondattal kapcsolatban. DE fenntartással él. AT és SI véleménye szerint a preambulumbekezdés utolsó mondatát el kellene hagyni. 6834/15 hk/pu/pu/hk/kb 4

5 25) Egyértelmű hozzájárulást kell adni bármely olyan megfelelő módon, amely lehetővé teszi az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló kinyilvánítását, vagy írott ideértve 5 az elektronikus formát, vagy szóbeli nyilatkozat révén, vagy pedig ha a konkrét körülmények azt szükségessé teszik bármely más, a jóváhagyást félreérthetetlenül kifejező cselekedettel, amellyel az érintett beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap látogatása során bejelöl egy négyzetet, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben egyértelműen jelzi az érintett hozzájárulását személyes adatainak tervezett kezeléséhez. A hallgatás vagy a nem cselekvés ezért nem minősül hozzájárulásnak. Amennyiben ez technikailag megoldható és célravezető, az érintett az internetes böngészőben vagy egyéb alkalmazásban megadott megfelelő beállítások alkalmazása útján is jelezheti hozzájárulását az adatkezeléshez 6. Ezekben az esetekben elegendő, ha az érintett akkor kapja meg az önkéntes, konkrét és megfelelő tájékoztatáson alapuló hozzájáruláshoz szükséges információkat, amikor elkezdi használni a szolgáltatást. ( ). A hozzájárulásnak az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre ki kell terjednie. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást félreérthetetlen módon az összes adatkezelési célra vonatkozóan kell megadni. Gyakran nem lehetséges teljes mértékben azonosítani a tudományos célú adatkezelés célját az adatgyűjtés időpontjában. Ezért az érintettek hozzájárulásukat adhatják a tudományos kutatás bizonyos területeihez, ha betartják a tudományos kutatásokra vonatkozó, elismert etikai előírásokat 7. Lehetőséget kell teremteni az érintettek számára, hogy a kutatás bizonyos területeihez vagy a kutatási projektek egyes részeihez adják csak a hozzájárulásukat, annyiban, amennyiben az elérni kívánt cél azt lehetővé teszi, és feltéve, hogy figyelembe véve az adatvédelmi célokat ez nem jár aránytalan erőfeszítésekkel 8. Amennyiben az érintettnek elektronikus kérés alapján kell megadnia hozzájárulását, akkor e kérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában kérik HU és DE azt szeretné, hogy különböztessék meg az írásbeli nyilatkozatokat az elektronikus úton tett nyilatkozatoktól. PL és AT fenntartással él. FR és BIZ vizsgálati fenntartással él. AT, CZ, IE és FR vizsgálati fenntartással, BIZ fenntartással él. UK CZ és IE támogatásával javasolta, hogy a szöveget egészítsék ki a következőkkel: Ha az adatokat még nem ismert kutatási célra vagy kutatási erőforrások [például biobank vagy kohort] részeként szándékoznak tárolni, azt az érintettek tudomására kell hozni, és ismertetni kell velük a szóba jöhető kutatási fajtákat és azok átfogó következményeit. A hozzájárulás ezen értelmezése nem befolyásolja azt, hogy eltérésekről kell rendelkezni az érzékeny adatkategóriák tudományos célú kezelésének tilalma tekintetében. 6834/15 hk/pu/pu/hk/kb 5

6 (25a) A genetikai adatot olyan, az egyén öröklött vagy szerzett genetikai jellemzőivel összefüggő személyes adatként célszerű meghatározni, amely az érintett személytől vett biológiai minta elemzésének különösen kromoszómaelemzésnek, illetve a dezoxiribonukleinsav (DNS) vagy a ribonukleinsav (RNS) vizsgálatának, vagy az ezekből nyerhető információkkal megegyező információk kinyerését lehetővé tevő bármilyen más elem vizsgálatának az eredménye. 26) Az egészségre vonatkozó személyes adatok közé sorolandók (...) az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információval szolgálnak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy mentális egészségi állapotáról 10, beleértve az alábbiakat: az egyén egészségügyi szolgáltatásnyújtás kapcsán történő nyilvántartásával összefüggő adatok (...); az egyén egészségügyi célokból való egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat; (...) a valamely testrész vagy a testet alkotó anyag beleértve a genetikai adatokat és a biológiai mintákat is teszteléséből vagy vizsgálatából származó információk; (...) vagy bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy aktuális fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvosi berendezés vagy in vitro diagnosztikai teszt. 10 Az elnökség rámutat arra, hogy e preambulumbekezdést esetlegesen hozzá kell igazítani az egészségügyi adatok későbbiekben elfogadandó fogalommeghatározásához (4. cikk 12. pont). 6834/15 hk/pu/pu/hk/kb 6

