Ez a dokumentum kizárólag tájékoztató jellegű, az intézmények semmiféle felelősséget nem vállalnak a tartalmáért

►B AZ EURÓPAI PARLAMENT ÉS A TANÁCS 95/46/EK IRÁNYELVE

(1995. október 24.)

a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabadáramlásáról

(HL L 281, 23.11.1995, o. 31)

Módosította:

Hivatalos Lap

Szám Oldal Dátum

►M1 Az Európai Parlament és a Tanács 1882/2003/EK rendelete (2003.szeptember 29.)

L 284 1 31.10.2003

1995L0046 — HU — 20.11.2003 — 001.001 — 1

▼BAZ EURÓPAI PARLAMENT ÉS A TANÁCS 95/46/EK IRÁNY-

ELVE

(1995. október 24.)

a személyes adatok feldolgozása vonatkozásában az egyének védel-méről és az ilyen adatok szabad áramlásáról

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Közösséget létrehozó szerződésre és különösenannak 100a. cikkére,

tekintettel a Bizottság javaslatára (1),

tekintettel a Gazdasági és Szociális Bizottság véleményére (2),

a Szerződés 189b. cikkében megállapított eljárásnak megfelelően (3),

(1) mivel a Közösségnek a Szerződésben megállapított, és az EurópaiUnióról szóló szerződés által módosított célkitűzései közöttszerepel az Európa népei közötti egyre szorosabb egység megte-remtése, a Közösséghez tartozó államok közötti szorosabbkapcsolatok szorgalmazása, az Európát megosztó határok felszá-molására tett közös intézkedések megtételével a gazdasági éstársadalmi fejlődés biztosítása, az európai népek életkörülményeijavításának folyamatos ösztönzése, a béke és a szabadság megőr-zése, valamint megszilárdítása, továbbá a demokrácia biztosításaazon alapvető jogok alapján, amelyeket a tagállamok alkotmánya,jogszabályai, valamint az emberi jogok és alapvető szabadságokvédelméről szóló európai egyezmény elismer;

(2) mivel az adatfeldolgozási rendszerek célja az emberek szolgálata;mivel a természetes személyek nemzetiségétől és lakóhelyétőlfüggetlenül tiszteletben kell tartaniuk e személyek alapvető jogaités szabadságait, különösen a magánélet tiszteletben tartásáhozvaló jogukat, és hozzá kell járulniuk a gazdasági és társadalmifejlődéshez, a kereskedelem fejlődéséhez, valamint az egyénekjólétéhez;

(3) mivel egy olyan belső piac kialakítása és működése, amelyben aSzerződés 7a. cikkének megfelelően biztosított az áruk, a szemé-lyek, a szolgáltatások és a tőke szabad mozgása, nem csak aztkívánja meg, hogy a személyes adatok szabadon áramolhassanakegyik tagállamból a másikba, hanem azt is, hogy az egyének alap-vető jogai biztosítva legyenek;

(4) mivel a Közösségben a gazdasági és társadalmi tevékenységszámos területén egyre többször folyamodnak a személyes adatokfeldolgozásához; mivel az informatika terén elért haladás az ilyenadatok feldolgozását és cseréjét lényegesen megkönnyíti;

(5) mivel a Szerződés 7a. cikke értelmében a belső piac kialakítá-sából és működéséből eredő gazdasági és társadalmi integrációszükségszerűen a személyes adatok határokon keresztüli áramlá-sának lényeges növekedéséhez fog vezetni mindazok között, akika tagállamokban magán- vagy állami szinten gazdasági vagytársadalmi tevékenységben vesznek részt; mivel a személyesadatok cseréje a különböző tagállamokban letelepedett vállalko-zások között emelkedő tendenciát mutat; mivel a különböző tagál-lamok nemzeti hatóságai a közösségi jog értelmében kötelesekolyan mértékben együttműködni és személyes adatokat cserélni,ami lehetővé teszi számukra feladataik ellátását, vagy a fellépéstegy másik tagállam hatósága nevében a belső piac által képezettbelső határok nélküli térség keretében;

1995L0046 — HU — 20.11.2003 — 001.001 — 2

(1) HL C 277., 1990.11.5., 3. o., és HL C 311., 1992.11.27., 30. o.(2) HL C 159., 1991.6.17., 38. o.(3) Az Európai Parlament 1992. március 11-i véleménye (HL C 94., 1992.4.13.,

198. .o), 1993. december 2-i jóváhagyással (HL C 342., 1993.12.20., 30. o.);a Tanács 1995. február 20-i közös álláspontja (HL C 93., 1995.4.13., 1. o.) ésaz Európai Parlament 1995. június 15-i határozata (HL C 166., 1995.7.3.).

▼B(6) mivel ezenfelül a növekvő tudományos és műszaki együttmű-

ködés és az új telekommunikációs hálózatok összehangolt beveze-tése a Közösségben szükségessé teszi, és megkönnyíti a szemé-lyes adatok határokon keresztül történő áramlását;

(7) mivel az egyes tagállamokban végzett személyesadat-feldolgozásterén az egyének jogai és szabadságai, különösen a magánélettiszteletben tartásához való jog védelmének szintjei közötti elté-rések akadályozhatják az ilyen adatok egyik tagállamból amásikba történő továbbítását; mivel ebből eredően ezek az elté-rések akadályt jelentenek számos közösségi szintű gazdasági tevé-kenység elvégzésében, torzítják a versenyt, és hátráltatják a ható-ságokat a közösségi jog szerinti feladataik teljesítésében; mivel avédelmi szintek közötti ezen eltérések a nemzeti törvényi, rende-leti és közigazgatási rendelkezések sokféleségének tulajdonít-hatók;

(8) mivel a személyes adatok áramlása előtti akadályok elhárításaérdekében az egyének jogai és szabadságai védelmének szintje azilyen adatok feldolgozása terén azonos kell legyen minden tagál-lamban; mivel ez a célkitűzés alapvető fontosságú a belső piacszempontjából, de a tagállamok egyedül nem tudják azt megvaló-sítani, főként a tagállamok vonatkozó jogszabályai között jelenlegfennálló eltérések miatt, és ezért össze kell hangolni a tagállamokjogszabályait ahhoz, hogy biztosított legyen a személyes adatokhatárokon keresztül történő áramlásának a Szerződés 7a. cikkébenmeghatározott belső piac céljának megfelelő következetes szabá-lyozása; mivel ezért szükség van az említett jogszabályok közelí-tését célzó közösségi fellépésre;

(9) mivel a nemzeti jogszabályok közelítéséből következő azonosszintű védelemre tekintettel a tagállamok már nem akadályoz-hatják meg a személyes adatok szabad áramlását egymás közöttaz egyének jogai és szabadságai, különösen a magánélet tiszte-letben tartásához való jog védelmére hivatkozva; mivel a tagálla-moknak marad annyi mozgástere, amelyet ezen irányelv végrehaj-tása során az üzleti és szociális partnerek kihasználhatnak; mivela tagállamok ezáltal nemzeti jogszabályaikban meg tudják majdhatározni az adatfeldolgozás törvényességére vonatkozó általánosfeltételeket; mivel eközben a tagállamoknak törekedniük kell ajogalkotásuk által jelenleg biztosított védelem szintjének javítá-sára; mivel az említett mozgástér keretein belül, és a közösségijoggal összhangban különbségek merülhetnek fel ezen irányelvvégrehajtása során, ami hatással lehet az adatáramlásra akár egytagállamon belül, akár a Közösségen belül;

(10) mivel a személyes adatok feldolgozására vonatkozó nemzetijogszabályok célja az alapvető jogok és szabadságok, különösen amagánélet tiszteletben tartásához való jog védelme, amelyet mindaz emberi jogok és alapvető szabadságok védelméről szólóeurópai egyezmény 8. cikke, mind a közösségi jog általános alap-elvei elismernek; mivel ezért az említett jogszabályok közelítésenem vezethet az általuk nyújtott védelem szintjének csökkené-séhez, sőt, magas védelmi szintet kell biztosítson a Közösségenbelül;

(11) mivel az egyének jogai és szabadságai védelmének elvei, külö-nösen a magánélet tiszteletben tartásához való jog védelménekelve, amelyeket ez az irányelv tartalmaz, tartalmat adnak és kiegé-szítik azokat, amelyeket az Európa Tanács 1981. január 28-i, azegyéneknek a személyes adataik gépi feldolgozása során valóvédelméről szóló egyezménye tartalmaz;

(12) mivel a védelem elveit minden olyan személy által végzett szemé-lyesadat-feldolgozásra alkalmazni kell, akinek tevékenységére aközösségi jogszabályok vonatkoznak; mivel ki kell zárni a termé-szetes személyek által végzett adatfeldolgozást, amennyiben aztkizárólag személyes vagy házi használatra, például levelezés,vagy címjegyzékek vezetése során végzik;

1995L0046 — HU — 20.11.2003 — 001.001 — 3

▼B(13) mivel az Európai Unióról szóló szerződés V. és VI. címében emlí-

tett, a közbiztonsággal, védelemmel, nemzetbiztonsággal kapcso-latos tevékenységek, vagy az adott állam büntetőjog területénvégzett tevékenységei kívül esnek a közösségi jogszabályok hatá-lyán, a tagállamokra az Európai Közösséget létrehozó szerződés56. cikke (2) bekezdésének, 57. cikkének vagy 100a. cikkénekértelmében háruló kötelezettségek sérelme nélkül; mivel azállamok gazdasági jólétének megőrzéséhez szükséges személye-sadat-feldolgozás nem tartozik ezen irányelv hatálya alá, ameny-nyiben az ilyen adatfeldolgozás nemzetbiztonsági ügyekhezkapcsolódik;

(14) mivel a természetes személyek hang- és képadatainak felvételére,továbbítására, feldolgozására, rögzítésére, tárolására és közlésérehasználatos módszereknek az információs társadalom kereténbelül történő fejlesztésének fontosságát figyelembe véve ennek azirányelvnek alkalmazhatónak kell lennie az ilyen adatokhozkapcsolódó feldolgozásra;

(15) mivel az ilyen adatok feldolgozására ez az irányelv csak akkorterjed ki, ha az automatizált módon történik, vagy ha a feldolgo-zott adatokat egy egyénekhez kapcsolódó speciális szempontokszerint strukturált nyilvántartási rendszerben tárolják, vagykívánják tárolni a szóban forgó személyes adatokhoz való könnyűhozzáférés lehetővé tétele érdekében;

(16) mivel a hang- és képadatok feldolgozása, például a videokamerásmegfigyelőrendszerek esetében, nem tartozik ennek az irány-elvnek a hatáskörébe, amennyiben az adatfeldolgozást közbizton-sági, honvédelmi, nemzetbiztonsági célból, vagy az adott állambüntetőjog területén végzett, illetve más, a közösségi jog hatályaalá nem tartozó tevékenységei során végzik;

