1. § Az Országgyűlés e törvénnyel felhatalmazást ad az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezménynek a Strasbourgban, 2018. október 10. napján kelt módosító Jegyzőkönyve (a továbbiakban: Módosító Jegyzőkönyv) kötelező hatályának elismerésére.
2. § Az Országgyűlés a Módosító Jegyzőkönyvet e törvénnyel kihirdeti.
3. § (1) A Módosító Jegyzőkönyv hivatalos magyar nyelvű fordítását az 1. melléklet tartalmazza.
(2) A Módosító Jegyzőkönyv hiteles angol nyelvű szövegét a 2. melléklet tartalmazza.
4. § (1) Ez a törvény – a (2) bekezdésben foglalt kivétellel – a kihirdetését követő napon lép hatályba.
(2) A 2. §, a 3. §, a 6. §, az 1. melléklet és a 2. melléklet a Módosító Jegyzőkönyv 37. cikkében meghatározott napon lép hatályba.
(3) A Módosító Jegyzőkönyv, valamint a 2. §, a 3. §, a 6. §, az 1. melléklet és a 2. melléklet hatálybalépésének naptári napját a külpolitikáért felelős miniszter annak ismertté válását követően a Magyar Közlönyben haladéktalanul közzétett közleményével állapítja meg.
5. § (1) Az e törvény végrehajtásához szükséges intézkedésekről az igazságügyért felelős miniszter gondoskodik.
(2) Az 1998. évi VI. törvénnyel kihirdetett, az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezménynek a Módosító Jegyzőkönyvvel egységes szerkezetbe foglalt hiteles angol nyelvű szövegének és hivatalos magyar nyelvű fordításának haladéktalan közzétételéről a Módosító Jegyzőkönyv hatálybalépését követően – a külpolitikáért felelős miniszter egyetértésével – az igazságügyért felelős miniszter gondoskodik.
6. § Hatályát veszti az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28-án kelt Egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló, Strasbourgban, 2001. november 8-án kelt Kiegészítő Jegyzőkönyve kihirdetéséről szóló 2005. évi LIII. törvény.
(Strasbourg, 2018. október 10.)
Preambulum
Az Európa Tanács tagállamai és az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt (ETS 108. szám) és aláírásra megnyitott egyezményben (a továbbiakban: az Egyezmény) részes egyéb Felek,
figyelemmel az Európa Tanács Igazságügyi Minisztereinek 30. Konferenciáján elfogadott, az adatvédelem és a magánélet a harmadik évezredben című 3. számú határozatára (Isztambul, Törökország, 2010. november 24–26.),
figyelemmel az Európa Tanács Parlamenti Közgyűlésének a magánélet és a személyes adatok védelme az interneten és az online médiában című 1843/2011. számú, valamint a felhasználók védelméről és a kibertér biztonságáról szóló 1986/2014. számú határozatára,
figyelemmel az Állandó Bizottság által – az Európa Tanács Parlamenti Közgyűlése nevében – 2017. november 24-én elfogadott, a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezményt módosító jegyzőkönyvének tervezetéről szóló 296/2017. számú véleményére (ETS 108. szám) és annak indokolására,
figyelembe véve, hogy az Egyezmény elfogadása óta új kihívások jelentek meg a személyes adatok kezelése során az egyének védelme tekintetében,
figyelembe véve annak szükségességét, hogy az Egyezmény a továbbiakban is kiemelkedő jelentőséggel bírjon az egyéneknek a személyes adatok kezelése tekintetében történő védelmében, illetve általában az emberi jogok és alapvető szabadságok megóvásában,
a következőkben állapodtak meg:
1. Az Egyezmény első preambulumbekezdésének helyébe a következő rendelkezés lép:
„Az Európa Tanács tagállamai és a további aláírók”
2. Az Egyezmény harmadik preambulumbekezdésének helyébe a következő rendelkezés lép:
„figyelembe véve, hogy minden egyén számára biztosítani szükséges az emberi méltóságot, az emberi jogok és az alapvető szabadságjogok védelmét, valamint – az adatkezelés és személyes adatok áramlásának diverzifikációjára, intenzívebbé válására és globalizációjára tekintettel – az egyén személyes autonómiáját, amely azon alapul, hogy az egyén rendelkezni jogosult a saját személyes adatai és azok kezelése felett,”
3. Az Egyezmény negyedik preambulumbekezdésének helyébe a következő rendelkezés lép:
„emlékeztetve arra, hogy a személyes adatok védelmét a társadalomban betöltött szerepének fényében kell értelmezni, és azt a többi emberi joggal és alapvető szabadságjoggal, így különösen a véleménynyilvánítás szabadságával is össze kell egyeztetni,”
4. Az Egyezmény a negyedik preambulumbekezdést követően a következő preambulumbekezdéssel egészül ki:
„figyelemmel arra, hogy az Egyezmény lehetővé teszi a közérdekű adatot tartalmazó iratokhoz való hozzáférés jogának figyelembevételét az Egyezményben foglalt szabályok végrehajtása során,”
5. Az Egyezmény ötödik preambulumbekezdését el kell hagyni. A rendelkezés a következő új ötödik és hatodik preambulumbekezdéssel egészül ki:
„felismerve, hogy elő kell mozdítani a magánélet tiszteletben tartását és a személyes adatok védelmét mint alapvető értékeket, hozzájárulva ezzel az információknak az emberek közötti szabad áramlásához,”
„felismerve az Egyezmény részes államai közötti nemzetközi együttműködés megerősítésének fontosságát,”
Az Egyezmény 1. cikke helyébe a következő rendelkezés lép:
„A jelen Egyezmény célja, hogy minden egyén számára állampolgárságára vagy lakóhelyére tekintet nélkül védelmet biztosítson a személyes adatainak kezelése során, hozzájárulva ezzel az emberi jogaik és alapvető szabadságaik, különösen a magánélethez való joguk tiszteletben tartásához.”