7 27) Az adatkezelő Unión belüli tevékenységi központja az Unión belüli központi ügyvitelének helye, kivéve, ha a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy másik Unión belüli tevékenységi helyén hozzák. Ez esetben az utóbbi tekintendő a tevékenységi központnak. Az adatkezelő Unión belüli tevékenységi központját objektív kritériumok alapján kell meghatározni, és annak magában kell foglalnia az adatkezelés céljára (...) és eszközeire vonatkozó fő döntéseket meghatározó ügyvezetési tevékenység tényleges és valós, tartós jelleget biztosító körülmények közötti gyakorlását. E kritérium nem függhet attól, hogy a személyes adatok kezelése ténylegesen a szóban forgó helyszínen zajlik-e; a személyes adatok kezelésére szolgáló műszaki eszközök jelenléte és használata, illetve az adatkezelési tevékenység önmagában nem jár ilyen tevékenységi központként való minősítéssel, és ezért nem meghatározó kritériuma a tevékenységi központnak. Az adatfeldolgozó tevékenységi központja az Unión belüli központi ügyvitelének helye kell, hogy legyen, illetve ha az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az a hely, ahol az Unióban a fő adatkezelési tevékenységek zajlanak. Azokban az esetekben, amelyekben az adatkezelő és az adatfeldolgozó egyaránt érintett, továbbra is annak a tagállamnak a felügyeleti hatósága kell, hogy legyen az illetékes fő felügyeleti hatóság, amelynek területén az adatkezelő tevékenységi központja található, azonban az adatfeldolgozó esetében a felügyeleti hatóság érintett felügyeleti hatóságnak tekintendő, amelynek részt kell vennie az e rendeletben meghatározott együttműködési eljárásban. Azon tagállam(ok)nak a felügyeleti hatóságai, amely(ek)nek területén az adatfeldolgozó egy vagy több tevékenységi hellyel rendelkezik, semmi esetre sem tekinthetők érintett felügyeleti hatóságnak, amennyiben az adott határozattervezet csak az adatkezelőre vonatkozik. Amennyiben az adatkezelést vállalatcsoport végzi, a kontrollt gyakorló vállalat tevékenységi központja tekintendő a vállalatcsoport tevékenységi központjának, kivéve, ha az adatkezelés céljait és eszközeit valamely más vállalat határozza meg; 28) A vállalatcsoportot egy kontrollt gyakorló vállalkozás és a kontrollált vállalkozások alkotják; kontrollt gyakorló vállalkozásnak az a vállalkozás tekintendő, amely például tulajdonosi jogok, pénzügyi részesedés vagy az arra vonatkozó szabályok, vagy a személyes adatok védelmére vonatkozó szabályok végrehajtására való jogosultság révén meghatározó befolyást gyakorol a többi vállalkozás felett. 6834/15 hk/pu/pu/hk/kb 7

8 29) A (...) gyermekeknek személyes adataik tekintetében különös védelmet kell biztosítani, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésének kockázataival, következményeivel és az ahhoz kapcsolódó biztosítékokkal és jogosultságokkal. (...) 11. Ez főként a gyermekek személyes adatainak olyan felhasználására vonatkozik, amely marketing, illetve személy- vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermek adatainak gyűjtésére a közvetlenül a gyermeknek kínált szolgáltatások igénybevétele során ) A személyes adatok kezelésének mindenkor törvényesnek és tisztességesnek kell lennie. (...). Az érintett személyek számára biztosítani kell az átláthatóságot annak kapcsán, hogy a rájuk vonatkozó személyes adatok gyűjtésére, felhasználására, megtekintésére vagy egyéb módon való kezelésére kerül sor, valamint arra vonatkozóan, hogy az adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy az említett adatok kezelésével kapcsolatos tájékoztatás, illetve kommunikáció mindenkor könnyen hozzáférhető és érthető legyen, valamint hogy azt világosan és egyszerű nyelvezetet használva fogalmazzák meg. Ez vonatkozik mindenekelőtt az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyek adatainak tisztességes és átlátható kezelése, továbbá arra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a velük kapcsolatban kezelt adatokról. Az egyént tájékoztatni kell a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, biztosítékokról és jogokról, valamint arról, hogy hogyan élhet az őt az adatkezelés kapcsán megillető jogokkal. Az adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá az adatgyűjtés időpontjában már meghatározottaknak kell lenniük 13. Az adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük (...); ehhez pedig biztosítani kell mindenekelőtt azt, hogy az összegyűjtött adatok ne legyenek túlzott mértékűek, és az adattárolás a lehető legrövidebb időtartamra korlátozódjon. (...). A személyes adatokat csak abban az esetben lehet kezelni, ha az adatkezelés célját egyéb eszközzel nem lehetséges ésszerű módon elérni 14. Annak biztosítása érdekében, hogy az adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelőnek törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania BIZ fenntartással él a gyermek jogairól szóló ENSZ-egyezményre történő hivatkozás elhagyásával kapcsolatban. CZ és AT fenntartással él. DE a következő mondat beillesztését javasolta: A közérdekű archiválási és statisztikai célokat, illetve tudományos és történelmi célokat szolgáló adatkezelés összeegyeztethetőnek tekintendő és az eredeti jogalap (pl. hozzájárulás) alapján végezhető, ha az adatokat eredetileg ezekre a célokra gyűjtötték.. UK fenntartással él: ez túl sok teherrel jár. 6834/15 hk/pu/pu/hk/kb 8