(17) mivel az újságírás, az irodalmi, vagy művészi kifejezés céljábólvégzett hang-, vagy képadatok feldolgozását tekintve, különösenaudiovizuális téren az irányelv alapelveit korlátozott módon kellalkalmazni, a 9. cikkben megállapított rendelkezésekkel össz-hangban;

(18) mivel annak biztosítása érdekében, hogy az egyéneket ne lehessenmegfosztani attól a védelemtől, amelyre az irányelv értelmébenjogosultak, a Közösség területén végzett minden személyesadat-feldolgozási tevékenységet a tagállamok valamelyikének jogsza-bályai szerint kell végrehajtani; mivel ezzel összefüggésben, avalamely tagállamban letelepedett adatkezelő felelőssége mellettvégzett adatfeldolgozásra ennek a tagállamnak a jogszabályaivonatkoznak;

(19) mivel a valamely tagállamban való letelepedés magában foglaljaa tevékenység tényleges gyakorlását tartós jelleggel; mivel e lete-lepedés – legyen akár egyszerűen fióktelep, akár jogi személyi-séggel rendelkező leányvállalat – jogi formája e tekintetben nemmeghatározó tényező; mivel ha egy adatkezelő több tagállambanis letelepedett, főként leányvállalatok révén, a nemzeti szabá-lyozás megkerülésének kizárása érdekében gondoskodnia kellarról, hogy minden egyes szervezete megfeleljen a tevékenysé-gére alkalmazandó nemzeti jogszabályok által meghatározottkötelezettségeknek;

(20) mivel az a tény, hogy az adatfeldolgozást valamely harmadikországban letelepedett személy végzi, nem gátolhatja az egyén-eknek ebben az irányelvben előírt védelmét; mivel ilyenesetekben az adatfeldolgozásra annak a tagállamnak a jogszabá-lyai irányadóak, amelyben az alkalmazott eszközök találhatók,továbbá garanciákat kell találni arra, hogy ezen irányelvbenmeghatározott jogok és kötelezettségek a gyakorlatban is érvénye-süljenek;

(21) mivel ez az irányelv nem érinti a büntetőügyekben alkalmazandóterritorialitási szabályokat;

1995L0046 — HU — 20.11.2003 — 001.001 — 4

▼B(22) mivel a tagállamoknak jogszabályaik kibocsátásánál, illetve az

irányelv értelmében meghozott intézkedések hatálybaléptetésekorpontosabban meg kell határozniuk azokat az általános feltételeket,amelyek mellett az adatfeldolgozás jogszerű; mivel különösen az5. cikk, a 7. és a 8. cikkel összefüggésben, az általános szabá-lyoktól függetlenül, megengedi a tagállamoknak, hogy különlegesadatfeldolgozási feltételeket rendeljenek el meghatározottágazatok, és a 8. cikk hatálya alá tartozó különféle adatkategóriákesetében;

(23) mivel a tagállamok az egyének védelmének megvalósításárólgondoskodhatnak mind a személyes adatok feldolgozása vonatko-zásában az egyének védelméről szóló általános jogszabály révén,mind ágazati jogszabályokon, mint például a statisztikai intéze-tekre vonatkozókon keresztül;

(24) mivel az adatfeldolgozással kapcsolatban a jogi személyek védel-mére vonatkozó szabályokat ez az irányelv nem érinti;

(25) mivel a védelem elveinek tükröződniük kell egyrészt a szemé-lyekre, hatóságokra, vállalkozásokra, hivatalokra, vagy más, adat-feldolgozással foglalkozó szervekre megállapított kötelezettsé-gekben, különösen az adatminőség, a technikai biztonság, a felü-gyelő hatóság értesítése, és az adatfeldolgozáshoz szükséges felté-telek tekintetében, másrészt az azon egyénekre szálló jogokban,akiknek az adatai feldolgozásra kerülnek, amelyek szerint tájékoz-tatják őket az adatfeldolgozásról, betekinthetnek az adatokba,helyesbítést kérhetnek, és bizonyos körülmények között tiltakoz-hatnak a feldolgozás ellen;

(26) mivel a védelem elveit minden azonosított vagy azonosíthatószemélyre vonatkozó információ esetében alkalmazni kell; mivelannak meghatározására, hogy egy személy azonosítható-e,minden olyan módszert figyelembe kell venni, amit az adatkezelő,vagy más személy valószínűleg felhasználna az említett személyazonosítására; mivel a védelem elvei nem alkalmazhatók az olyanmódon anonimmá tett adatokra, ahol az érintett a továbbiakbannem azonosítható; mivel a 27. cikk szerinti eljárási szabályzathasznos eszköz lehet útmutatásként ahhoz, hogy hogyan kell azadatokat anonimmá tenni, és olyan formában megőrizni,amelyben a szóban forgó adatok azonosítása a továbbiakban márnem lehetséges;

(27) mivel az egyének védelme az automatizált adatfeldolgozásraéppúgy vonatkozik, mint a manuális adatfeldolgozásra; mivel evédelem hatálya ténylegesen nem függhet az alkalmazott módsze-rektől, ellenkező esetben ez megkerüléshez vezethetne; mivelazonban az irányelv a manuális adatfeldolgozás tekintetében csaka nyilvántartó rendszerre terjed ki, a strukturálatlan adatállo-mányra nem; mivel elsősorban a nyilvántartási rendszer tartalmátkell rendszerezni az egyénekhez kapcsolódó meghatározott szem-pontok szerint úgy, hogy az könnyű hozzáférést tegyen lehetővé aszemélyes adatokhoz; mivel a 2. cikk c) pontjában szereplőmeghatározással összhangban, a személyes adatok rendszerezettcsoportja összetevőinek meghatározására alkalmazott különbözőszempontokat, továbbá az ezekhez való hozzáférésre vonatkozókülönböző szempontokat az egyes tagállamok állapíthatják meg;mivel a meghatározott szempontok szerint nem rendszerezettiratok, illetve iratok csoportjai, és azok borítóoldalai semmilyenkörülmények között nem tartoznak ezen irányelv hatálya alá;

(28) mivel a személyes adatok feldolgozásának törvényesnek és tisz-tességesnek kell lennie az érintett egyénekre nézve; mivel azadatoknak elsősorban helyesnek és lényegesnek kell lenniük, ésnem haladhatják meg a feldolgozás célját; mivel e céloknakpontosan megfogalmazottnak és jogszerűnek, valamint az adat-gyűjtés időpontjában meghatározottnak kell lenniük; mivel azadatfeldolgozás céljai az adatgyűjtést követően sem lehetnekösszeegyeztethetetlenek az eredetileg meghatározott célokkal;

1995L0046 — HU — 20.11.2003 — 001.001 — 5

▼B(29) mivel a személyes adatok további feldolgozása történelmi, statisz-

tikai, vagy tudományos célból általában nem tekinthető össze-egyeztethetetlennek a korábbi adatgyűjtés céljaival, feltéve, hogya tagállamok megfelelő biztosítékokról gondoskodnak; mivel ebiztosítékoknak ki kell zárniuk az adatoknak adott egyénekhezkapcsolódó intézkedések vagy határozatok meghozatalának támo-gatására való felhasználását;

(30) mivel annak érdekében, hogy a személyes adatok feldolgozásajogszerű legyen, illetve ha az az érintettre nézve kötelező szer-ződés megkötéséhez vagy teljesítéséhez szükséges, azt jogszabályírja elő, vagy az valamely közérdekű vagy hatósági feladat teljesí-téséhez szükséges, illetve valamely természetes vagy jogi személyjogos érdekében történik – feltéve, hogy az érintett érdekei, jogaiés szabadságai nem előbbrevalók – azt az érintett beleegyezésévelkell végezni; mivel különösen a hatékony verseny biztosításamellett az érdekek egyensúlyának fenntartása érdekében a tagál-lamok határozhatják meg azokat a körülményeket, amelyek eseténa személyes adatok felhasználhatók vagy harmadik felek tudomá-sára hozhatók a társaságok és egyéb szervezetek rendes, jogszerűüzleti tevékenysége során; mivel szintén a tagállamok határoz-hatják meg azokat a feltételeket, amelyek mellett a személyesadatok harmadik felek tudomására hozhatók marketing célokra,akár kereskedelmi jelleggel, akár jótékonysági szervezet, egyébtársulás vagy alapítvány – például politikai jellegű – által végzettmódon történik, azon rendelkezések betartásával, amelyek az érin-tett számára lehetővé teszik, hogy tiltakozzon a rá vonatkozóadatok feldolgozása ellen, költségek és indokolás nélkül;

(31) mivel a személyes adatok feldolgozását hasonlóan jogszerűnekkell tekinteni akkor, ha azt az érintett élete szempontjából alap-vető érdekek védelme érdekében végzik;

(32) mivel a nemzeti jogalkotás feladata annak meghatározása, hogy aközérdekű vagy hatósági feladatot teljesítő adatkezelő közigazga-tási szerv legyen, vagy a közjog, illetve a magánjog hatálya alátartozó egyéb természetes vagy jogi személy, például szakmaiszövetség;

(33) mivel az olyan adatok feldolgozása, amelyek jellegüknél fogvasérthetik az alapvető szabadságokat vagy a magánéletet, csak azérintett kifejezett hozzájárulásával végezhető; mivel azonbanmeghatározott esetekben kifejezetten rendelkezni kell az e tila-lomtól való eltérésről, különösen amikor az adatfeldolgozástegészségügyi célból végzik olyan személyek, akikre a szakmaititoktartás jogi kötelezettsége vonatkozik, vagy olyan egyesületek,illetve alapítványok, amelyek célja – jogszerű tevékenységükkeretében – az alapvető szabadságok gyakorlásának lehetővététele;

(34) mivel ha az fontos közérdek alapján indokolt, a tagállamok eltér-hetnek a különleges adatok feldolgozásának tilalmától, ameny-nyiben ezt fontos közérdekű okok indokolják olyan területeken,mint a közegészségügy, vagy a szociális védelem – elsősorbanannak biztosítása érdekében, hogy az egészségbiztosítási rendszerszolgáltatásaival és juttatásaival kapcsolatos követelések rendezé-sére alkalmazott eljárások magas szintűek és költséghatékonyaklegyenek –, a tudományos kutatások és állami statisztikai tevé-kenységek körében; mivel mindazonáltal a tagállamokra hárul ameghatározott megfelelő biztosítékok garantálása az egyénekalapvető jogainak és magánéletének védelme érdekében;

(35) mivel ezenfelül a személyes adatok hatóságok által történő feldol-gozása a hivatalosan elismert vallási szervezetek alkotmány-jogban, vagy nemzetközi közjogban megállapított céljai eléré-séhez csak fontos közérdekből lehetséges;

(36) mivel a választással kapcsolatos tevékenységek során egyes tagál-lamokban a demokratikus rendszer működése megkívánja, hogy apolitikai pártok adatokat gyűjtsenek az emberek politikai vélemé-nyéről, és az ilyen adatok feldolgozása csak fontos közérdekbőllehetséges, feltéve, hogy megfelelő biztosítékokat hoznak létre;