1. Az Egyezmény 2. cikk b) pontja helyébe a következő rendelkezés lép:
„b) adatkezelés: a személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek összessége, így az adatok gyűjtése, tárolása, megőrzése, megváltoztatása, lekérdezése, közlése továbbítás útján, hozzáférhetővé tétele, közzététele, törlése, megsemmisítése, illetve az adatokkal végzett logikai és/vagy aritmetikai műveletek;”
2. Az Egyezmény 2. cikk c) pontja helyébe a következő rendelkezés lép:
„c) ahol automatizált adatkezelés nem történik, az „adatkezelés” strukturált adatállományhoz tartozó, meghatározott kritériumok szerint hozzáférhető vagy visszakereshető személyes adatokkal végzett műveletet vagy műveletek összességét jelent;”
3. Az Egyezmény 2. cikk d) pontja helyébe a következő rendelkezés lép:
„d) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, szolgálat, ügynökség vagy bármely egyéb szerv, amely önállóan vagy másokkal együtt döntési jogkörrel rendelkezik az adatkezelés tekintetében;”
4. Az Egyezmény 2. cikke a d) pontot követően a következő pontokkal egészül ki:
„e) címzett: az a természetes vagy jogi személy, közhatalmi szerv, szolgálat, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, illetve akinek vagy amelynek a személyes adatot hozzáférhetővé teszik;
f) adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, szolgálat, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.”
1. Az Egyezmény 3. cikk 1. bekezdése helyébe a következő rendelkezés lép:
„1. Minden egyes Fél vállalja, hogy a jelen Egyezményt az adatkezelésre vonatkozó jogszabályai alapján mind a közszférában, mind a magánszférában alkalmazza, biztosítva ezzel minden egyénnek a személyes adatai védelméhez fűződő jogát.”
2. Az Egyezmény 3. cikk 2. bekezdése helyébe a következő rendelkezés lép:
„2. A jelen Egyezmény nem vonatkozik az egyén által kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelésére.”
3. Az Egyezmény 3. cikk 3. bekezdésétől a 6. bekezdéséig terjedő rendelkezéseit el kell hagyni.
Az Egyezmény II. Fejezetének címe a következőre módosul:
1. Az Egyezmény 4. cikk 1. bekezdése helyébe a következő rendelkezés lép:
„1. Minden egyes Fél a saját joga szerinti minden szükséges intézkedést megtesz az Egyezmény rendelkezéseinek végrehajtása és hatékony alkalmazása érdekében.”
2. Az Egyezmény 4. cikk 2. bekezdése helyébe a következő rendelkezés lép:
„2. Minden egyes Fél köteles ezeket az intézkedéseket meghozni, és azokat az Egyezmény ratifikálása, illetve az Egyezményhez történő csatlakozás előtt hatályba léptetni.”
3. Az Egyezmény 4. cikke a 2. bekezdést követően a következő új bekezdéssel egészül ki:
„3. Minden egyes Fél vállalja, hogy
a) a VI. Fejezetben szereplő Egyezményi Bizottság részére lehetővé teszi azon intézkedések hatékonyságának az értékelését, amelyeket a Fél a jelen Egyezmény rendelkezéseinek az érvényre juttatása érdekében hozott; és
b) aktívan hozzájárul ehhez az értékelési folyamathoz.”
1. Az 5. cikk címe a következőre módosul:
2. Az Egyezmény 5. cikke helyébe a következő rendelkezés lép:
„1. Az adatkezelésnek arányosnak kell lennie az elérni kívánt jogszerű céllal, és minden szakaszban kifejezésre kell juttatnia a tisztességes egyensúlyt az összes érintett érdek között, legyen az akár köz- vagy magánérdek, valamint az érintett jogokat és szabadságokat.
2. Minden egyes Félnek biztosítania kell, hogy adatkezelésre az érintett önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű hozzájárulása alapján vagy más, jogszabályban meghatározott jogszerű alapon kerülhessen sor.
3. Az adatkezelés során személyes adatokat csak jogszerűen lehet kezelni.
4. Az adatkezelés során a személyes adatokat:
a) tisztességesen és átláthatóan kell kezelni;
b) meghatározott, egyértelmű és jogszerű célból lehet gyűjteni és tilos ezekkel a célokkal nem összeegyeztethető módon kezelni; a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés megfelelő biztosítékok mellett a fenti célokkal összeegyeztethető;
c) az adatkezelés céljai szempontjából megfelelő, releváns, és a szükséges mértéket meg nem haladó módon kell kezelni;
d) úgy kell kezelni, hogy azok pontosak és szükség esetén naprakészek legyenek;
e) olyan formában kell tárolni, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.”
Az Egyezmény 6. cikke helyébe a következő rendelkezés lép:
„1. Az alábbi adatok csak abban az esetben kezelhetőek, ha jogszabályban foglalt, az Egyezményben meghatározottakat kiegészítő megfelelő biztosítékok állnak rendelkezésre:
– genetikai adatok;
– bűncselekményekre, büntetőeljárásokra és a büntetőjogi felelősség megállapítására, valamint az ehhez kapcsolódó végrehajtási intézkedésekre vonatkozó személyes adatok;
– a személy egyedi azonosítására alkalmas biometrikus adatok;
– azok a személyes adatok, amelyek faji vagy etnikai származásra, politikai véleményre, szakszervezeti tagságra, vallási vagy világnézeti meggyőződésre, egészségi állapotra vagy szexuális életre vonatkoznak.
2. Az e cikk szerinti biztosítékoknak védelmet kell nyújtaniuk azon kockázatokkal szemben, amelyekkel az érzékeny adatok kezelése járhat az érintettek érdekeire, jogaira és alapvető szabadságaira nézve, különösen a hátrányos megkülönböztetés kockázatát.”
Az Egyezmény 7. cikke helyébe a következő rendelkezés lép:
„1. Minden egyes Fél köteles biztosítani, hogy az adatkezelő, illetve – adott esetben – az adatfeldolgozó minden szükséges intézkedést megtegyen az olyan kockázatok elkerülése érdekében, mint például a véletlen vagy jogosulatlan hozzáférés a személyes adatokhoz, a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, felhasználása, megváltoztatása vagy közlése.
2. Minden egyes Fél köteles biztosítani, hogy az adatkezelő késedelem nélkül legalább az Egyezmény 15. cikke szerinti illetékes felügyeleti hatóságot értesítse az ilyen adatvédelmi incidensekről, ha azok az érintett jogainak és alapvető szabadságainak súlyos sérelmével járhatnak.”