9 Minden ésszerű lépést meg kell tenni annak érdekében, hogy a hibás személyes adatok helyesbítésre vagy törlésre kerüljenek. Annak biztosítása érdekében, hogy az adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelőnek törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését többek között a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférésnek, vagy azok jogosulatlan felhasználásának a megakadályozása céljából. (31) Ahhoz, hogy a személyesadat-kezelés törvényes legyen, annak a kérdéses személy hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogszabályban foglalt jogalappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó esetleges jogi kötelezettségeknek való megfelelésnek, az érintett által kötött esetleges szerződés teljesítésének, vagy az érintett által kért, a szerződéskötést megelőzően megteendő lépések megtételének a szükségességét is. (31a)Amikor ez a rendelet jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent valamely parlament által elfogadott jogalkotási aktust, az érintett tagállam alkotmányos rendjének sérelme nélkül, mindazonáltal a jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak a hatálya alá tartozók számára, amint azt az Európai Unió Bíróságának és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlata megköveteli. (32) Amennyiben az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek képesnek kell lennie bizonyítani, hogy az érintett hozzájárult az adatkezelési művelethez. Különösen a más ügyben tett írásos nyilatkozattal összefüggésben biztosítékokkal kell garantálni azt, hogy az érintett tisztában legyen azzal, hogy hozzájárulását adta, valamint azzal, hogy milyen mértékben tette ezt. Az adatkezelőnek előre megfogalmazott hozzájárulási nyilatkozatról kell gondoskodnia, ennek formájának érthetőnek és könnyen hozzáférhetőnek, nyelvezetének pedig világosnak és egyszerűnek kell lennie, tartalma pedig nem lehet szokatlan az adott helyzet összefüggésében. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek tisztában kell lennie legalább az adatkezelő kilétével és a személyes adatok kezelésének céljával; a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós és szabad választási lehetőséggel, és nem áll módjában a hozzájárulás a nélküli megtagadása vagy visszavonása, hogy ez kárára válna. (33) (...) 6834/15 hk/pu/pu/hk/kb 9

10 34) Annak biztosítékaként, hogy a hozzájárulás megadása valóban önkéntesen történhessen, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapul a személyes adatok kezeléséhez, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, melynek folytán az adott helyzet valamennyi körülményét figyelembe véve valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt. A hozzájárulás nem tekinthető önkéntesnek, ha az nem teszi lehetővé a külön-külön hozzájárulást a különböző adatkezelési műveletekhez, noha egy adott esetben megfelelő, vagy pedig ha egy szerződés teljesítését a hozzájárulástól teszik függővé még akkor is, ha a szerződés teljesítéséhez ez nem szükséges, és az érintett nem tud ésszerűen ugyanilyen szolgáltatást hozzájárulás nélkül más forrásból igénybe venni ) Az adatkezelés jogszerű, ha arra valamely szerződés vagy megkötni szándékozott szerződés keretében van szükség. (35a)Ez a rendelet általános adatvédelmi szabályokat határoz meg az adatvédelemre vonatkozóan, valamint azt, hogy konkrét esetekben a tagállamok is jogosultak nemzeti adatvédelmi szabályokat megállapítani. Ez a rendelet tehát nem zárja ki az olyan tagállami jogszabályokat, amelyek meghatározzák a konkrét adatkezelési helyzetek körülményeit, ezen belül pontosabban meghatározzák, hogy a személyes adatok kezelése milyen feltételek mellett jogszerű. A tagállami jogszabályok különös adatkezelési feltételeket is előírhatnak konkrét ágazatok, illetve speciális különleges adatkategóriák kezelése tekintetében. (36) Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve hivatali hatáskör gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam nemzeti jogában foglalt jogalappal kell rendelkeznie (...). (...). Az ilyen adatkezelésnek a célját is uniós vagy nemzeti jogi rendelkezésnek kell meghatároznia. Ez a jogalap továbbá (...) pontosíthatja az adatkezelés jogszerűségére vonatkozó rendelet általános feltételeit, meghatározhatja az adatkezelő meghatározására vonatkozó pontos szabályokat, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel az adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a törvényes és méltányos adatkezelés biztosításához szükséges intézkedéseket is. 15 BIZ, DK, IE, FR és SE fenntartással él. CZ úgy vélte, hogy a megfogalmazást általánosabbá kellene tenni. 6834/15 hk/pu/pu/hk/kb 10