1995L0046 — HU — 20.11.2003 — 001.001 — 6

▼B(37) mivel az újságírás, irodalmi, vagy művészi kifejezés céljából,

különösen audiovizuális téren történő személyesadat-feldolgo-zásnak mentesülnie kell ezen irányelv egyes előírásai alól, ameny-nyiben ez az egyének alapvető jogainak a tájékozódáshoz valójoggal, nevezetesen az információszerzéshez és -közléshez valójognak az emberi jogok és alapvető szabadságok védelméről szólóeurópai egyezmény 10. cikkében biztosított jogával való össze-egyeztetéséhez szükséges; mivel ezért az adatfeldolgozás jogsze-rűségére vonatkozó általános intézkedések tekintetében az alap-vető jogok, a harmadik országokba történő adattovábbítás és afelügyelő hatóság hatásköre közötti egyensúly céljából a tagál-lamok állapíthatják meg a szükséges mentességeket és eltéréseket;mivel ez mindazonáltal nem vezethet arra, hogy a tagállamok azadatfeldolgozás biztonságát szavatoló intézkedések alóli mentes-ségeket állapítsanak meg; mivel legalább az ezért az ágazatértfelelős felügyelő hatóságot szintén fel kell ruházni bizonyos hiva-tali hatalommal például rendszeres jelentés kiadására, vagy azügyek igazságszolgáltatási hatóságok elé terjesztésére;

(38) mivel annak érdekében, hogy az adatfeldolgozás tisztességeslegyen, az érintettnek tudnia kell az adatfeldolgozási műveletről,és amennyiben adatokat gyűjtenek róla, arról pontos és teljes tájé-koztatást kell kapjon, figyelembe véve az adatgyűjtés körülmé-nyeit;

(39) mivel egyes adatfeldolgozási műveletek az olyan adatokra iskiterjednek, amelyeket az adatkezelő nem közvetlenül az érintettőlszerzett meg; mivel ezenfelül az adatok jogszerűen harmadikszemély tudomására hozhatók akkor is, ha a közlés az adatgyűjtésidőpontjában nem volt előre látható; mivel ilyen esetekben azérintettet az adatok rögzítésekor, vagy legkésőbb azoknak aharmadik személlyel első alkalommal történő közlése előtt tájé-koztatni kell;

(40) mivel mindazonáltal nem szükséges e kötelezettség előírása,amennyiben az érintettet már tájékoztatták erről; mivel ezenfelülnem áll fenn ilyen kötelezettség, ha a rögzítést, illetve közléstjogszabály kifejezetten előírja, ha az érintett tájékoztatása lehetet-lennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne,például történelmi, statisztikai, vagy tudományos célból történőfeldolgozás esetén; mivel e tekintetben figyelembe vehető az érin-tettek száma, az adatok kora, és az elfogadott kárpótló intézke-dések;

(41) mivel minden személynek lehetővé kell tenni a rá vonatkozó,adatfeldolgozás alatt álló adatokhoz való hozzáférés jogánakgyakorlását, különösen az adatok helyességének és az adatfeldol-gozás jogszerűségének ellenőrzése céljából; mivel ugyanezenokból minden érintettnek joga van tudni a rá vonatkozó adatokautomatizált feldolgozásának logikáját, legalább a 15. cikk (1)bekezdésében említett automatizált döntések esetében; mivel ez ajog nem befolyásolhatja károsan az üzleti titkot, vagy a szellemitulajdont és különösen a szoftvert védő szerzői jogot; mivel mind-azonáltal e szempontok nem vezethetnek oda, hogy az érintettnem kap semmilyen tájékoztatást;

(42) mivel a tagállamok az érintettek vagy mások jogai és szabadságaivédelmének érdekében korlátozhatják a hozzáférési és a tájékozta-táshoz való jogot; mivel például meghatározhatják, hogy azegészségügyi adatok csak hivatásos egészségügyi dolgozónkeresztül legyenek hozzáférhetők;

(43) mivel a tagállamok hasonlóképpen korlátozhatják a hozzáféréshezés a tájékoztatáshoz való jogokat, valamint az adatkezelő egyeskötelezettségeit, amennyiben ezek valamely tagállam, vagy azUnió nemzetbiztonsági, védelmi, közbiztonsági, fontos gazdaságivagy pénzügyi érdekeinek védelmében, illetve a bűnügyi nyomo-zásokhoz és a büntetőeljárás megindításához, valamint a jogsza-bályban szabályozott szakmákban az etikai vétségekkel kapcso-latos intézkedésekhez szükségesek; mivel a kivételek és korláto-zások listája ki kell, hogy terjedjen a három utóbb említett,

1995L0046 — HU — 20.11.2003 — 001.001 — 7

▼Bközbiztonsági, fontos gazdasági, vagy pénzügyi érdekekkel és abűnmegelőzéssel kapcsolatos területen szükséges megfigyelési,felügyeleti vagy szabályozási feladatokra; mivel a feladatok felso-rolása e három területen nem érinti a nemzetbiztonsági vagyhonvédelmi okokból megadott kivételek vagy megszorításokjogszerűségét;

(44) mivel a tagállamok a közösségi jog rendelkezései értelmébeneltérhetnek ezen irányelvnek a hozzáférési joggal, az egyénektájékoztatására vonatkozó kötelezettséggel, vagy az adatminő-séggel kapcsolatos rendelkezéseitől a fent említett célok biztosí-tása érdekében;

(45) mivel azonban a közérdekű vagy hatósági indokok, természetesvagy jogi személy jogos érdekei alapján történő törvényes adatfel-dolgozás esetében is minden érintettnek jogot kell biztosítani –különleges helyzetével kapcsolatos jogos és lényeges indokokalapján – a rá vonatkozó adatok feldolgozása elleni tiltakozásra;mindazonáltal a tagállamok ezzel ellentétes nemzeti rendelkezé-seket is megállapíthatnak;

(46) mivel az érintettek jogainak és szabadságainak védelme a szemé-lyes adatok feldolgozása tekintetében megkívánja, hogy megfelelőműszaki és szervezeti intézkedéseket hozzanak mind az adatfel-dolgozó rendszer megtervezésekor, mind az adatfeldolgozásidőpontjában, különösen a biztonság fenntartása, és ezáltal azengedély nélküli adatfeldolgozás megelőzése érdekében; mivel atagállamokra hárul annak biztosítása, hogy az adatkezelők megfe-leljenek ezeknek az intézkedéseknek; mivel ezeknek az intézke-déseknek biztosítaniuk kell a megfelelő szintű biztonságot, figye-lembe véve a legújabb vívmányokat és ezek megvalósításánakköltségét összevetve az adatfeldolgozással járó kockázattal, és avédelmet igénylő adatok természetével;

(47) mivel a személyes adatot tartalmazó üzenet távközlési úton vagyelektronikus üzenetszolgáltatás útján való továbbításakor, amelyekegyedüli célja az ilyen üzenetek továbbítása, az üzenetbenszereplő személyes adatok tekintetében általában az adatkezelőtkell azon személynek tekinteni, akitől az üzenet származik, ésnem a továbbítási szolgáltatást nyújtó személyt; mivel mindazon-által az ilyen szolgáltatást nyújtók általában adatkezelőnek tekin-tendők a szolgáltatás működtetéséhez szükséges további szemé-lyes adatok feldolgozása tekintetében;

(48) mivel a felügyelő hatóság értesítésére szolgáló eljárások arra szol-gálnak, hogy biztosítsák az adatfeldolgozási műveletek céljánakés főbb jellemzőinek nyilvánosságra hozatalát, annak céljából,hogy ellenőrizni lehessen, hogy a műveletek megfelelnek-e azezen irányelv alapján hozott nemzeti intézkedéseknek;

(49) mivel a szükségtelen adminisztratív formaságok elkerülése érde-kében a tagállamok, olyan esetekben, amikor az adatfeldolgozásvárhatóan nem érinti hátrányosan az érintettek jogait és szabadsá-gait, rendelkezhetnek az értesítési kötelezettség alóli felmentésrőlvagy az előírt értesítés egyszerűsítéséről, feltéve, hogy ez össz-hangban áll az annak korlátait meghatározó tagállam által hozottintézkedéssel; mivel az olyan tagállamok, ahol az adatkezelő általkijelölt személy biztosítja, hogy a végzett adatfeldolgozás várha-tóan nem érinti hátrányosan az érintettek jogait és szabadságait,hasonlóképpen rendelkezhetnek felmentésről vagy egyszerűsí-tésről; mivel az ilyen adatvédelmi tisztviselőt, függetlenül attól,hogy az adatkezelő alkalmazottja-e vagy sem, olyan hatáskörrelkell felruházni, hogy feladatát teljesen függetlenül gyakorolhassa;

(50) mivel felmentésről vagy egyszerűsítésről olyan adatfeldolgozásiműveletek esetében is rendelkezni lehet, amelyek egyedüli céljaolyan nyilvántartás fenntartása, amely a nemzeti jogszabályokkalösszhangban a nyilvánosság tájékoztatására szolgál, és amelybármely, jogos érdekét igazoló személy, illetve a nyilvánosságszámára hozzáférhető;

1995L0046 — HU — 20.11.2003 — 001.001 — 8

▼B(51) mivel mindazonáltal az egyszerűsítés vagy az értesítési kötele-

zettség alóli felmentés nem mentesíti az adatkezelőt az ezenirányelvből származó egyéb kötelezettségei alól;

(52) mivel ebben az összefüggésben az illetékes hatóságok általvégzett utólagos ellenőrzés általában elégséges intézkedésnektekintendő;

(53) mivel azonban egyes adatfeldolgozási műveletek természetüknél,hatókörüknél, vagy céljuknál fogva – például az egyénekjogokból, előnyökből vagy szerződésekből való kizárása, illetveúj technológiák meghatározott alkalmazása révén –, veszélyeztet-hetik az érintettek jogait és szabadságait; mivel a tagállamok sajátbelátásuk szerint határozhatják meg e kockázatokat jogszabá-lyaikban;

(54) mivel a társadalomban végzett adatfeldolgozás tekintetében azemlített kockázattal járók számát jelentősen le kell szűkíteni;mivel a tagállamoknak rendelkezniük kell arról, hogy a felügyelőhatóság, vagy az adatvédelmi tisztviselő a hatósággal együttmű-ködve ellenőrizze az ilyen adatfeldolgozást annak elvégzése előtt;mivel ezen előzetes ellenőrzést követően a felügyelő hatóságnemzeti jogszabályaival összhangban az adatfeldolgozás kapcsánvéleményt nyilváníthat, vagy engedélyt adhat; mivel ez az ellen-őrzés egyaránt végezhető a nemzeti parlament intézkedésénekelőkészítése, vagy valamely, az adatfeldolgozás jellegét meghatá-rozó és a megfelelő biztosítékokat megállapító törvényhozásirendelkezésen alapuló intézkedés előkészítése során;