Az Egyezmény a 7. cikket követően a következő új 8. cikkel egészül ki:
1. Minden Fél köteles biztosítani, hogy az adatkezelő tájékoztassa az érintettet:
a) személyazonosságáról és szokásos tartózkodási helyéről vagy tevékenységi helyéről;
b) a tervezett adatkezelés jogalapjáról és céljáról;
c) a kezelt személyes adatok kategóriáiról;
d) a személyes adatok címzettjeiről, illetve, ha van ilyen, a címzettek kategóriáiról; és
e) a 9. cikkben foglalt jogok gyakorlásának módjáról,
valamint minden olyan további információról, amely a személyes adatok tisztességes és átlátható módon történő kezelését szolgálja.
2. Az 1. bekezdés nem alkalmazandó akkor, ha az érintett a releváns információkkal már rendelkezik.
3. Ahol a személyes adatot nem az érintettektől gyűjtik, az adatkezelő nem köteles a fenti információkról tájékoztatást nyújtani akkor, ha az adatkezelésre kifejezett jogszabályi előírás alapján kerül sor vagy ha e tájékoztatás lehetetlen volna vagy az aránytalan erőfeszítést tenne szükségessé.”
1. Az Egyezmény korábbi 8. cikkének számozása 9. cikkre módosul és a cikk címe a következőre módosul:
2. Az Egyezmény 8. cikke (az új 9. cikk) helyébe a következő szöveg lép:
„1. Minden személy jogosult arra, hogy:
a) ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely őt jelentős mértékben érinti anélkül, hogy ezzel kapcsolatban a véleményét figyelembe vették volna;
b) kérésére észszerű időközönként és jelentős késedelem vagy költség nélkül visszajelzést kapjon a személyével kapcsolatos személyes adatok kezeléséről, valamint érthető formában tájékoztatást kapjon a kezelt adatokról, az adatok eredetével kapcsolatos minden hozzáférhető információról, a megőrzés időtartamáról, valamint minden olyan információról, amelynek közlésére az adatkezelő az adatkezelés átláthatóságának biztosítása érdekében a 8. cikk 1. bekezdése alapján köteles;
c) kérésére rendelkezésére bocsássák az adatkezelés alapjául szolgáló indokokról szóló ismereteket, amennyiben az adatkezelés eredményét vele szemben alkalmazzák;
d) a saját helyzetével kapcsolatos okokból bármikor tiltakozzon az őt érintő személyes adatok kezelése ellen, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben;
e) kérésére, díjmentesen és jelentős késedelem nélkül a személyes adatait helyesbítsék, vagy adott esetben azokat töröljék akkor, ha az adatokat az Egyezmény rendelkezéseivel ellentétesen kezelik vagy korábban azokat ellentétesen kezelték;
f) az Egyezmény 12. cikke szerinti jogorvoslattal éljen az Egyezményben foglalt jogainak sérelme miatt;
g) állampolgárságára vagy lakóhelyére tekintet nélkül segítséget kapjon a 15. cikkben foglalt felügyeleti hatóságtól az őt a jelen Egyezmény alapján megillető jogai gyakorlásához.
2. Az 1. bekezdés a) pontja nem alkalmazandó, ha a döntés meghozatalát olyan jogszabály írja elő, amelynek hatálya az adatkezelőre is kiterjed, és amely megfelelő intézkedéseket tartalmaz az érintett jogai, szabadságai és jogos érdekei biztosítása érdekében.”
Az Egyezmény az új 9. cikket követően a következő új 10. cikkel egészül ki:
1. Minden egyes Fél köteles biztosítani, hogy az adatkezelő és – adott esetben – az adatfeldolgozó minden szükséges intézkedést megtegyen a jelen Egyezményben foglalt kötelezettségei teljesítése érdekében, és hogy igazolni tudja a 11. cikk 3. bekezdés szerint elfogadott hazai jogszabályoknak megfelelően, különösen a 15. cikk szerinti felügyeleti hatóságok előtt, hogy az általa folytatott adatkezelés a jelen Egyezmény rendelkezéseinek megfelel.
2. Minden egyes Fél köteles biztosítani, hogy az adatkezelő és – adott esetben – az adatfeldolgozó az adatkezelés megkezdése előtt megvizsgálja, hogy a tervezett adatkezelés milyen várható hatással lesz az érintettek jogaira és szabadságaira nézve, és köteles az adatkezelést olyan módon kialakítani, hogy az az e jogok és alapvető szabadságjogok megsértésére vonatkozó kockázatokat a lehető legkisebb mértékűre csökkentse vagy megakadályozza.
3. Minden egyes Fél köteles biztosítani, hogy az adatkezelők és – adott esetben – az adatfeldolgozók olyan technikai és szervezési intézkedéseket fogadjanak el, amelyek az adatkezelés minden szakaszában figyelemmel vannak a személyes adatok védelméhez való jog érvényesülésére.
4. Minden egyes Fél jogosult arra, hogy az érintettek érdekei, jogai és alapvető szabadságai tekintetében felmerülő kockázatok figyelembe vétele mellett az Egyezmény érvényre jutását szolgáló jogszabályaiban az 1., 2. és 3. bekezdései rendelkezéseinek alkalmazását az adatok jellege és mennyisége, az adatkezelés jellege, hatálya és célja, valamint – szükség szerint – az adatkezelő vagy adatfeldolgozó mérete szerint határozza meg.”
Az Egyezmény korábbi 9. cikktől a 12. cikkig terjedő része a továbbiakban az Egyezmény 11. cikkétől a 14. cikkéig terjedő részre módosul.
Az Egyezmény 9. cikke (az új 11. cikk) helyébe a következő rendelkezés lép:
„1. A jelen fejezetben foglalt rendelkezésektől eltérni csak az 5. cikk 4. bekezdése, a 7. cikk 2. bekezdése, a 8. cikk 1. bekezdése és a 9. cikk rendelkezései szerint lehet, amennyiben arról jogszabály rendelkezik, ha az az alapvető jogok és szabadságok lényeges tartalmát tiszteletben tartja, valamint, ha az egy demokratikus társadalomban az alábbi célokból szükséges és arányos intézkedésnek minősül
a) a nemzetbiztonság, honvédelem, közbiztonság, az állam fontos gazdasági és pénzügyi érdekeinek, a bíróságok pártatlanságának és függetlenségének, vagy a bűncselekmények megelőzésének, nyomozásának és üldözésének, a büntetések végrehajtásának, valamint egyéb, közérdeken nyugvó alapvető célok védelme;
b) az érintett vagy mások jogainak és alapvető szabadságjogainak – különösen a véleménynyilvánítás szabadsága – védelme
érdekében.