11 Uniós vagy nemzeti jogszabálynak kell meghatároznia azt is, hogy a közérdekű vagy hatósági feladatot teljesítő adatkezelőnek közjogi szervnek vagy egyéb, a közjog vagy a magánjog hatálya alá tartozó természetes vagy jogi személynek például szakmai szövetségnek kell-e lennie, amennyiben ezt a közérdek így többek között olyan egészségügyi célok, mint például a népegészségügyi, illetve szociális védelem és az egészségügyi szolgálatok irányítása indokolttá teszi. 37) Az adatkezelést hasonlóan jogszerűnek kell tekinteni akkor, ha azt az érintett vagy más személy életének megóvása szempontjából alapvető fontosságú érdek védelme céljából végzik. (...). Az adatkezelés néhány fajtája szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, többek között egy járványnak és a terjedésének a nyomon követéséhez van szükség, vagy humanitárius vészhelyzetben, különösen természeti katasztrófák esetében ) Az adatkezelő ideértve azt az adatkezelőt is, amely felé az adatok közlésére sor kerülhet vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak szolgálatában áll 17. ( ) A jogos érdek meglétének megállapításához mindenképpen körültekintően meg kellene vizsgálni többek között azt, hogy az érintett az adatgyűjtés időpontjában és azzal összefüggésben számíthat-e arra, hogy az adott célból adatkezelésre kerülhet sor. E vizsgálat során figyelembe kell venni mindenekelőtt azt, hogy az érintett gyermekkorú-e, tekintve hogy a gyermekek kiemelt védelemre jogosultak. Biztosítani kell, hogy az érintettnek egyedi helyzetével kapcsolatos indokok alapján jogában álljon térítésmentesen kifogást emelni az adatkezelés ellen. Az átláthatóság biztosítása érdekében az adatkezelőt kötelezni kell arra, hogy kifejezetten tájékoztassa az érintettet az alapul szolgáló jogos érdekekről és a kifogásemeléshez való jogról, továbbá kötelezni kell e jogos érdekek dokumentálására. (...) CZ, FR, SE és PL úgy vélte, hogy a teljes preambulumbekezdés felesleges. HU vizsgálati fenntartással él. 6834/15 hk/pu/pu/hk/kb 11

12 (38a) A vállalatcsoport vagy központi szervhez kapcsolódó intézmény részét képező adatkezelőknek jogos érdekük fűződhet ahhoz, hogy a vállalatcsoporton belül személyes adatokat továbbítsanak belső adminisztratív célból, ideértve az ügyfelek vagy alkalmazottak személyes adatainak a kezelését is. A személyes adatok vállalatcsoporton belüli, harmadik országban található vállalat részére történő továbbítására (...) vonatkozó általános elvek változatlanok maradnak ) Az érintett adatkezelő jogos érdekének minősül a hatóságok, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT), hálózatbiztonsági incidenskezelő csoportok (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott, szigorúan olyan mértékű adatkezelés, amely ahhoz szükséges, hogy biztosított legyen a hálózati és informatikai biztonság, vagyis adott megbízhatósági szinten az érintett hálózat vagy információs rendszer ellenállási képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és titkosságát sértő véletlen eseményekkel, illetve jogellenes vagy rosszindulatú tevékenységekkel szemben. Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, a kiszolgálás megtagadásával (denial of service) járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását. Személyes adatok szigorúan csalások megelőzése céljából szükséges kezelése szintén az adatkezelő jogos érdekének minősül. Személyes adatok közvetlen üzletszerzési célú kezelése szintén tekinthető jogos érdeken alapulónak. 18 FR fenntartással él. 6834/15 hk/pu/pu/hk/kb 12

13 40) A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető azokkal a célokkal, amelyekre az adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól eltérő, külön jogalapra, amely lehetővé tette az adatok gyűjtését. (...) Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott hivatali hatáskör gyakorlása érdekében szükséges, uniós vagy tagállami jogszabály meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek tekintendő. A közérdekű archiválási célokból, illetve statisztikai, tudományos vagy történelmi (...) célból (...) vagy jövőbeli vitarendezés céljából folytatott további adatkezelést 19 ( ) összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni. A személyes adatok gyűjtésére és kezelésére vonatkozóan uniós vagy tagállami jogban meghatározott jogalap az egyéb célokból való további adatkezeléshez is jogalapul szolgálhat, ha ezek a célok összhangban állnak a kijelölt feladattal, és az adatkezelő törvényesen jogosult arra, hogy ezen egyéb célokból adatokat gyűjtsön 20. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e az eredeti adatgyűjtési céllal, az adatkezelőnek azt követően, hogy teljesítette az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírást figyelembe kell vennie minden, ezen eredeti célok és a tervezett további adatkezelés célja között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve az érintettnek az adatok további felhasználásával kapcsolatos ésszerű várakozásait is, továbbá a személyes adatok természetét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő biztosítékok meglétét mind az eredeti, mind a tervezett adatkezelési műveletek során. Amennyiben a tervezett egyéb cél összeegyeztethetetlen az adatgyűjtés eredeti céljával, az adatkezelőnek a jogszerű adatkezelés érdekében be kell szereznie az érintett ezen egyéb célhoz való hozzájárulását, vagy más jogszerű indokra kell alapítania az adatkezelést, különösen ha az uniós jog vagy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, így rendelkezik. (...) ES rámutatott arra, hogy a 6. cikk szövegét nem módosították a vitarendezés tekintetében. FR, IT és UK vizsgálati fenntartással él. 6834/15 hk/pu/pu/hk/kb 13