(55) mivel abban az esetben, ha az adatkezelő nem tartja tiszteletbenaz érintettek jogait, a nemzeti jogalkotásnak kell gondoskodnia ajogorvoslatról; mivel a törvénytelen adatfeldolgozás miatt kártszenvedett személy kártérítését az adatkezelőnek kell állnia, akiakkor mentesül a felelősség alól, ha bizonyítja, hogy a kárért nemő felelős, különösen, ha megállapítja, hogy az érintett a hibás,vagy vis maior esete áll fenn; mivel szankciókat kell kiróniminden olyan személyre – függetlenül attól, hogy a magán- vagya közjog hatálya alá tartozik –, aki nem tesz eleget az ezenirányelv alapján meghozott nemzeti intézkedéseknek;

(56) mivel a személyes adatok határokon átnyúló áramlására szükségvan a nemzetközi kereskedelem bővüléséhez; mivel a Közös-ségben az egyének ezen irányelv által garantált védelme nem állútjában a személyes adatok továbbításának olyan harmadikországokba, amelyek megfelelő szintű védelmet biztosítanak;mivel a harmadik ország által nyújtott védelem szintjének megfe-lelő mivoltát a továbbítási művelet vagy műveletsorozattalkapcsolatos körülmények figyelembevételével kell értékelni;

(57) mivel másrészt a személyes adatoknak a megfelelő védelmiszintet biztosítani nem tudó harmadik országokba irányuló továb-bítását meg kell tiltani;

(58) mivel bizonyos körülmények között, amikor az érintett ehhezhozzájárult, vagy a továbbítás valamely szerződés vagy jogi köve-telés kapcsán szükséges, vagy valamely fontos közérdek védelmeezt megkívánja, például adó- vagy vámigazgatási szervek, vagy atársadalombiztosítási ügyekben illetékes hivatalok közötti nemzet-közi adattovábbítások esetében, vagy amikor a továbbítás jogsza-bály által létrehozott olyan nyilvántartásból történik, amelyhez anyilvánosság, vagy a jogos érdekkel rendelkező személyek hozzá-férhetnek, rendelkezni kell a fenti tilalom alóli mentességről;mivel ebben az esetben a továbbítás nem terjed ki a nyilvántar-tásban szereplő összes adatra, illetve összes adatkategóriára, ésamennyiben a nyilvántartást az olyan személyek által való hozzá-férésre szánták, akiknek ehhez jogos érdeke fűződik, a továbbítástcsak e személyek kérelmére lehet elvégezni, vagy akkor, ha acímzettek a szóban forgó személyek;

1995L0046 — HU — 20.11.2003 — 001.001 — 9

▼B(59) mivel különleges intézkedéseket lehet hozni a valamely harmadik

országban tapasztalható védelem hiányának orvoslására olyanesetekben, ahol az adatkezelő megfelelő biztosítékokat nyújt;mivel ezenfelül rendelkezni kell a Közösség és ilyen harmadikországok közötti tárgyalásokra vonatkozó eljárásokról;

(60) mivel a harmadik országokba irányuló továbbítás csak a tagál-lamok által ezen irányelv és különösen annak 8. cikke értelmébenelfogadott rendelkezések teljes betartásával lehetséges;

(61) mivel a tagállamoknak és a Bizottságnak, saját hatáskörükönbelül, ösztönözniük kell a szakmai szövetségeket és más érintettérdekképviseleti szervezeteket arra, hogy eljárási szabályzatokathozzanak létre az irányelv alkalmazásának megkönnyítésére,figyelembe véve az egyes ágazatokban végzett adatfeldolgozásspeciális jellemzőit, és tiszteletben tartva az annak végrehajtásaérdekében elfogadott nemzeti rendelkezéseket;

(62) mivel a tagállamokban a feladataikat teljes függetlenséggelgyakorló felügyelő hatóságok létrehozása alapvető eleme azegyének védelmének a személyes adatok feldolgozása tekinte-tében;

(63) mivel az ilyen hatóságoknak rendelkezniük kell a feladataik telje-sítéséhez szükséges eszközökkel, beleértve a vizsgálati és beavat-kozási jogosultságokat, különösen az egyének panaszai esetén,továbbá a bírósági eljárásokban való részvétel lehetőségét; mivele hatóságoknak segíteniük kell az adatfeldolgozás áttekinthetősé-gének biztosítását azokban a tagállamokban, amelyek joghatóságaalá tartoznak;

(64) mivel a különböző tagállamok hatóságainak együtt kell működ-niük feladataik ellátása során annak érdekében, hogy a védelemrevonatkozó szabályokat az Európai Unió egészében megfelelőentiszteletben tartsák;

(65) mivel közösségi szinten létre kell hozni egy, a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozómunkacsoportot, amely feladatai ellátása során teljes független-séget élvez; mivel tekintettel speciális jellegére, a munkacso-portnak tájékoztatnia kell a Bizottságot és különösen hozzá kelljárulnia az ezen irányelv értelmében elfogadott nemzeti szabályokegységes alkalmazásához;

(66) mivel az adatok harmadik országokba irányuló továbbításáratekintettel az irányelv alkalmazása megkívánja a hatáskör Bizott-ságra történő átruházását, valamint a Tanács 87/373/EGK (1)határozatában megállapított eljárás kidolgozását;

(67) mivel 1994. december 20-án megegyezés született az EurópaiParlament, a Tanács és a Bizottság között egyfajta modus vivendi-ről az EK-Szerződés 189b. cikkében megállapított eljárásnakmegfelelően elfogadott jogi aktusok végrehajtási rendelkezéseitekintetében;

(68) mivel az ezen irányelvben szereplő elvek az egyének jogairól ésszabadságairól –nevezetesen a személyes adatok feldolgozásatekintetében a magánélet tiszteletben tartásához való jogukról –,az ezeken alapuló különleges szabályokkal kiegészíthetők vagyazokhoz magyarázat fűzhető, különösen egyes ágazatok vonatko-zásában;

(69) mivel a tagállamoknak az ezen irányelvet átültető nemzeti intéz-kedések hatálybalépésétől számított legfeljebb háromévesidőszakot lehet engedélyezni az új nemzeti szabályoknak a márfolyamatban lévő adatfeldolgozási műveletekre történő fokozatosalkalmazására; mivel azok költségkímélő végrehajtásánakmegkönnyítése érdekében további, az irányelv elfogadásátólszámított 12 évet kell engedélyezni a tagállamoknak a jelenlegimanuális adatnyilvántartási rendszereknek az irányelv egyesrendelkezéseivel való összhangba hozatalának biztosítására; mivel

1995L0046 — HU — 20.11.2003 — 001.001 — 10

(1) HL L 197., 1987.7.18., 33. o.

▼Bamennyiben az ezen adatnyilvántartási rendszerekben foglaltadatokat manuálisan dolgozzák fel e meghosszabbított átmenetiidőszak alatt, a rendszereket összhangba kell hozni e rendelkezé-sekkel a szóban forgó feldolgozás idejére;

(70) mivel nem szükséges, hogy az érintett ismételten hozzájárulásátadja ahhoz, hogy az adatkezelő az ezen irányelv értelmébenhozott nemzeti rendelkezések hatálybalépését követően folytat-hassa az adatfeldolgozást azon szenzitív adatok vonatkozásában,amelyek valamely, szabad akaratból tett hozzájárulás alapján, az erendelkezések hatálybalépése előtt megkötött szerződés teljesíté-séhez szükségesek;

(71) mivel ezen irányelv nem akadályozza a tagállamokat a terüle-tükön tartózkodó fogyasztókat célzó marketing tevékenységekszabályozásában, amennyiben az ilyen szabályozás nem érinti azegyének védelmét a személyes adatok feldolgozása tekintetében;

(72) mivel ez az irányelv lehetővé teszi a hivatalos iratokhoz való nyil-vános hozzáférés elvének figyelembevételét az irányelvbenszereplő elvek végrehajtásakor,

ELFOGADTA EZT AZ IRÁNYELVET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Az irányelv célja

(1) A tagállamok ezen irányelvnek megfelelően védik a természetesszemélyek alapvető jogait és szabadságait, különösen a magánélet tiszte-letben tartásához való jogukat a személyes adatok feldolgozása tekinte-tében.

(2) A tagállamok nem korlátozhatják és nem tilthatják a személyesadatok tagállamok közötti szabad áramlását az (1) bekezdés értelmébenbiztosított védelemmel kapcsolatos indokok miatt.

2. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

a) „személyes adat” az azonosított vagy azonosítható természetesszemélyre („érintettre”) vonatkozó bármely információ; az azonosít-ható személy olyan személy, aki közvetlen vagy közvetett módonazonosítható, különösen egy azonosító számra vagy a személy fizikai,fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitásáravonatkozó egy vagy több tényezőre történő utalás révén;

b) „személyes adatok feldolgozása” („feldolgozás”) a személyesadatokon automatikus vagy nem automatikus módon végzett bármelyművelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendsze-rezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, bete-kintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módontörténő hozzáférhetővé tétel révén, összehangolás vagy összekap-csolás, zárolás, törlés, illetve megsemmisítés;

c) „személyesadat-nyilvántartó rendszer” („nyilvántartó rendszer”) aszemélyes adatok bármely strukturált, funkcionálisan vagy földraj-zilag centralizált, decentralizált vagy szétszórt állománya, amelymeghatározott ismérvek alapján hozzáférhető;

d) „adatkezelő” az a természetes vagy jogi személy, hatóság, intézményvagy bármely más szerv, amely önállóan vagy másokkal együttmeghatározza a személyes adatok feldolgozásának céljait és módját;ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabályhatározza meg, az adatkezelőt vagy a kinevezésére vonatkozó különszempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;

1995L0046 — HU — 20.11.2003 — 001.001 — 11

▼B

e) „feldolgozó” az a természetes vagy jogi személy, hatóság, intézményvagy bármely más szerv, amely személyes adatokat dolgoz fel azadatkezelő nevében;

f) „harmadik személy” az a természetes vagy jogi személy, hatóság,intézmény vagy bármely más szerv, amely nem azonos az érintettel,az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akikaz adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatal-mazást kaptak az adatok feldolgozására;

g) „címzett” az a természetes vagy jogi személy, hatóság, intézményvagy bármely más szerv, akinek vagy amelynek a részére az adatottovábbítják, függetlenül attól, hogy harmadik személy-e vagy sem;mindazonáltal azok a hatóságok, amelyek egyedi megkeresés alapjánkapnak adatokat, nem tekinthetők címzettnek;

h) „az érintett hozzájárulása” az érintett kívánságának önkéntes, kifeje-zett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őtérintő személyes adatok feldolgozásához.