2. A 8. és 9. cikkekben foglalt jogok gyakorlása jogszabályban korlátozható a közérdekű archiválási, valamint tudományos vagy történelmi kutatási vagy statisztikai célú adatkezelés vonatkozásában, ha az érintett jogai és alapvető szabadságjogai megsértésének felismerhető kockázata nem áll fenn.
3. A jelen cikk 1. bekezdésében foglalt kivételek mellett minden egyes Fél jogosult a jogszabályaiban a nemzetbiztonsági és védelmi célú adatkezelési tevékenységekre hivatkozással a 4. cikk 3. bekezdése, a 14. cikk 5. és 6. bekezdése, valamint a 15. cikk 2. bekezdése a), b), c), és d) pontjai alóli kivételeket megállapítani, feltéve, hogy e kivételek egy demokratikus társadalomban az említett célok eléréséhez szükséges és azzal arányos intézkedésnek minősülnek.
A fentiek nem érintik azon követelményt, amely szerint a nemzetbiztonsági és honvédelmi célú adatkezelésnek a Felek hazai joga szerinti hatékony ellenőrzés és felügyelet alá kell esniük.”
Az Egyezmény 10. cikke (az új 12. cikk) helyébe a következő rendelkezés lép:
„Minden egyes Fél vállalja, hogy az Egyezmény rendelkezéseinek megsértése esetére megfelelő bírósági és bíróságon kívüli szankciókat és jogorvoslati lehetőségeket állapít meg.”
A III. Fejezet címe a következőre módosul:
1. Az Egyezmény 12. cikke (az új 14. cikk) helyébe a következő rendelkezés lép:
2. Az Egyezmény 12. cikke (az új 14. cikk) helyébe a következő rendelkezés lép:
„1. A Felek kizárólag a személyes adatok védelmére hivatkozva nem tilthatják meg, illetve nem köthetik külön felhatalmazáshoz az ilyen adatoknak az Egyezményben részes másik Fél joghatósága alá tartozó címzett részére történő továbbítását. Ez a Fél ugyanakkor hozhat ilyen döntést akkor, ha fennáll a valós és súlyos veszélye annak, hogy az adatoknak a másik részes Fél részére, vagy e másik részes Féltől egy nem részes Fél részére történő továbbítása az Egyezmény rendelkezéseinek megkerüléséhez vezetne. A Felek akkor is hozhatnak ilyen döntést, ha arra regionális nemzetközi szervezethez tartozó államok közötti összehangolt védelmi szabályok alapján kötelesek.
2. Ha a címzett olyan állam vagy nemzetközi szervezet joghatósága alá tartozik, amely a jelen Egyezményben nem részes Fél, a személyes adatok továbbítására kizárólag abban az esetben kerülhet sor, ha az Egyezmény rendelkezései szerinti megfelelő védelmi szint biztosított.
3. A megfelelő szintű védelmet biztosíthatja:
a) az adott állam vagy nemzetközi szervezet joga, ideértve a vonatkozó nemzetközi egyezményeket és megállapodásokat, vagy
b) jogilag kötelező erejű és végrehajtható eszközben biztosított ad hoc vagy jóváhagyott és szabványosított garanciák, amelyet az átadásban és további kezelésben érintett személyek fogadtak el és hajtottak végre.
4. Az előző bekezdésekben foglalt rendelkezésektől függetlenül a Felek rendelkezhetnek úgy, hogy a személyes adatok továbbítására csak akkor kerülhet sor, ha
a) a megfelelő biztosítékok hiányából eredő veszélyekről kapott tájékoztatást követően ahhoz az érintett kifejezetten, különösen és szabadon hozzájárult; vagy
b) az adott esetben az érintett sajátos érdekei ezt megkövetelik, vagy
c) jogszabály alapján fennálló jogos érdekek alapján – különösen valamely fontos közérdek esetén – a továbbítás egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül, vagy
d) a véleménynyilvánítás szabadsága szempontjából egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül.
5. Minden egyes Fél köteles biztosítani, hogy az Egyezmény 15. cikke szerinti illetékes felügyeleti hatóság minden, az adattovábbításra vonatkozó, a 3. bekezdés b) pontja szerinti és – erre irányuló megkeresés alapján – a 4. bekezdés b) és c) pontja szerinti információt megkapjon.
6. Minden egyes Fél köteles rendelkezni arról, hogy a felügyeleti hatóság jogosult az adatokat továbbító személytől a biztosítékok hatékonyságának, illetve az érvényesülő jogos érdek fennállásának bizonyítását kérni, és az érintett jogainak és alapvető szabadságainak védelme érdekében az adattovábbítást megtiltani, felfüggeszteni vagy azt feltételhez kötni.”
3. Az Egyezmény 12. cikke (az új 14. cikk) magában foglalja a felügyeleti hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló 2001. évi kiegészítő jegyzőkönyv (ETS 181. sz.) 2. cikkét a személyes adatoknak az országhatárokat átlépő olyan címzettek részére történő áramlása tekintetében, akik nem tartoznak az Egyezményben részes Felek joghatósága alá.
Az Egyezmény a III. Fejezetet követően a következő új IV. Fejezettel egészül ki:
Az új 15. cikk magában foglalja a 2001. évi kiegészítő jegyzőkönyv (ETS 181. sz.) 1. cikkét, és amely a következőket rögzíti:
1. Minden egyes Fél létrehoz egy vagy több hatóságot, amely az Egyezmény rendelkezéseinek való megfelelés érvényesítéséről gondoskodik.
2. Ennek érdekében az említett hatóságok
a) vizsgálati és beavatkozási jogkörrel rendelkeznek;
b) ellátják az adattovábbítással kapcsolatos, a 14. cikk szerinti feladatokat, különösen a szabványosított garanciák jóváhagyását;
c) az Egyezmény megsértését illetően határozathozatalra jogosultak és különösen közigazgatási szankciókat szabhatnak ki,
d) jogosultak jogi eljárásokban részt venni, illetve az illetékes igazságügyi hatóság figyelmét felhívni az Egyezmény rendelkezéseinek megsértésére;
e) kötelesek előmozdítani az alábbiakat:
i) a lakosság tájékoztatása a hatóságok feladat- és hatásköreiről, illetve tevékenységéről;
ii) a lakosság tájékoztatása az érintetteket megillető jogokról, valamint e jogok gyakorlásáról;
iii) az adatkezelők és adatfeldolgozók tájékoztatása a jelen Egyezmény szerinti kötelezettségeikről;
A gyermekek és egyéb kiszolgáltatott helyzetben levő egyének adatvédelemi jogaira kiemelt figyelmet kell fordítani.