14 Minden esetben biztosítani kell az e rendeletben rögzített elvek érvényesülését, valamint különösen az érintett tájékoztatását ezen egyéb célokról és a jogairól, többek között a kifogás emeléséhez való jogról. (...). Az adatkezelő jogos érdekének tekintendő, ha jelzi a lehetséges bűncselekményeket vagy a közbiztonságot fenyegető veszélyeket, és az ezekre vonatkozó adatokat továbbítja az illetékes hatóságnak 21. Ugyanakkor az adatkezelő jogos érdekeként folytatott adattovábbítást, illetve a személyes adatok további kezelését meg kell tiltani abban az esetben, ha az adatkezelés nem egyeztethető össze valamely jogi, szakmai vagy egyéb titoktartási kötelezettséggel ) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny (...) személyes adatok különleges védelmet érdemelnek, mivel azok kezelésének körülményei jelentős kockázattal járhatnak az alapvető jogokra és szabadságokra nézve. Ezen adatok közé kell tartozniuk a faji vagy etnikai hovatartozást felfedő személyes adatoknak is; e tekintetben megjegyzendő, hogy a faji hovatartozás kifejezés e rendeletben való alkalmazása nem értelmezhető a különböző emberi fajok létezésének megállapítására törekvő elméleteknek az Európai Unió általi elfogadásaként. Az ilyen adatok nem kezelhetők, kivéve ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jogszabályok különös rendelkezéseket állapíthatnak meg az adatvédelemre vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását 23 valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott hivatali hatáskör gyakorlása tekintetében. Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. Kifejezetten rendelkezni kell a személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről, többek között ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos konkrét igények esetére tekintettel, különösen ha az adatkezelést olyan egyesületek, illetve alapítványok végzik jogszerű tevékenységük keretében, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele AT, PL és BIZ fenntartással él. IE, SE és UK megkérdőjelezte a (40) preambulumbekezdés utolsó mondatát, amely nem tükröződik a szöveg rendelkező részében. DE CZ, IE, GR és PL támogatásával egyértelművé kívánta tenni, hogy a 6. cikk nem gátolja a közvetlen üzletszerzést, a hitelinformációs szolgáltatásokat, illetve GR szerint általában az üzleti tevékenységeket. AT vizsgálati fenntartással él. 6834/15 hk/pu/pu/hk/kb 14

15 A személyes adatok különleges kategóriáit abban az esetben is lehet kezelni, ha az adatokat egyértelműen nyilvánosságra hozták, illetve önkéntesen, az érintett kérelmére az érintett által meghatározott konkrét célra továbbították az adatkezelőnek, amennyiben az adatkezelés az érintett érdekében történik. A tagállami és az uniós jogszabályok rendelkezhetnek úgy, hogy a személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalom nem oldható fel az érintett kifejezett hozzájárulásával. 42) Az érzékeny adatkategóriák kezelésének tilalmától való eltérés szintén megengedhető, ha erről uniós vagy tagállami jogszabályok rendelkeznek, és feltéve hogy arra megfelelő biztosítékok mellett kerül sor a személyes adatok és más alapvető jogok védelme érdekében, amennyiben ezt valamely ( ) közérdeken alapuló indok támasztja alá, így különösen a foglalkoztatási jog, a szociális biztonsági és szociális védelmi jog területén, a nyugdíjakat is beleértve, valamint az alábbi célokból végzett adatkezelés esetében: egészségbiztonság, nyomonkövetési és riasztási célok, fertőző betegségek és más súlyos egészségügyi fenyegetések megelőzése, valamint az ellenük való védekezés, vagy az egészségügyi ellátás és szolgáltatások, a gyógyszerek, illetve az orvostechnikai eszközök magas színvonalának és biztonságosságának a biztosítása, vagy az egészségügy területén elfogadott közpolitikai intézkedések értékelése, többek között minőségi és tevékenységi mutatók kidolgozásával. Erre egészségügyi célokból köztük a népegészséggel ( ) és az egészségügyi szolgáltatások irányításával kapcsolatos célokból kerülhet sor, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos követelések rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek, vagy közérdekű archiválási, illetve történelmi, statisztikai és tudományos (...) célból. Kivételt szükséges megállapítani az ilyen adatok olyan esetekben való kezelésére vonatkozóan is, ha ez jogi követelések megállapítása, gyakorlása vagy védelme céljából szükséges, függetlenül attól, hogy erre bírósági eljárás vagy közigazgatási, illetve egyéb, bíróságon kívüli eljárás keretében kerül-e sor. 6834/15 hk/pu/pu/hk/kb 15

16 (42a) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak az egyének és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános nemzeti és helyi felügyelete, továbbá az egészségügyi és szociális ellátás és a határokon átnyúló egészségügyi ellátás, illetve az egészségbiztonság folytonosságának biztosítása, nyomonkövetési és riasztási célok, archiválási, történelmi, statisztikai vagy tudományos célok, illetve a népegészség területén közérdekből készített tanulmányok célja. Ennélfogva ebben a rendeletben meg kell határozni a sajátos adatkezelési szükségletek tekintetében a személyes adatok egészséggel kapcsolatos különleges kategóriáinak kezelésére vonatkozó harmonizált feltételeket, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik (...). Uniós vagy tagállami jogszabályban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek az egyének alapvető jogainak és személyes adatainak védelmére irányulnak. (...) A (122) preambulumbekezdésből áthelyezve. 6834/15 hk/pu/pu/hk/kb 16