3. cikk

Hatály

(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagyegészben automatizált módon való feldolgozására, valamint azoknak aszemélyes adatoknak a nem automatizált módon való feldolgozására,amelyek valamely nyilvántartási rendszer részét képezik, vagyamelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2) Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgo-zásokra:

– a közösségi jog hatályán kívül eső tevékenységek, mint például azEurópai Unióról szóló szerződés V. és VI. címeiben megállapítottak,valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal(beleértve az ország gazdasági jólétét is, ha a feldolgozási műveletnemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területénaz állami tevékenységekkel kapcsolatos feldolgozási műveletek,

– a természetes személy által kizárólag személyes célra, vagy háztartásitevékenysége keretében végzett adatfeldolgozás.

4. cikk

Az alkalmazandó nemzeti jog

(1) A személyes adatok feldolgozására minden tagállam az ezenirányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza,amennyiben:

a) az adatfeldolgozást a tagállam területén az adatkezelő egy szervezetetevékenységeinek keretében végzik; amennyiben ugyanaz az adatke-zelő több tagállam területén is letelepedett, meg kell tennie a szük-séges intézkedéseket annak biztosítása érdekében, hogy szerveze-teinek mindegyike megfeleljen az alkalmazandó nemzeti jog általmegállapított kötelezettségeknek;

b) az adatkezelő nem valamely tagállam területén telepedett le, hanemolyan helyen, amelynek nemzeti joga – a nemzetközi közjog értel-mében – alkalmazandó;

c) az adatkezelő nem telepedett le a Közösség területén, és a személyesadatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz,amely a fenti tagállam területén található, kivéve, ha ezt az eszköztkizárólag a Közösség területén átmenő adatforgalom céljára hasz-nálják.

(2) Az (1) bekezdés c) pontjában említett körülmények esetén azadatkezelőnek – az ellene indítható jogi keresetek sérelme nélkül – kikell jelölnie egy, az adott tagállam területén letelepedett képviselőt.

1995L0046 — HU — 20.11.2003 — 001.001 — 12

▼BII. FEJEZET

A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK JOGSZERŰSÉGÉREVONATKOZÓ ÁLTALÁNOS SZABÁLYOK

5. cikk

A tagállamok, e fejezet rendelkezéseinek korlátai között, részletesenmeghatározzák, hogy a személyes adatok feldolgozása milyen feltételekmellett jogszerű.

I. SZAKASZ

AZ ADATOK MINŐSÉGÉRE VONATKOZÓ ELVEK

6. cikk

(1) A tagállamok rendelkeznek arról, hogy a személyes adatok:

a) feldolgozását tisztességesen és törvényesen kell végezni;

b) gyűjtése csak meghatározott, egyértelmű és törvényes célbóltörténhet, és további feldolgozása nem végezhető e célokkal összefér-hetetlen módon. A személyes adatok további feldolgozása történelmi,statisztikai vagy tudományos célokra nem tekintendő összeférhetet-lennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;

c) gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfe-lelőek, relevánsak és nem túlzott mértékűek;

d) pontosak, és ha szükséges, időszerűek kell legyenek; minden ésszerűintézkedést meg kell tenni annak érdekében, hogy a hibás vagyhiányos adatok, tekintettel gyűjtésük vagy további feldolgozásukcéljaira, törlésre vagy helyesbítésre kerüljenek;

e) tárolásának olyan formában kell történnie, amely az érintettek azono-sítását csak az adatok gyűjtése vagy további feldolgozása céljainakeléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítjákmeg a személyes adatok történelmi, statisztikai vagy tudományoscélból, hosszabb ideig történő tárolásának megfelelő garanciáit.

(2) Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdésrendelkezései teljesüljenek.

II. SZAKASZ

AZ ADATFELDOLGOZÁS JOGSZERŰVÉ TÉTELÉRE VONATKOZÓKRITÉRIUMOK

7. cikk

A tagállamok rendelkeznek arról, hogy a személyes adatok csak abbanaz esetben dolgozhatók fel, ha:

a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy

b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges,amelyben az érintett az egyik fél, vagy az a szerződés megkötésétmegelőzően az érintett kérésére történő lépések megtételéhez szük-séges; vagy

c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnekteljesítéséhez szükséges; vagy

d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges;vagy

e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásáhozvagy az adatkezelőre, illetve az adatokról tudomást szerző harmadikfélre ruházott hivatali hatáskör gyakorlásához szükséges; vagy

f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapóharmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szük-séges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érin-tettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekeiaz alapvető jogok és szabadságok tekintetében.

1995L0046 — HU — 20.11.2003 — 001.001 — 13

▼BIII. SZAKASZ

AZ ADATFELDOLGOZÁS KÜLÖNLEGES KATEGÓRIÁI

8. cikk

Különleges adatok feldolgozása

(1) A tagállamok megtilthatják az olyan személyes adatok feldolgo-zását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre,a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, azegészségi állapotra vagy a szexuális életre vonatkoznak.

(2) Az (1) bekezdést nem alkalmazható abban az esetben, ha:

a) az érintett kifejezett hozzájárulását adta az említett adatok feldolgozá-sához, kivéve, ha a tagállam joga úgy rendelkezik, hogy az (1) bekez-désben említett tilalom alól nem engedhető kivétel az érintett hozzájá-rulásával sem, vagy

b) az adatfeldolgozás az adatkezelő kötelezettségei és meghatározottjogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályokterületén, amennyiben a megfelelő biztosítékokról rendelkező nemzetijogszabályok ezt lehetővé teszik, vagy

c) az adatfeldolgozás az érintett vagy más személy létfontosságú érde-keinek védelméhez szükséges abban az esetben, ha az érintett fizi-kailag vagy jogilag képtelen a hozzájárulását adni, vagy

d) az adatfeldolgozás valamely alapítvány, egyesület vagy bármely másnonprofit szervezet megfelelő biztosítékok mellett végzett törvényestevékenysége keretében történik, politikai, világnézeti, vallási vagyszakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólagaz ilyen szerv tagjaira, vagy olyan személyekre vonatkozik, akikazzal rendszeres kapcsolatban állnak a szerv céljainak megfelelően,és az adatok nem adhatók ki harmadik fél részére az érintettek hozzá-járulása nélkül, vagy

e) az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintettegyértelműen nyilvánosságra hozott, vagy amelyek jogi követelésekmegállapításához, gyakorlásához vagy védelméhez szükségesek.

(3) Az (1) bekezdés nem alkalmazható, ha az adatok feldolgozásamegelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagyfeldolgozás alkalmazása vagy egészségügyi szolgáltatások igazgatásacéljából szükséges, és ha az adatokat a nemzeti jog vagy az illetékesnemzeti testületek által meghatározott szakmai titoktartási kötelezettségalá eső egészségügyi szakember vagy azzal egyenértékű titoktartásikötelezettség alá eső más személy dolgozza fel.

(4) Megfelelő garanciák nyújtása mellett a tagállamok, alapvetőközérdekből, nemzeti jogszabályaikban vagy a felügyelő hatóság határo-zatában további mentességeket állapíthatnak meg a (2) bekezdésbenfoglaltakon kívül.

(5) A bűncselekményekre, büntetőítéletekre vagy biztonsági intézke-désekre vonatkozó adatok feldolgozása kizárólag a hatóság ellenőrzésemellett történhet, vagy ha a nemzeti jog megfelelő külön biztosítékotnyújt, az olyan eltérésekre is figyelemmel, amelyet a tagállamok amegfelelő külön biztosítékot nyújtó nemzeti rendelkezések alapján enge-délyezhetnek. Mindazonáltal a büntetőítéletekről teljes körű nyilvántar-tást csak a hatóság ellenőrzésével lehet vezetni.

A tagállamok rendelkezhetnek arról, hogy a közigazgatási szankciókkalvagy polgári ügyekben hozott határozatokkal kapcsolatos adatokatszintén csak a hatóság ellenőrzésével lehessen feldolgozni.

(6) Az (1) bekezdéstől való, a (4) és (5) bekezdésben említett eltéré-sekről a Bizottságot értesíteni kell.

(7) A tagállamok határozzák meg a nemzeti azonosító számok ésegyéb általános jellegű azonosító jelek feldolgozásának feltételeit.

1995L0046 — HU — 20.11.2003 — 001.001 — 14

▼B9. cikk

A személyes adatok feldolgozása és a szólásszabadság

A tagállamok e fejezet, a IV. és a VI. fejezet rendelkezései alóli felmen-tésről, illetve eltérésről kizárólag a személyes adatoknak újságírás, vagyirodalmi, illetve művészi kifejezés céljából történő feldolgozása eseténrendelkezhetnek, amennyiben azok a magánélet tiszteletben tartásáhozvaló jognak a szólásszabadságra vonatkozó szabályokkal való össze-egyeztetéséhez szükségesek.

IV. SZAKASZ

AZ ÉRINTETT TÁJÉKOZTATÁSA

10. cikk

Tájékoztatás az érintettől való adatgyűjtés esetében

A tagállamoknak rendelkezniük kell arról, hogy az adatkezelőnek vagyképviselőjének legalább az alábbiakról tájékoztatnia kell az érintettet,akitől a rá vonatkozó adatokat gyűjtik, kivéve ha az érintett már rendel-kezik ezen információkkal:

a) az adatkezelő, vagy ha van ilyen, képviselőjének személye;

b) az adatfeldolgozás célja, amelyre az adatokat szánják;

c) minden olyan további adat, mint például:

– az adatok címzettjei, illetve a címzettek kategóriái,

– hogy a kérdések megválaszolása kötelező vagy önkéntes, továbbáa válaszadás elmulasztásának lehetséges következményei,

– betekintési jog és az érintettre vonatkozó adatok helyesbítéséhezvaló jog,

amennyiben e további információk, tekintettel az adatgyűjtés sajátoskörülményeire, az érintett vonatkozásában a tisztességes adatfeldol-gozás biztosításához szükségesek.

11. cikk

Tájékoztatás, ha az adatokat nem az érintettől szerezték be

(1) Abban az esetben, ha az adatokat nem az érintettől szerezték be, atagállamoknak rendelkezniük kell arról, hogy az adatkezelő vagy képvi-selője a személyes adatok felvételének elvállalásakor, illetve, ha azadatokat harmadik személyhez szándékoznak továbbítani, legkésőbb azadatok első közlésekor köteles az érintettel legalább az alábbi informáci-ókat közölni, kivéve, ha az érintett már rendelkezik ezekkel az informá-ciókkal:

– az adatkezelő, vagy ha van ilyen, képviselőjének személye;

– az adatfeldolgozás célja;

– bármely egyéb információ, mint például:

– az érintett adatok kategóriái,

– az adatok címzettjei vagy a címzettek kategóriái,

– betekintési jog és az érintettre vonatkozó adatok helyesbítéséhezvaló jog,

amennyiben e további információk, tekintettel az adatgyűjtés sajátoskörülményeire, az érintett vonatkozásában a tisztességes adatfeldol-gozás biztosításához szükségesek.

(2) Az (1) bekezdés nem alkalmazható, különösen a statisztikai célúvagy a történelmi, vagy tudományos célú adatfeldolgozás esetében, ha akérdéses információk rendelkezésre bocsátása lehetetlennek bizonyulvagy aránytalanul nagy erőfeszítést igényel, illetve ha a rögzítést vagy aközlést jogszabály kifejezetten előírja. Ezekben az esetekben a tagálla-moknak garantálniuk kell a megfelelő biztosítékokat.