3. Az illetékes felügyeleti hatóságokkal konzultálni kell az olyan jogszabálytervezetekkel és igazgatási intézkedésekkel kapcsolatban, amelyek a személyes adatok kezelésével kapcsolatosak.
4. Az illetékes felügyeleti hatóságok eljárnak az érintettek által az adatvédelmi jogaikkal kapcsolatban benyújtott kérelmek és panaszok alapján, valamint az érintetteket az ügyek állásáról tájékoztatják.
5. A felügyeleti hatóságok feladataik ellátása és hatásköreik gyakorlása során függetlenül és pártatlanul járnak el, amelynek során utasítást nem kérhetnek, illetve nem fogadhatnak el.
6. Minden egyes Fél köteles biztosítani, hogy a felügyeleti hatóságának a feladatai elvégzéséhez és a hatáskörei hatékony gyakorlásához minden szükséges forrás a rendelkezésére álljon.
7. A felügyeleti hatóság tevékenységéről rendszeres időszakokban jelentést készít és azt közzéteszi.
8. A felügyeleti hatóság tagjait és személyzetét titoktartási kötelezettség terheli azon bizalmas információk vonatkozásában, amelyekhez a feladataik ellátása és hatásköreik gyakorlása során hozzáfértek vagy hozzáférnek.
9. A felügyeleti hatóságok határozatai bíróság előtt megtámadhatóak.
10. A felügyeleti hatóság hatásköre nem terjed ki a személyes adatok olyan kezelésére, amelyet a szervek igazságszolgáltatási feladatkörükben eljárva végeznek.”
1. Az Egyezmény korábbi IV. Fejezetétől VII. Fejezetéig terjedő részének fejezetszámozása az Egyezmény V. Fejezetétől a VIII. Fejezetéig terjedő fejezetszámozásra módosul.
2. Az V. Fejezet címének helyébe az „V. Fejezet – Együttműködés és kölcsönös segítségnyújtás” fejezetcím lép.
3. Az Egyezmény új 17. cikkel egészül ki és a 13. cikktől a 27. cikkig terjedő rész cikkszámozása az Egyezmény 16. cikkétől a 31. cikkéig terjedő cikkszámozásra módosul.
1. Az Egyezmény 13. cikk (az új 16. cikk) címének helyébe a következő cím lép:
2. Az Egyezmény 13. cikk (az új 16. cikk) 1. bekezdésének helyébe a következő rendelkezés lép:
„1. A Felek megállapodnak abban, hogy egymással együttműködnek és egymás részére kölcsönös segítséget nyújtanak a jelen Egyezmény végrehajtása során.”
3. Az Egyezmény 13. cikk (az új 16. cikk) 2. bekezdésének helyébe a következő rendelkezés lép:
„2. E célból:
a) minden egyes Fél kijelöl egy vagy több, az Egyezmény 15. cikke szerinti felügyeleti hatóságot, amelyek megnevezését és székhelyét az Európa Tanács főtitkárával közli;
b) minden egyes Fél, amely egynél több felügyeleti hatóságot jelölt ki, az előző pontban megemlített közlésben meghatározza az egyes hatóságok hatáskörét is.”
4. Hatályát veszti az Egyezmény 13. cikk (az új 16. cikk) 3. bekezdése.
Az Egyezmény az új 16. cikket követően a következő új 17. cikkel egészül ki:
1. A felügyeleti hatóságok a feladataik teljesítéséhez és jogköreik gyakorlásához szükséges mértékben kötelesek egymással együttműködni, különösen
a) releváns és hasznos információkat cserélve és egymással együttműködve kölcsönösen segítséget nyújtanak azzal a feltétellel, hogy ennek során a személyes adatok védelmére vonatkozóan az Egyezményben rögzített valamennyi előírást és garanciát betartanak;
b) vizsgálataik, illetve beavatkozásaik összehangolásával, valamint közös fellépéssel;
c) biztosítják egymás számára az adatvédelemre vonatkozó jogszabályaikkal és igazgatási gyakorlataikkal kapcsolatos információkat és dokumentációkat.
2. Az 1. bekezdésben említett információk nem terjednek ki az adatkezelés alatt álló személyes adatokra, kivéve, ha azok az együttműködés szempontjából nélkülözhetetlennek mutatkoznak, vagy ha az érintett ahhoz kifejezett, különös, szabad és megfelelő tájékoztatáson alapuló hozzájárulását adta.
3. Az együttműködés összehangolása és az előző bekezdésekben foglalt feladatok teljesítése érdekében a Felek felügyeleti hatóságai hálózatot hoznak létre.”
1. Az Egyezmény 14. cikk (az új 18. cikk) címe helyébe a következő rendelkezés lép:
2. Az Egyezmény 14. cikke (az új 18. cikk) helyébe a következő rendelkezés lép:
„1. A Felek kötelesek az érintetteket, állampolgárságukra vagy lakóhelyükre tekintet nélkül, az Egyezmény 9. cikkében foglalt jogaik gyakorlásában segíteni.
2. Ha az érintett egy másik Fél területén rendelkezik lakóhellyel, lehetőséget kell kapnia arra, hogy a kérelmét a Fél által kijelölt felügyeleti hatóság közvetítője közreműködésével nyújthassa be.
3. A segítségnyújtás iránti kérelemnek tartalmaznia kell a szükséges adatokat, többek között:
a) a kérelmet benyújtó érintett személy nevét, címét és egyéb releváns azonosító adatait;
b) az adatkezelést, amelyhez a kérelem kapcsolódik vagy az adatkezelőt;
c) a kérelem célját.”