17 (42b) A népegészség területén az érintett hozzájárulása nélkül is szükséges lehet a különleges kategóriába tartozó (...) személyes adatok közérdekből történő kezelése. Az ilyen adatkezelés tekintetében megfelelő és célzott intézkedéseket kell hozni az egyének jogainak és szabadságainak védelme érdekében. Ebben az összefüggésben a népegészség fogalmát a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról szóló, december 16-i 1338/2008/EK európai parlamenti és tanácsi rendeletben meghatározottak szerint úgy kell értelmezni, hogy az valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot, beleértve a morbiditást és a fogyatékosságot, az egészségi állapotot befolyásoló tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra kiosztott források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi személyes adatok ilyen közérdekű kezelése nem eredményezheti azt, hogy a személyes adatokat más célokból harmadik személyek, így munkáltatók, biztosítók és bankok dolgozzák fel ) A személyes adatok hatóságok általi, hivatalosan elismert vallási szervezetek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében történő kezelése közérdeken alapulónak minősül. 44) Amennyiben választással kapcsolatos tevékenységek során valamely tagállamban a demokratikus rendszer működése megkívánja, hogy a politikai pártok adatokat gyűjtsenek az emberek politikai véleményéről, akkor az ilyen adatok kezelése közérdekből megengedhető, feltéve hogy sor került megfelelő biztosítékok bevezetésére. 45) Amennyiben az adatkezelő által kezelt adatok nem teszik lehetővé az adatkezelő számára valamely természetes személy azonosítását, akkor az adatkezelő nem kötelezhető további információk szerzésére az érintett személyazonosságának kizárólag abból a célból történő megállapítása érdekében, hogy megfeleljen e rendelet valamely rendelkezésének. (...). Az adatkezelő ugyanakkor nem utasíthatja vissza az érintett által a jogai gyakorlásának támogatása érdekében nyújtott további információkat. 25 A (123) preambulumbekezdésből áthelyezve. 6834/15 hk/pu/pu/hk/kb 17

18 ELFOGADTA EZT A RENDELETET: 4. cikk Fogalommeghatározások 3b. álnevesítés : a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül a továbbiakban már nem állapítható meg, hogy az adat mely konkrét érintettre vonatkozik, feltéve hogy e további információk külön vannak tárolva, és sor került bizonyos technikai és szervezési intézkedések megtételére annak érdekében, hogy meg lehessen akadályozni azonosított vagy azonosítható természetes személyek kilétének megállapítását (...) 26. II. FEJEZET ALAPELVEK 5. cikk A személyes adatok kezelésére vonatkozó alapelvek 1. A személyes adatok: a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni 27 ; DE UK támogatásával a következő hivatkozás visszaillesztését javasolta: vagy pedig csak aránytalanul sok idő, kiadás és munkaerő ráfordításával állapítható meg, hogy az adat mely konkrét érintettre vonatkozik. DE javasolta, hogy a szöveg egészüljön ki a megkülönböztetésmentes módon és a figyelembe véve mindazokat az előnyöket, amelyeket az adatkezelés hozhat a szabad, nyitott és szociális társadalmak számára szövegrésszel. Ezt a javaslatot több delegáció is kritikusan fogadta (CZ, ES, IE, IT és PL). 6834/15 hk/pu/pu/hk/kb 18

19 b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további kezelésük nem végezhető e célokkal össze nem egyeztethető módon; a 83. cikknek megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a személyes adatok közérdekű archiválási, illetve tudományos, statisztikai 28 vagy történelmi célokból történő további kezelése 29 ; c) az adatkezelés célja szempontjából megfelelőek és relevánsak kell, hogy legyenek, és mennyiségük nem lehet túlzott (...) 30 ; d) pontosak, és ha szükséges, naprakészek kell, hogy legyenek; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy a kezelésük célja szempontjából hibás személyes adatokat haladéktalanul töröljék vagy helyesbítsék; FR véleménye szerint a III. fejezetnek különös szabályokat kellene tartalmaznia a statisztikai célokból kezelt személyes adatok védelmére vonatkozóan; DE és PL szerint a közérdekre vonatkozó kritériumot a statisztikai célokra is alkalmazni kellene. DE SI támogatásával a következő szövegrész beillesztését javasolta: ha ezek a célok jelentették az adatgyűjtés eredeti célját. A 6. cikk (2) bekezdésére hivatkozva, DE és RO arra a kérdésre szeretett volna választ kapni, hogy ez a megfogalmazás vajon azt jelenti-e, hogy amikor tudományos célú adatkezelésről van szó, akkor mindig jogszerű-e az adatkezelés céljának megváltoztatása, még akkor is, ha az érintett nem járult hozzá ahhoz. BE megkérdőjelezte, hogy az összeegyeztethető célok koncepciója továbbra is hasznos megközelítést jelent-e. HU és ES vizsgálati fenntartással él a 83. cikkre történő hivatkozással kapcsolatban. FR véleménye szerint az egészségügyi adatok kezelése csak közérdekből történhet vagy az érintett hozzájárulásával. BIZ fenntartással él az adatminimalizálás elvének törlésével kapcsolatban. AT, CY, DE, EE, FR, HU, IT, PL, FI és SI az eredeti bizottsági megfogalmazáshoz való visszatérést szorgalmazta, amely így hangzik: valamint az adatok kezelésének céljához szükséges legkisebb mértékre kell korlátozódniuk. DE PL támogatásával az alábbi szövegrész beillesztését is javasolta: Személyes adatok kezelésére csak akkor és addig kerülhet sor, amikor és amíg az adatkezelés célja nem teljesíthető olyan információk feldolgozásával, amelyek nem tartalmaznak személyes adatokat. DK és UK ellenezte e pont bárminemű további módosítását. 6834/15 hk/pu/pu/hk/kb 19