1995L0046 — HU — 20.11.2003 — 001.001 — 15

▼BV. SZAKASZ

AZ ÉRINTETT ADATHOZZÁFÉRÉSHEZ VALÓ JOGA

12. cikk

Adathozzáféréshez való jog

A tagállamoknak biztosítaniuk kell minden érintett számára a jogot,hogy az adatkezelőtől:

a) korlátozás nélkül, ésszerű időközönként, túlzott késedelem vagyköltség nélkül:

– megerősítést kapjon arról, hogy rá vonatkozóan adatok feldolgo-zása folyamatban van-e, továbbá, hogy információt kapjon lega-lább az adatfeldolgozás céljáról, az érintett adatkategóriákról, acímzettekről vagy a címzettek kategóriáiról, akik felé az adatokattovábbítják,

– érthető formában értesítést kapjon az adatfeldolgozás alatt állóadatokról és azok forrásával kapcsolatos minden rendelkezésre állóinformációról,

– tájékoztatást kapjon a rá vonatkozó adatok automatizált feldolgo-zása során alkalmazott logikáról legalább a 15. cikk (1) bekezdé-sében említett automatizált döntések esetében;

b) az esettől függően kérje az olyan adatok helyesbítését, törlését vagyzárolását, amelyek feldolgozása nem felel meg ezen irányelv rendel-kezéseinek, különösen az ilyen adatok hiányos vagy hibás voltamiatt;

c) kérje az adatokról tudomást szerző harmadik felek értesítését a b)ponttal összhangban végzett minden helyesbítésről, törlésről vagyzárolásról, hacsak ez lehetetlennek nem bizonyul, vagy aránytalanulnagy erőfeszítést nem igényel.

VI. SZAKASZ

MENTESSÉGEK ÉS KORLÁTOZÁSOK

13. cikk

Mentességek és korlátozások

(1) A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekez-désében, a 10. cikkben. a 11. cikk (1) bekezdésében, valamint a 12. és a21. cikkben foglalt jogok és kötelezettségek körének korlátozására,amennyiben a korlátozás az alábbiak biztosításához szükséges:

a) nemzetbiztonság;

b) honvédelem;

c) közbiztonság;

d) bűncselekmények vagy a szabályozott foglalkozások etikai vétsé-geinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatoseljárások lefolytatása;

e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénz-ügyi érdeke, beleértve a monetáris, a költségvetési és az adózásikérdéseket;

f) a c), d) és e) pontban említett esetekben esetlegesen a hatóságifeladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabá-lyozási tevékenység;

g) az érintett, vagy mások jogainak és szabadságainak védelme.

(2) Megfelelő jogi garanciák mellett, különösen ha az adatokat nemhasználják fel meghatározott egyénre vonatkozó intézkedések vagydöntések hozatalához olyan esetben, amikor nyilvánvalóan nem áll fennannak a veszélye, hogy az érintett magánélethez való jogát sérelem éri,a tagállamok törvényes eszközökkel korlátozhatják a 12. cikkben foglalt

1995L0046 — HU — 20.11.2003 — 001.001 — 16

▼Bjogokat, amennyiben az adatokat kizárólag tudományos kutatás céljárahasználják fel, vagy személyes jellegüket megőrző formában csak astatisztika elkészítéséhez szükséges ideig tárolják.

VII. SZAKASZ

AZ ÉRINTETT TILTAKOZÁSI JOGA

14. cikk

Az érintett tiltakozási joga

A tagállamoknak biztosítaniuk kell az érintettnek, hogy:

a) legalább a 7. cikk e) és f) pontjában foglalt esetekben, sajátos helyze-tével kapcsolatos lényeges jogos érdekből bármikor tiltakozhasson ará vonatkozó adatok feldolgozása ellen, kivéve, ha erről a nemzetijog másként rendelkezik. Jogos tiltakozás esetén az adatkezelő általkezdeményezett adatfeldolgozás a továbbiakban nem terjedhet ki aszóban forgó adatokra;

b) kérelemre és térítésmentesen tiltakozhasson az olyan, rá vonatkozószemélyes adatok feldolgozása ellen, amelyekkel kapcsolatban azadatkezelő előre jelzi, hogy feldolgozásuk célja közvetlen üzlet-szerzés, illetve hogy tájékoztassák személyes adatainak harmadikszemélyeknek első alkalommal történő közlése, vagy a nevükbenközvetlen üzletszerzés céljára történő felhasználás előtt, valamintszámára az ilyen közlés vagy felhasználás elleni kifogás jogát kifeje-zetten biztosítani.

A tagállamok megteszik a szükséges intézkedéseket annak biztosításaérdekében, hogy az érintettek tisztában legyenek a b) pont első albekez-désében említett jogukkal.

15. cikk

Automatizált egyedi döntések

(1) A tagállamok minden személynek biztosítják a jogot arra, hogyne terjedhessen ki rájuk olyan döntés hatálya, amely rájuk nézve jogihatással járna, vagy őket jelentős mértékben érintené, és amely kizárólagautomatizált feldolgozáson alapul, és amelynek célja a rá vonatkozóegyes olyan személyes szempontok kiértékelése, mint például a munka-helyi teljesítmény, a hitelképesség, a megbízhatóság, az életvitel, stb.

(2) Ezen irányelv többi cikkére is figyelemmel, a tagállamok úgy isrendelkezhetnek, hogy az első bekezdésben említett döntés hatálya kiter-jedhet a személyre, amennyiben a döntést:

a) valamely szerződés megkötése vagy teljesítése során hozták, feltéve,hogy az érintettnek a szerződés megkötése vagy teljesítése irántikérelmét teljesítették, vagy jogos érdekének biztosítására megfelelőbiztosítékok állnak rendelkezésre, mint például a véleményénekkinyilvánítását lehetővé tevő intézkedések; vagy

b) olyan jogszabály teszi lehetővé, amely az érintett jogos érdekeitbiztosító intézkedéseket is megállapítja.

VIII. SZAKASZ

AZ ADATFELDOLGOZÁS TITKOSSÁGA ÉS BIZTONSÁGA

16. cikk

Az adatfeldolgozás titkossága

Bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásávaleljáró személy, beleértve magát az adatfeldolgozót is, aki a személyesadatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasításaalapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt jogszabálykötelezi.

1995L0046 — HU — 20.11.2003 — 001.001 — 17

▼B17. cikk

Az adatfeldolgozás biztonsága

(1) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelővégrehajtsa a megfelelő technikai és szervezési intézkedéseket a szemé-lyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesz-tése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzá-férése elleni védelme érdekében, különösen, ha a feldolgozás közben azadatokat hálózaton keresztül továbbítják, továbbá a feldolgozás mindenmás jogellenes formája ellen.

Tekintettel a technika vívmányaira és alkalmazásuk költségeire, ezenintézkedéseknek olyan szintű biztonságot kell nyújtaniuk, amelymegfelel az adatfeldolgozás által jelentett kockázatoknak és a védendőadatok jellegének.

(2) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő –amennyiben az adatfeldolgozás az ő nevében történik – köteles olyanadatfeldolgozót választani, aki a technikai biztonsági intézkedések és azelvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések tekinte-tében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említettintézkedések teljesítését.

(3) Adatfeldolgozón keresztül történő adatfeldolgozásra olyan szerző-désnek vagy jogi aktusnak kell vonatkoznia, amely az adatfeldolgozótaz adatkezelővel szemben köti, és amely különösen a következőkettartalmazza:

– az adatfeldolgozó kizárólag az adatkezelő utasítása alapján járhat el,

– az (1) bekezdésben megállapított kötelezettségek annak a tagállamnaka jogszabályai szerint kerülnek meghatározásra, amelyben a feldol-gozó letelepedett, és azok a feldolgozóra is vonatkoznak.

(4) A bizonyítékok megőrzése céljából az adatvédelemre és az (1)bekezdésben említett intézkedésekkel kapcsolatos előírásokra vonatkozószerződés vagy jogi aktus részeit írásba vagy egyéb, azzal egyenértékűformába kell foglalni.

IX. SZAKASZ

ÉRTESÍTÉS

18. cikk

A felügyelő hatóság értesítésére vonatkozó kötelezettség

(1) A tagállamoknak rendelkezniük kell arról, hogy az adatkezelővagy annak képviselője, ha van ilyen, értesítse a 28. cikkben említettfelügyelő hatóságot akár egyetlen, akár több, összefüggő célt szolgáló,részben vagy egészen automatizált módon történő adatfeldolgozásiművelet vagy műveletsorozat elvégzését megelőzően.

(2) A tagállamok kizárólag a következő esetekben és feltételekmellett rendelkezhetnek az értesítés módjának egyszerűsítéséről vagy azértesítési kötelezettség alóli felmentésről:

– amennyiben az olyan adatfeldolgozási műveletek kategóriái esetében,amelyek – figyelembe véve a feldolgozandó adatokat – valószínűlegnem befolyásolják hátrányosan az érintettek jogait és szabadságait,meghatározzák az adatfeldolgozás célját, a feldolgozásra kerülőadatokat vagy adatkategóriákat, az érintettek körét vagy köreit, azokata címzetteket vagy címzettek kategóriáit, akik számára az adatokattovábbították, továbbá az adatok tárolásának időtartamát, és/vagy

– amennyiben az adatkezelő a rá vonatkozó nemzeti jogszabályokkalösszhangban kijelöl egy személyesadat-védelmi tisztviselőt, aki első-sorban az alábbiakért felelős:

– az ezen irányelv alapján elfogadott nemzeti rendelkezések belsőalkalmazásának független módon való biztosítása,

– az adatkezelő által végzett adatfeldolgozási műveletek nyilvántartá-sának vezetése, amely tartalmazza a 21. cikk (2) bekezdésébenemlített adatokat,

1995L0046 — HU — 20.11.2003 — 001.001 — 18

▼Bezáltal biztosítva, hogy az adatfeldolgozási műveletek várhatóan nebefolyásolják hátrányosan az érintettek jogait és szabadságait.

(3) A tagállamok rendelkezhetnek arról, hogy az (1) bekezdés nevonatkozzon arra az adatfeldolgozásra, amelynek kizárólagos célja egyolyan nyilvántartás vezetése, amely a törvények vagy rendeletek értel-mében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyil-vánosság, vagy bármely jogos érdekét igazoló személy számára bete-kintés céljából rendelkezésre áll.

(4) A tagállamok a 8. cikk (2) bekezdésének d) pontjában említettadatfeldolgozási műveletek esetében rendelkezhetnek az értesítési köte-lezettség alóli felmentésről vagy az értesítés módjának egyszerűsítéséről.

(5) A tagállamok kiköthetik, hogy egyes vagy az összes, személyesadatot érintő, nem automatizált adatfeldolgozási művelet értesítési köte-lezettség alá tartozzon, vagy rendelkezhetnek arról, hogy ezen adatfel-dolgozási műveletek egyszerűsített értesítés tárgyát képezzék.