1. Az Egyezmény 15. cikk (az új 19. cikk) címe helyébe a következő rendelkezés lép:
2. Az Egyezmény 15. cikke (az új 19. cikk) helyébe a következő szöveg lép:
„1. Az a felügyeleti hatóság, amely – akár valamely kérelemmel együtt, akár a saját kérelmére kapott válasz során – információt kap egy másik felügyeleti hatóságtól, csak a kérelemben meghatározott célra használhatja fel az információt.
2. A felügyeleti hatóság semmilyen esetben nem jogosult saját kezdeményezésére, az érintett kifejezett beleegyezése nélkül az érintett nevében kérelmet előterjeszteni.”
1. Az Egyezmény 16. cikk (az új 20. cikk) címe helyébe a következő rendelkezés lép:
2. Az Egyezmény 16. cikk (az új 20. cikk) nyitó szövegrésze helyébe a következő rendelkezés lép:
„A felügyeleti hatóság, amelyhez a jelen Egyezmény 17. cikke alapján kérelmet nyújtottak be, nem tagadhatja meg a kérelem teljesítését, kivéve, ha:”
3. Az Egyezmény 16. cikk (az új 20. cikk) a) pontja helyébe a következő rendelkezés lép:
„a) ha a kérelem elbírálására nem rendelkezik hatáskörrel.”
4. Az Egyezmény 16. cikk (az új 20. cikk) c) pontja helyébe a következő rendelkezés lép:
„c) a kérelem teljesítése összeegyeztethetetlen lenne a szervezetet kijelölő Fél szuverenitásával, nemzetbiztonságával, közrendjével vagy ezen Fél joghatósága alá tartozó egyéneknek a jogaival és alapvető szabadságaival.”
1. Az Egyezmény 17. cikk (az új 21. cikk) címe helyébe a következő rendelkezés lép:
2. Az Egyezmény 17. cikk (az új 21. cikk) 1. bekezdése helyébe a következő rendelkezés lép:
„1. Az együttműködés és a kölcsönös segítség, amelyeket a Felek a 17. cikk alapján egymásnak, illetve az a segítség, amelyet a Felek a 9. cikk és a 18. cikk alapján az érintettnek nyújtanak, kizárólag a szakértőkkel és tolmácsokkal kapcsolatban felmerült költségek vagy díjak megtéríttetésével járhat. Az utóbbi költségeket vagy díjakat a kérelmet benyújtó Fél viseli.”
3. Az Egyezmény 17. cikk (az új 21. cikk) 2. bekezdésében a hímnemű névmást hím- és nőnemre utaló névmás váltja fel.
Az Egyezmény V. Fejezet (az új VI. Fejezet) címe helyébe a következő fejezetcím lép:
1. Az Egyezmény 18. cikk (az új 22. cikk) 1. bekezdésében szereplő „Tanácsadó Bizottság” szövegrész helyébe az „Egyezményi Bizottság” szöveg lép.
2. Az Egyezmény 18. cikk (az új 22. cikk) 3. bekezdése helyébe a következő szöveg lép:
„3. Az Egyezményi Bizottság ülésére a Felek képviselőinek kétharmados szótöbbséggel hozott határozata alapján megfigyelőt hívhat meg.”
3. Az Egyezmény 18. cikke (az új 22. cikk) a 3. bekezdést követően a következő új 4. bekezdéssel egészül ki:
„4. Azok a Felek, akik az Európa Tanácsnak nem tagjai, a Miniszteri Bizottság által – az érintett Féllel egyetértésben – megállapított részletszabályok szerint járulnak hozzá az Egyezményi Bizottság tevékenységeinek finanszírozásához.”
1. Az Egyezmény 19. cikkében (az új 23. cikk) a „Tanácsadó Bizottság” szövegrész helyébe az „Egyezményi Bizottság” szöveg lép.
2. Az Egyezmény 19. cikk (az új 23. cikk) a) pontjában a „javaslatokat” szövegrész helyébe az „ajánlásokat” szöveg lép.
3. Az Egyezmény 19. cikk (az új 23. cikk) b) pontjában szereplő 21. cikkre történő hivatkozás és c) pontjában szereplő 21. cikk 3. bekezdésére történő hivatkozás helyébe a 25. cikkre és a 25. cikk 3. bekezdésére történő hivatkozás lép.
4. Az Egyezmény 19. cikk (az új 23. cikk) d) pontjának a helyébe a következő rendelkezés lép:
„d) véleményt nyilváníthat a jelen Egyezmény értelmezését, illetve alkalmazását érintő bármely kérdésben;”
5. Az Egyezmény 19. cikke (az új 23. cikk) a d) pontot követően a következő pontokkal egészül ki:
„e) az Egyezményhez történő csatlakozást megelőzően a Miniszteri Bizottság részére véleményt készít a jelöltről a személyes adatok védelmének szintjére vonatkozóan, valamint szükség szerint olyan intézkedések meghozatalára vonatkozó ajánlást ad, amelyekkel elérhető az Egyezmény rendelkezéseinek való megfelelés;
f) egy állam vagy nemzetközi szervezet kérése alapján megvizsgálhatja, hogy az előbbiek tekintetében a személyes adatok védelmi szintje megfelel-e az Egyezmény rendelkezéseinek, és szükség szerint olyan intézkedések meghozatalára vonatkozó ajánlást ad, amelyekkel elérhető az Egyezmény rendelkezéseinek való megfelelés;
g) a 14. cikkben hivatkozott szabványosított garanciákat dolgozhat ki, illetve hagyhat jóvá;
h) ellenőrzi a jelen Egyezmény Felek általi végrehajtását és intézkedések meghozatalára vonatkozó ajánlást ad azon a Feleknek, amelyek az Egyezményben foglaltaknak nem felelnek meg;
i) szükség szerint elősegíti az Egyezmény alkalmazásával kapcsolatos nehézségek barátságos rendezését.”
Az Egyezmény 20. cikke (az új 24. cikk) helyébe a következő rendelkezés lép:
„1. Az Egyezményi Bizottságot az Európa Tanács főtitkára hívja össze. Első értekezletét a jelen Egyezmény hatálybalépését követő tizenkét hónapon belül kell megtartani. Ezt követően a Bizottság évente legalább egyszer összeül, illetve akkor, ha ezt a Felek képviselőinek egyharmada kéri.
2. Az Egyezményi Bizottság minden egyes ülése után jelentést készít a munkájáról és az Egyezmény működéséről az Európa Tanács Miniszteri Bizottságának.