20 e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (...); a személyes adatok további tárolására csak annyiban kerülhet sor, amennyiben az adatok kezelésére a 83. cikknek megfelelően közérdekű archiválás céljából, illetve tudományos, statisztikai vagy történelmi célból kerül majd sor, a rendeletben előírt azon megfelelő technikai és szervezési intézkedések megtételének függvényében, amelyek az érintettek jogainak és szabadságainak a védelmére irányulnak 31 ; ee) kezelését oly módon kell végezni, hogy az biztosítsa a személyes adatok megfelelő biztonságát. f) (...) 2. Az (1) bekezdés betartásáért az adatkezelő a felelős cikk Az adatkezelés jogszerűsége 33 (1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak valamelyike teljesül: a) az érintett egyértelmű 34 hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez 35 ; b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; FR és SK vizsgálati fenntartással él. SK jelezte, hogy a magáncélú archiválás kérdésével továbbra sem foglalkoztak. CZ és SE véleménye szerint e mondat utolsó részét el kellene hagyni. Korábban az a javaslat született, hogy a mondat egészüljön ki az alábbi résszel: abban az esetben is, amikor a személyes adatok kezelését az adatkezelő nevében eljáró adatfeldolgozó végzi, de FR azt javasolta, hogy ezzel a (felelősséget megállapító) szabállyal inkább a VIII. fejezet keretében foglalkozzanak. DE, AT, PT, SI és SK vizsgálati fenntartással él. FR, PL és BIZ fenntartással él a kifejezett szó elhagyásával kapcsolatban; UK véleménye szerint az egyértelmű szó beillesztése nem indokolt. RO vizsgálati fenntartással él. 6834/15 hk/pu/pu/hk/kb 20

21 c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; d) az adatkezelés az érintett vagy egy másik személy létfontosságú érdekeinek védelme miatt szükséges; e) az adatkezelés közérdekű vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges; f) az adatkezelés az adatkezelő vagy egy harmadik fél 36 jogos érdekeinek 37 érvényesítéséhez szükséges, kivéve ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. ( ) (2) A személyes adatok közérdekű archiválás céljából történő, illetve történelmi, statisztikai vagy tudományos célú kezelése a 83. cikk szerinti feltételek és biztosítékok fennállása esetében jogszerű BG, CZ, DE, ES, HU, IT, NL, SE, SK és UK kérésére visszakerült a szövegbe. BIZ, IE, FR és PL fenntartással él e visszahelyezéssel kapcsolatban. FR vizsgálati fenntartással él. BE, CZ, DK, IE, MT, SE, SI, SK, PT és UK kérésére törölték. BIZ, AT, CY, DE, FI, FR, GR és IT szerette volna megtartani az utolsó mondatot. BIZ fenntartással él az utolsó mondat törlésével kapcsolatban, hangsúlyozva, hogy a hatóságok által feladataik ellátása során végzett adatkezelésnek a c) és az e) pontban foglalt okokon kellene alapulnia. DK és FR sajnálatának adott hangot amiatt, hogy a szöveg már nem tartalmaz hivatkozást a 9. cikk (2) bekezdésében meghatározott célokra, és úgy vélte, hogy egyértelművé kellene tenni a 6. és a 9. cikk közötti kapcsolatot. 6834/15 hk/pu/pu/hk/kb 21