19. cikk

Az értesítés tartalma

(1) Az értesítésben foglalt adatokat a tagállamok határozzák meg. Azértesítésnek legalább a következőket tartalmaznia kell:

a) az adatkezelő, vagy – ha van ilyen – annak képviselőjének neve éscíme;

b) az adatfeldolgozás célja vagy céljai;

c) az érintettek körének vagy köreinek, továbbá a rájuk vonatkozóadatok vagy adatkategóriák leírása;

d) azoknak a címzetteknek vagy címzett kategóriáknak a leírása, akikszámára az adatokat továbbították;

e) harmadik országokba irányuló tervezett adattovábbítások;

f) általános leírás, amely lehetővé teszi a 17. cikk értelmében az adatfel-dolgozás biztonsága érdekében hozott intézkedések megfelelő mivol-tának előzetes értékelését.

(2) A tagállamok határozzák meg azokat az eljárásokat, amelyekkeretében a felügyelő hatóságot az (1) bekezdésben említett adatokatérintő bármilyen változásról értesíteni kell.

20. cikk

Előzetes ellenőrzés

(1) A tagállamok határozzák meg azokat az adatfeldolgozási művele-teket, amelyek külön kockázatot jelenthetnek az érintettek jogaira ésszabadságaira nézve, továbbá ellenőrzik, hogy ezeket az adatfeldolgozásiműveleteket megkezdésük előtt megvizsgálják-e.

(2) Ezeket az előzetes ellenőrzéseket a felügyelő hatóság végzi,miután az adatkezelőtől vagy az adatvédelmi tisztviselőtől értesítéstkapott, akik – kétség esetén – kötelesek konzultálni a felügyelő ható-sággal.

(3) Ilyen ellenőrzéseket a tagállamok is végezhetnek akár a nemzetiparlament intézkedésének, akár az adatfeldolgozás jellegét meghatározó,és a megfelelő biztosítékokat megállapító jogalkotási rendelkezésenalapuló intézkedés előkészítése keretében is.

21. cikk

Az adatfeldolgozási műveletek nyilvánosságának biztosítása

(1) A tagállamoknak intézkedéseket kell tenniük az adatfeldolgozásiműveletek nyilvánosságának biztosítására.

(2) A tagállamoknak rendelkezniük kell arról, hogy a 18. cikk szerintiadatfeldolgozási műveletekről a felügyelő hatóság nyilvántartástvezessen.

1995L0046 — HU — 20.11.2003 — 001.001 — 19

▼BA nyilvántartásnak legalább a 19. cikk (1) bekezdésének a)–e) pontjábanfelsorolt adatokat tartalmaznia kell.

A nyilvántartást bárki megtekintheti.

(3) Az értesítéshez nem kötött adatfeldolgozási műveletek kapcsán atagállamoknak rendelkezniük kell arról, hogy az adatkezelők vagy atagállamok által kijelölt egyéb szerv kérelemre, bárki számára megfelelőformában bocsássa rendelkezésre legalább a 19. cikk (1) bekezdéséneka)–e) pontjában felsorolt adatokat.

A tagállamok rendelkezhetnek arról, hogy ez a rendelkezés ne vonat-kozzon arra az adatfeldolgozásra, amelynek kizárólagos célja egy olyannyilvántartás vezetése, amely a törvények vagy rendeletek értelmében anyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság,vagy bármely jogos érdekét igazoló személy számára betekintés céljábólrendelkezésre áll.

III. FEJEZET

BÍRÓSÁGI JOGORVOSLAT, FELELŐSSÉG ÉS SZANKCIÓK

22. cikk

Jogorvoslat

A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelmenélkül, amelynek keretében többek között a 28. cikkben meghatározottfelügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, atagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathozvaló jogot bármely olyan jogának megsértése esetén, amelyet a szóbanforgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára.

23. cikk

Felelősség

(1) A tagállamoknak rendelkezniük kell arról, hogy mindenki, akijogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmébenelfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedéseredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosultaz elszenvedett károkért.

(2) Az adatkezelő részben vagy egészben mentesül e felelősség alól,ha bizonyítja, hogy a kárt okozó eseményért nem felelős.

24. cikk

Szankciók

A tagállamok elfogadják a megfelelő intézkedéseket ezen irányelvrendelkezéseinek maradéktalan végrehajtása érdekében és különösenmegállapítják az irányelv értelmében elfogadott rendelkezések megsér-tése esetén kiszabható szankciókat.

IV. FEJEZET

A SZEMÉLYES ADATOK HARMADIK ORSZÁGOKBA IRÁNYULÓTOVÁBBÍTÁSA

25. cikk

Elvek

(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásrakerülő vagy továbbítás után feldolgozásra szánt személyes adatok csakakkor továbbíthatók harmadik országba, ha – az ezen irányelv egyébrendelkezései értelmében elfogadott nemzeti rendelkezéseknek valómegfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmiszintet tud biztosítani.

1995L0046 — HU — 20.11.2003 — 001.001 — 20

▼B(2) A harmadik ország által nyújtott védelem szintjének megfelelőmivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozatfeltételeinek figyelembevételével kell értékelni; különös figyelmet kellfordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagyműveletek céljára és időtartamára, a kiindulási és a célországra, az adottharmadik országban hatályos, általános és ágazati jogrendre, valamint azadott országban érvényesülő szakmai szabályokra és biztonsági intézke-désekre.

(3) A tagállamok és a Bizottság értesítik egymást azokról azesetekről, amelyekben úgy vélik, hogy valamely harmadik ország nembiztosít megfelelő védelmi szintet a (2) bekezdés értelmében.

(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésébenfoglalt eljárás során, hogy valamely harmadik ország nem biztosítmegfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében,a tagállamok megteszik a megfelelő intézkedéseket az azonos típusúadatoknak a szóban forgó harmadik országba irányuló továbbításánakmegakadályozására.

(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4)bekezdés szerinti megállapításból eredő helyzet megoldására.

(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnakmegfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmiszintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéle-tének, jogainak és szabadságainak védelmére vonatkozó belföldi jog,vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésbenemlített tárgyalások végeredménye alapján.

A tagállamok megtesznek minden szükséges intézkedést a Bizottsághatározatának teljesítésére.

26. cikk

Eltérések

(1) A 25. cikktől eltérően, és amennyiben az adott esetre vonatkozóbelföldi jogszabályok másképp nem rendelkeznek, a tagállamok rendel-keznek arról, hogy a személyes adatok olyan harmadik országbairányuló továbbítása vagy továbbítás-sorozata, amely a 25. cikk (2)bekezdése értelmében nem biztosít megfelelő szintű védelmet, csak akövetkező feltételek mellett történhet:

a) az érintett egyértelműen hozzájárulását adta a tervezett továbbításhoz;vagy

b) a továbbítás az érintett és az adatkezelő közötti szerződés teljesíté-séhez, vagy az érintett kérelmére hozott, szerződést megelőző intéz-kedések végrehajtásához szükséges; vagy

c) a továbbítás az adatkezelő és valamely harmadik fél közötti, az érin-tett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhezszükséges; vagy

d) a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvé-nyesítése vagy védelme miatt szükséges, illetve azt jogszabály írjaelő; vagy

e) a továbbítás az érintett létfontosságú érdekeinek védelme miatt szük-séges; vagy

f) a továbbítást olyan nyilvántartásból végzik, amely a törvények vagyrendeletek értelmében a nyilvánosság tájékoztatását szolgálja, ésamely általában a nyilvánosság, vagy bármely jogos érdekét igazolószemély számára betekintés céljából rendelkezésre áll, amennyiben ajogszabályok által a betekintésre megállapított feltételek az adottesetben teljesülnek.

(2) Az (1) bekezdés sérelme nélkül a tagállamok engedélyezhetik aszemélyes adatok olyan harmadik országba irányuló továbbítását vagytovábbítás-sorozatát, amely a 25. cikk (2) bekezdése értelmében nembiztosít megfelelő szintű védelmet, amennyiben az adatkezelő megfelelőgaranciákat teremt az egyének magánéletének, alapvető jogainak és

1995L0046 — HU — 20.11.2003 — 001.001 — 21

▼Bszabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekin-tetében; ilyen garanciát jelenthetnek elsősorban a megfelelő szerződésifeltételek.

(3) A tagállamok értesítik a Bizottságot és a többi tagállamot azáltaluk a (2) bekezdés alapján megadott engedélyekről.

Ha valamely tagállam vagy a Bizottság tiltakozását fejezi ki az egyénekmagánéletének, alapvető jogainak és szabadságainak védelmét ismagában foglaló, jogos okokból, a Bizottság a 31. cikk (2) bekezdé-sében foglalt eljárással összhangban megfelelő intézkedéseket hoz.

A tagállamok megteszik a szükséges intézkedéseket a Bizottság határo-zatának teljesítésére.

(4) Amennyiben a Bizottság a 31. cikk (2) bekezdésében említetteljárásnak megfelelően úgy dönt, hogy egyes általános szerződési felté-telek megfelelő biztosítékot nyújtanak a (2) bekezdés értelmében, atagállamok megteszik a szükséges intézkedéseket a Bizottság határoza-tának teljesítésére.

V. FEJEZET

ELJÁRÁSI SZABÁLYZAT

27. cikk

(1) A tagállamok és a Bizottság ösztönzik az irányelvnek megfelelőena tagállamok által elfogadott nemzeti rendelkezések helyes végrehajtá-sának elősegítésére szánt eljárási szabályzatok kidolgozását, figyelembevéve a különböző ágazatok egyedi jellemzőit.

(2) A tagállamok rendelkeznek arról, hogy az országos szabályzatter-vezetet kidolgozó, vagy a meglévő országos szabályzatot módosítani,vagy bővíteni szándékozó szakmai szövetségek és az egyéb adatkeze-lőket képviselő más szervek ezeket véleményezésre előterjeszthessék anemzeti hatóságnak.

A tagállamok rendelkeznek arról, hogy ez a hatóság állapítsa meg,többek között, hogy az elé terjesztett tervezetek összhangban vannak-eaz ezen irányelvnek megfelelően elfogadott nemzeti rendelkezésekkel. Ahatóság, amennyiben ezt szükségesnek tartja, kikérheti az érintettek vagyazok képviselőinek véleményét.

(3) A közösségi szabályzattervezetek, továbbá a meglévő közösségiszabályzatok módosításai és bővítései a 29. cikkben említett munkacso-port elé terjeszthetők. A munkacsoport, többek között, meghatározza,hogy az elé terjesztett tervezetek összhangban vannak-e az irányelvnekmegfelelően elfogadott nemzeti rendelkezésekkel. A hatóság, ameny-nyiben ezt szükségesnek tartja, kikérheti az érintettek vagy azok képvi-selőinek véleményét. A munkacsoport által jóváhagyott szabályzatokszámára a Bizottság megfelelő nyilvánosságot biztosíthat.