3. Az Egyezményi Bizottság szavazására vonatkozó szabályokat a CETS 223. számú jegyzőkönyvhöz csatolt, az eljárási szabályzat alapvető rendelkezéseiről szóló függelék tartalmazza.
4. Az Egyezményi Bizottság az eljárási szabályzatának egyéb rendelkezéseit elkészíti, és objektív kritériumok alapján megállapítja különösen a 4. cikk 3. bekezdésében, valamint a 23. cikk e), f) és h) pontjában foglalt vizsgálati és ellenőrzési eljárásokat.”
1. Az Egyezmény 21. cikk (az új 25. cikk) 1. bekezdésétől a 4. bekezdéséig terjedő rendelkezései helyébe a következő rendelkezések lépnek:
„1. A jelen Egyezmény módosítását bármelyik Fél, az Európa Tanács Miniszteri Bizottsága vagy az Egyezményi Bizottság javasolhatja.
2. A módosító javaslatot az Európa Tanács főtitkára megküldi a jelen Egyezményben részes Feleknek, az Európa Tanács többi tagállamának, az Európai Uniónak és minden olyan tagállamnak nem minősülő államnak és nemzetközi szervezetnek, amelyet a 27. cikk alapján az Egyezményhez való csatlakozásra felkértek.
3. Ezen felül az egyes Felek, illetve a Miniszteri Bizottság minden módosító javaslatát meg kell küldeni az Egyezményi Bizottságnak, amely az azzal kapcsolatosan kialakított véleményét megküldi a Miniszteri Bizottság számára.
4. A Miniszteri Bizottság megtárgyalja a javasolt módosítást és az Egyezményi Bizottság véleményét, majd dönt a módosítás jóváhagyásáról.”
2. Az Egyezmény 21. cikke (az új 25. cikk) a 6. bekezdést követően a következő 7. bekezdéssel egészül ki:
„7. Ezen felül, a Miniszteri Bizottság, az Egyezményi Bizottsággal lefolytatott egyeztetést követően, egyhangúan eldöntheti, hogy egy adott módosítás hatályba lépjen három évvel azután, hogy a módosítás az elfogadásra megnyílt, kivéve, ha valamelyik Fél az Európa Tanács főtitkáránál tiltakozik annak hatálybalépése ellen. Ha a főtitkár ilyen tiltakozásról kap értesítést, a módosítás az azt követő hónap első napján lép hatályba, amikor tiltakozásáról értesítést küldő Egyezményben részes Fél az Európa Tanács főtitkáránál elfogadó nyilatkozatot helyez el.”
1. Az Egyezmény 22. cikk (az új 26. cikk) 1. bekezdése helyébe a következő rendelkezés lép:
„1. A jelen Egyezmény az Európa Tanács tagállamai, és az Európai Unió számára nyitva áll aláírásra. Az Egyezményt meg kell erősíteni, el kell fogadni vagy jóvá kell hagyni. A megerősítésről, az elfogadásról vagy a jóváhagyásról szóló okiratot az Európa Tanács főtitkáránál kell letétbe helyezni.”
2. Az Egyezmény 22. cikk (az új 26. cikk) 3. bekezdésében szereplő „tagállam” szövegrész helyébe a „Fél” kifejezés lép.
Az Egyezmény 23. cikkének (az új 27. cikk) címe és szövege a következőre módosul:
1. A jelen Egyezmény hatálybalépése után az Egyezményben részes Felekkel történő egyeztetést és egyhangú hozzájárulásuk megszerzését követően, valamint az Egyezményi Bizottság által a 23. cikk e) pontja alapján kiadott vélemény fényében az Európa Tanács Miniszteri Bizottsága bármely Európa tanácsi tagsággal nem rendelkező államot, illetve nemzetközi szervezetet felkérhet az Egyezményhez való csatlakozásra az Európa Tanács Alapszabálya 20. cikk d) pontja szerinti szótöbbséggel hozott döntés és a szerződő államok által a Bizottságba delegált képviselők egyhangú szavazata alapján.
2. Az Egyezményhez a fenti 1. bekezdés alapján csatlakozó bármely államra vagy nemzetközi szervezetre nézve az Egyezmény a csatlakozásról szóló okiratnak az Európa Tanács főtitkáránál történő letétbe helyezése napját követő három hónapos időszak eltelte utáni hónap első napján lép hatályba.”
Az Egyezmény 24. cikk (az új 28. cikk) 1. és 2. bekezdése helyébe a következő rendelkezés lép:
„1. Bármely állam, az Európai Unió vagy egyéb nemzetközi szervezet az aláíráskor vagy a megerősítésről, elfogadásról, jóváhagyásról vagy a csatlakozásról szóló okiratnak a letétbe helyezésekor meghatározhatja azt a területet vagy azokat a területeket, amelyre vagy amelyekre nézve a jelen Egyezményt alkalmazza.
2. Bármely állam, az Európai Unió vagy egyéb nemzetközi szervezet bármely későbbi időpontban az Európa Tanács főtitkárához intézett nyilatkozattal kiterjesztheti a jelen Egyezmény alkalmazását a nyilatkozatában meghatározott bármely más területre. E terület vonatkozásában az Egyezmény azt a napot követő három hónapos időszak eltelte utáni hónap első napján lép hatályba, amikor a főtitkár a nyilatkozatot megkapta.”
1. Az Egyezmény 27. cikk (az új 31. cikk) nyitó szövegrészében a „tagállamait” szövegrész helyébe a „Feleit” szöveg lép.
2. A c) pontban a „22. 23. és 24.” cikkekre történő hivatkozás helyébe a „26. 27. és 28.” cikkekre történő hivatkozás lép.
Aláírás, megerősítés és csatlakozás
1. A jelen Jegyzőkönyv az Egyezmény szerződő államai számára nyitva áll aláírásra. Ratifikációt, elfogadást, illetve jóváhagyást igényel. A ratifikációról, az elfogadásról vagy a jóváhagyásról szóló okiratot az Európa Tanács főtitkáránál kell letétbe helyezni.
2. A Jegyzőkönyv aláírásra való megnyílását követően, de annak hatálybalépését megelőzően a Jegyzőkönyvet bármely egyéb állam csatlakozással magára nézve kötelezőnek ismerheti el. Az adott állam az Egyezményben részes Féllé kizárólag az e Jegyzőkönyvhöz való egyidejű csatlakozás mellett válhat.