22 (3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek megfelelően kell megállapítani: a) az uniós jog, vagy b) azon tagállam nemzeti joga, amelynek joghatósága alá az adatkezelő tartozik 40. Az adatkezelés célját ebben a jogalapban kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott hivatali hatáskör gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat arra irányuló konkrét rendelkezéseket, hogy kiigazítsa az e rendeletben foglalt szabályok alkalmazását, meghatározhatja többek között az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel az adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és méltányos adatkezelés biztosításához szükséges intézkedéseket is, többek között a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. 40 Ehhez kapcsolódóan az is elhangzott, hogy a 6. cikk szövege kedvezőtlen hatást gyakorolhat a személyes adatoknak harmadik országok hatóságai által a közigazgatási jog, a büntetőjog és a polgári jog keretében végzett gyűjtésére, ugyanis a 6. cikk kimondja, hogy az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés, illetve a közérdekű feladat végrehajtásához szükséges adatkezelés kizárólag az uniós joggal vagy a tagállami joggal összhangban meghatározott mértékű lehet. A 6. cikk jelenlegi megfogalmazása úgy tűnik nem biztosít lehetőséget arra, hogy a harmadik országokkal folytatott kereskedelmi vagy egyéb szabályozott tevékenységben részt vevő adatkezelők eleget tehessenek az érintett harmadik országok által támasztott közigazgatási, szabályozási, valamint polgári jogi és büntetőjogi követelményeknek, illetve a cikk megfogalmazása jogsértések harmadik országok közigazgatási, szabályozási, polgári jogi és bűnüldöző hatóságai részére történő önkéntes bejelentését sem teszi lehetővé, mint ahogy a velük folytatott együttműködést sem. Az elnökség véleménye szerint ezt a kérdést majd meg kell még vizsgálni, nevezetesen az I. fejezet keretében. 6834/15 hk/pu/pu/hk/kb 22

23 (3a) Annak megállapításához, hogy (...) a további adatkezelés egy adott célja összeegyeztethető-e azzal a céllal, amelyből az adatot eredetileg gyűjtötték, az adatkezelőnek kivéve, ha az érintett a hozzájárulását adta 41 többek között figyelembe kell vennie a következőket 42 : a) az adatgyűjtés céljai és a tervezett további adatkezelés céljai közötti esetleges kapcsolatok; b) az adatgyűjtés kontextusa; c) a személyes adatok jellege, különösen pedig az, hogy a személyes adatok 9. cikk szerinti különleges kategóriáinak kezeléséről van-e szó; d) az, hogy milyen esetleges következményekkel járna az érintettekre nézve az adatok további kezelése; e) a megfelelő biztosítékok megléte 43. (4) Amennyiben a további adatkezelés célja nem egyeztethető össze a személyes adatok ugyanazon adatkezelő által végzett [...] gyűjtésének céljával, a további adatkezelés jogalapjának az (1) bekezdés a) e) pontja legalább egyikének kell lennie A nem összeegyeztethető célokból történő, az adatkezelő vagy harmadik fél jogos érdekeit szolgáló, ugyanazon adatkezelő által végzett további adatkezelés abban az esetben jogszerű, ha az említett érdekek elsőbbséget élveznek az érintett érdekeivel szemben DK, IT és PT vizsgálati fenntartással él; IT szerint ez nem releváns az összeegyeztethetőség vizsgálata szempontjából. DK, FI, NL, RO, SI és SE nyomatékosan kérte, hogy a felsorolás ne legyen kimerítő jellegű. DE, SK és PL fenntartással él: a biztosítékok önmagukban még nem teszik összeegyeztethetővé az eredeti céllal a további adatkezelést. FR tudni szeretné, hogy ez a kritérium az eredeti vagy a további adatkezelésre vonatkozik-e. DE és UK kérte a (3a) bekezdés elhagyását. ES, AT és PL fenntartással, DE és HU pedig vizsgálati fenntartással él. FR javasolta, hogy a szöveget egészítsék ki a következőkkel: ha az adatkezelés a 8. és a 9. cikkben említett adatokat érint. HU véleménye szerint a szöveget ki kellene egészíteni azzal, hogy az adatkezelőnek kötelessége tájékoztatni az érintettet a jogalap megváltozásáról; ebben CY, FR, AT és SK is támogatta. Az elnökség ehhez kapcsolódóan utalt a 17072/3/14 REV 3 dokumentum 1. kiegészítésében javasolt változtatásokra. BIZ fenntartással, míg BE, AT, FI, HU, IT és PL vizsgálati fenntartással él: e delegációk (egy része) szerette volna elhagyni ezt az utolsó mondatot; DE a második mondatban foglaltak hatályát a magán adatkezelőkre akarta korlátozni. 6834/15 hk/pu/pu/hk/kb 23

24 (5) (...) 7. cikk A hozzájárulás feltételei (1) Amennyiben a 6. cikk (1) bekezdésének a) pontja alkalmazandó, az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy az érintett egyértelmű 47 hozzájárulását adta. (1a) Amennyiben a 9. cikk (2) bekezdésének a) pontja alkalmazandó, az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy az érintett kifejezett hozzájárulását adta. (2) Amennyiben az érintett hozzájárulását más ügyekre is vonatkozó írásos nyilatkozat keretében kell megadni, a hozzájárulás iránti kérésnek megjelenésében egyértelműen megkülönböztethetőnek kell lennie ezektől a más ügyektől, formájának érthetőnek és könnyen hozzáférhetőnek, nyelvezetének pedig világosnak és egyszerűnek kell lennie. 47 BIZ fenntartással él a kifejezett szónak a hozzájárulás fogalommeghatározásából való elhagyásával kapcsolatban. 6834/15 hk/pu/pu/hk/kb 24