VI. FEJEZET

A FELÜGYELŐ HATÓSÁG ÉS A SZEMÉLYES ADATFELDOLGOZÁSVONATKOZÁSÁBAN AZ EGYÉNEK VÉDELMÉVEL FOGLALKOZÓ

MUNKACSOPORT

28. cikk

A felügyelő hatóság

(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezenirányelv értelmében a tagállam által elfogadott nemzeti rendelkezés-eknek a területén történő alkalmazását valamely hatóság vagy hatóságokfelügyeljék.

E hatóságok a rájuk ruházott feladatok gyakorlása során teljes független-ségben járnak el.

1995L0046 — HU — 20.11.2003 — 001.001 — 22

▼B(2) Minden tagállamnak rendelkeznie kell arról, hogy a személyesadatok feldolgozása vonatkozásában az egyének jogainak és szabadsá-gainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletekkidolgozásakor a felügyelő hatóságokkal konzultáljanak.

(3) A hatóságok különösen a következő jogosultságokkal rendel-keznek:

– vizsgálati jogkör, mint például az adatfeldolgozási műveletek tárgyátképező adatokhoz való hozzáférés joga, továbbá a felügyeletifeladatok ellátásához szükséges adatok gyűjtésének joga,

– tényleges beavatkozási jogosultságok, mint például a 20. cikknekmegfelelően végzett adatfeldolgozási műveletek megkezdése előttivéleményezés joga, e vélemények megfelelő közzétételének biztosí-tása, az adatok zárolásának, törlésének vagy megsemmisítésénekelrendelése, az adatfeldolgozás átmeneti vagy végleges tilalmánakmegállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetveaz ügy nemzeti parlament vagy más politikai intézmény elé terjesz-tése,

– bírósági eljárásban való részvétel joga az irányelv értelmében elfoga-dott nemzeti rendelkezések megsértése esetén, továbbá e jogsértésekigazságszolgáltatási hatóságok elé terjesztésének joga.

A felügyelő hatóság kifogásolható határozatai bíróság előtt megtámad-hatók.

(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgo-zása vonatkozásában az egyének jogainak vagy szabadságainak védel-mével kapcsolatos, bármely személy vagy az őt képviselő szervezet általbenyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt érte-síteni kell.

A felügyelő hatóságoknak foglalkozniuk kell különösen az adatfeldol-gozás törvényességének ellenőrzésére irányuló, bármely személy általbenyújtott kérelemmel, amennyiben az ezen irányelv 13. cikkének értel-mében elfogadott nemzeti rendelkezések alkalmazhatóak. Az érintettszemélyt mindenképpen értesíteni kell, ha az ellenőrzés megtörtént.

(5) A felügyelő hatóságok tevékenységükről rendszeresen jelentéstkészítenek. A jelentést nyilvánosságra kell hozni.

(6) A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgo-zásra alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrelrendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságokgyakorlására. Valamely tagállam hatósága felkérheti egy másik államhatóságát hatáskörének gyakorlására.

A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékbenegyüttműködnek egymással, különösen a hasznos információk cseréjerévén.

(7) A tagállamoknak rendelkezniük kell arról, hogy a felügyelőhatóság tagjaira és személyzetére megbízatásuk lejárta után is vonat-kozzon a szakmai titoktartási kötelezettség a számukra hozzáférhetőbizalmas információk tekintetében.

29. cikk

A személyesadat-feldolgozás vonatkozásában az egyének védelmévelfoglalkozó munkacsoport

(1) Ezennel létrejön a személyesadat-feldolgozás vonatkozásában azegyének védelmével foglalkozó munkacsoport, a továbbiakban: „munka-csoport”.

A munkacsoport tanácsadói státuszban működik és függetlenül jár el.

(2) A munkacsoport az egyes tagállamok által kijelölt felügyelőhatóság vagy hatóságok képviselőjéből, a közösségi intézmények ésszervek nevében létrehozott hatóság vagy hatóságok képviselőjéből,továbbá a Bizottság egy képviselőjéből áll.

1995L0046 — HU — 20.11.2003 — 001.001 — 23

▼BA munkacsoport minden egyes tagját az az intézmény, hatóság, vagyhatóságok jelöli vagy jelölik ki, amelyet, illetve amelyeket képvisel. Haa tagállam több felügyelő hatóságot jelöl ki, ezek közös képviselőt állí-tanak. Ugyanez vonatkozik a közösségi intézmények és szervek nevébenlétrehozott hatóságokra is.

(3) A munkacsoport határozatait a felügyelő hatóságok képviselőinekegyszerű többségével hozza.

(4) A munkacsoport megválasztja saját elnökét. Az elnök megbíza-tása két évre szól. A kinevezés megújítható.

(5) A munkacsoport titkárságáról a Bizottság gondoskodik.

(6) A munkacsoport elfogadja saját eljárási szabályzatát.

(7) A munkacsoport megtárgyalja a saját kezdeményezésére, a felü-gyelő hatóságok képviselőjének vagy a Bizottság kérelmére az elnökáltal napirendre tűzött pontokat.

30. cikk

(1) A munkacsoport:

a) megvizsgál minden, az irányelv értelmében elfogadott nemzeti intéz-kedések alkalmazása körébe tartozó kérdést azok egységes alkalma-zása érdekében;

b) véleményt nyilvánít a Bizottság felé a Közösség és a harmadikországok védelmének szintjéről;

c) tanácsot ad a Bizottságnak az ezen irányelv javasolt módosításaival, aszemélyes adatok feldolgozása tekintetében a természetes személyekjogainak és szabadságainak biztosítását célzó további vagy külön-leges intézkedésekkel, és az e jogokat és szabadságokat érintő, egyébjavasolt közösségi intézkedésekkel kapcsolatban;

d) véleményt nyilvánít a közösségi szinten kidolgozott eljárási szabály-zatokról.

(2) Amennyiben a munkacsoport megállapítja, hogy a Közösségben aszemélyes adatok feldolgozása tekintetében a személyek azonos szintűvédelmét előreláthatóan befolyásoló eltérések tapasztalhatók a tagál-lamok jogszabályai és eljárási gyakorlata között, erről megfelelően érte-síti a Bizottságot.

(3) A munkacsoport saját kezdeményezésére ajánlásokat tehetbármely kérdésben, amely a személyes adatok közösségen belüli feldol-gozása tekintetében a személyek védelmével kapcsolatos.

(4) A munkacsoport véleményeit és ajánlásait továbbítani kell aBizottsághoz, valamint a 31. cikkben említett bizottsághoz.

(5) A Bizottság tájékoztatja a munkacsoportot az annak véleményeiés ajánlásai hatására tett intézkedéseiről. A Bizottság e tájékoztatástjelentésbe foglalja, amelyet továbbít az Európai Parlamenthez és aTanácshoz. A jelentést nyilvánosságra kell hozni.

(6) A munkacsoport éves jelentést készít személyes adatok közös-ségen és harmadik országokon belüli feldolgozása tekintetében a termé-szetes személyek védelmére vonatkozó helyzetről, amelyet továbbít aBizottsághoz, az Európai Parlamenthez és a Tanácshoz. A jelentést nyil-vánosságra kell hozni.

VII. FEJEZET

KÖZÖSSÉGI VÉGREHAJTÁSI INTÉZKEDÉSEK

1995L0046 — HU — 20.11.2003 — 001.001 — 24

▼M1

31. cikk

(1) A Bizottságot egy bizottság segíti.

(2) Az e cikkre történő hivatkozás esetén az 1999/468/EK határozat (1)4. és 7. cikkét kell alkalmazni, tekintettel annak 8. cikke rendelkezé-seire.

Az 1999/468/EK határozat 4. cikkének (3) bekezdésében megállapítottidőtartam három hónap.

(3) A bizottság elfogadja eljárási szabályzatát.

▼BZÁRÓ RENDELKEZÉSEK

32. cikk

(1) A tagállamok legkésőbb az irányelv elfogadásától számítotthároméves időszak végére hatályba léptetik azokat a törvényi, rendeletiés közigazgatási rendelkezéseket, amelyek az ezen irányelvnek valómegfeleléshez szükségesek.

Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokbanhivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésükalkalmával ilyen hivatkozást kell csatolni. A hivatkozás módját a tagál-lamok határozzák meg.

(2) A tagállamok biztosítják, hogy az ezen irányelv alapján elfogadottnemzeti rendelkezések hatálybalépésének időpontjában már folyamatbanlévő adatfeldolgozást az említett időponttól számított három éven belülösszhangba hozzák ezekkel a rendelkezésekkel.

Az előző albekezdéstől eltérően, a tagállamok úgy is rendelkezhetnek,hogy az ezen irányelv végrehajtására elfogadott nemzeti rendelkezésekhatálybalépésének időpontjában manuális nyilvántartási rendszerbentárolt adatok feldolgozását az irányelv elfogadásának időpontjától számí-tott 12 éven belül kell összhangba hozni annak 6., 7. és 8. cikkével. Atagállamok jogot biztosíthatnak az érintettnek arra, hogy kérelmére,különösen hozzáférési jogának gyakorlása során, a hiányos, hibás, vagyaz adatkezelő által kitűzött céllal összeegyeztethetetlen módon tároltadatokat helyesbítsék, töröljék, vagy zárolják.

(3) A (2) bekezdéstől eltérően, a tagállamok, a megfelelő garanciákmellett, rendelkezhetnek arról, hogy a kizárólag történelmi kutatáscéljából tárolt adatokat ne kelljen összhangba hozni ezen irányelv 6., 7.és 8. cikkeivel.

(4) A tagállamok közlik a Bizottsággal nemzeti joguk azon rendelke-zéseinek szövegét, amelyeket az irányelv hatálya alá tartozó területenfogadtak el.

33. cikk

A Bizottság rendszeresen, és első alkalommal legkésőbb a 32. cikk (1)bekezdésében említett időponttól számított három évvel jelentést tesz aTanácsnak és az Európai Parlamentnek az irányelv végrehajtásáról,jelentéséhez szükség esetén csatolva a módosításokra irányuló megfelelőjavaslatokat. A jelentést nyilvánosságra kell hozni.

A Bizottság megvizsgálja ezen irányelvnek különösen a természetesszemélyekkel kapcsolatos hang- és képadatok adatfeldolgozására történőalkalmazását, és benyújtja az informatika terén elért fejlesztéseket figye-lembe véve az információs társadalom elért fejlődési szintjére tekintettelszükségesnek bizonyuló megfelelő javaslatokat.

1995L0046 — HU — 20.11.2003 — 001.001 — 25

(1) A Tanács 1999. június 28-i határozata a Bizottságra ruházott végrehajtásihatáskörök gyakorlására vonatkozó eljárások megállapításáról (HL L 184.,1999.7.17., 23. o.).

▼B34. cikk

Ennek az irányelvnek a tagállamok a címzettjei.

1995L0046 — HU — 20.11.2003 — 001.001 — 26