Hatálybalépés
1. Ez a Jegyzőkönyv azt a napot követő három hónapos időszak eltelte utáni hónap első napján lép hatályba, amikor az Egyezményben részes Felek a Jegyzőkönyvet a 36. cikk 1. bekezdésében foglaltaknak megfelelően magukra nézve kötelezőnek ismerték el.
2. Amennyiben a Jegyzőkönyvnek az 1. bekezdés szerinti hatálybalépésére nem került sor, öt évvel azután a nap után, amikor a Jegyzőkönyv aláírásra megnyílt, a Jegyzőkönyv hatályba lép azon államok tekintetében, amelyek azt magukra nézve az 1. bekezdésnek megfelelően kifejezetten kötelezőnek ismerték el, feltéve, hogy a Jegyzőkönyvnek legalább harmincnyolc részes Fele van. A Jegyzőkönyvben részes Felek között az Egyezmény módosított rendelkezései a hatálybalépést követően azonnal hatályba lépnek.
3. A jelen Jegyzőkönyv hatálybalépéséig és a hatálybalépésre valamint a tagállamnak nem minősülő államok és nemzetközi szervezetek csatlakozására vonatkozó rendelkezések sérelme nélkül az Egyezményben részes bármely Fél nyilatkozhat úgy a Jegyzőkönyv aláírásakor vagy azt követően, hogy a Jegyzőkönyv rendelkezéseit csak ideiglenesen fogja alkalmazni. Ezekben az esetekben a Jegyzőkönyv rendelkezései az Egyezményben részes többi Fél közül csak azokra alkalmazandók, amelyek ugyanilyen hatályú nyilatkozatot tettek. A nyilatkozat azt a napot követő harmadik hónap első napján lép hatályba, amikor az Európa Tanács főtitkára a nyilatkozatot megkapta.
4. E Jegyzőkönyv hatálybalépésének napján az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28-án kelt Egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló, Strasbourgban, 2001. november 8-án kelt Kiegészítő Jegyzőkönyve (ETS 181. sz.) hatályát veszti.
5. E Jegyzőkönyv hatálybalépésével az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezménynek a Miniszteri Bizottság által jóváhagyott, Strasbourgban, 1999. június 15-én elfogadott módosításai okafogyottá válnak.
Az Egyezményhez kapcsolódó nyilatkozatok
Azon Fél tekintetében, amely az Egyezmény 3. cikke szerint nyilatkozatot vagy nyilatkozatokat tett, az így tett nyilatkozat vagy nyilatkozatok a jelen Jegyzőkönyv hatálybalépésével egyidejűleg hatályukat vesztik.
Fenntartások
A jelen Jegyzőkönyv rendelkezéseivel kapcsolatban fenntartás nem tehető.
Értesítések
Az Európa Tanács főtitkára értesíti az Európa Tanács tagállamait és az Egyezményben részes Feleket
a) minden aláírásról,
b) minden ratifikáló, elfogadó, jóváhagyó vagy csatlakozó okirat letétbe helyezéséről,
c) a 37. cikkel összhangban a jelen Jegyzőkönyv hatálybalépésével kapcsolatos időpontról,
d) a jelen Jegyzőkönyvet érintő minden egyéb eseményről, értesítésről vagy tájékoztatásról.
Fentiek hiteléül alulírottak a jelen Jegyzőkönyvet szabályszerű felhatalmazásuk alapján aláírásukkal látták el.
Kelt Strasbourgban, 2018. október 10. napján, angol és francia nyelven, mindkét szöveg egyaránt hiteles, egyetlen példányban, amely az Európa Tanács levéltárában marad letétbe helyezve. Az Európa Tanács főtitkára hiteles másolatokat küld az Európa Tanács valamennyi tagállamának, az Egyezményben részes Feleknek és minden olyan államnak, amelyet az Egyezményhez való csatlakozásra felkértek.
1. Minden Felet megillet a szavazás joga, amelyre tekintettel egy szavazattal rendelkezik.
2. Az Egyezményi Bizottság ülése a Feleket képviselők kétharmadának a jelenléte esetén határozatképes. Amennyiben az Egyezményt módosító Jegyzőkönyv a 37. cikk 2. bekezdése szerint korábban lép hatályba, mint hogy arra valamennyi, az Egyezmény szerződő államai tekintetében sor került volna, az Egyezményi Bizottság ülése akkor határozatképes, ha azon a Jegyzőkönyvben részes Felek közül legalább 34 jelen van.
3. A 23. cikk szerinti határozatok elfogadásához négyötödös többség szükséges. A 23. cikk h) pontja szerinti határozatok négyötödös többséget igényelnek, ideértve az Egyezményben részes Félként résztvevő regionális integrációs szervezeten kívüli államok által leadott szavazatoknak a többségét is.
4. Az Egyezményi Bizottság 23. cikk h) pontja szerinti határozathozatalánál az ellenőrzéssel érintett Fél nem szavazhat. Amennyiben a határozat egy regionális integrációs szervezet hatáskörébe tartozó kérdésre irányul, sem a szervezet, sem annak tagállamai nem vehetnek részt a szavazásban.
5. Eljárási kérdésekben való határozathozatalra egyszerű többséggel kerülhet sor.
6. Az Egyezményi Bizottságban a hatáskörükbe tartozó kérdésekben szavazó regionális integrációs szervezeteket annyi szavazati jog illeti meg, amennyi az Egyezményben részes Fél tagállamaik száma. Ilyen szervezet nem élhet a szavazati jogával, ha valamelyik tagállama a szavazati jogának gyakorlása mellett döntött.
7. Szavazás esetén a Feleket tájékoztatni kell a szavazás tárgyáról és idejéről, valamint arról, hogy szavazati jogukat a Felek egyénileg gyakorolják-e vagy helyettük az a regionális integrációs szervezet szavaz, amelynek tagjai.
8. Az Egyezményi Bizottság az eljárási szabályait a továbbiakban kétharmados többséggel módosíthatja, kivéve a szavazással kapcsolatos kérdéseket, amelyekhez a Felek egyhangú döntése szükséges, és amelyre az Egyezmény 25. cikke alkalmazandó.
Strasbourg, 10. X. 2018
Preamble
The member States of the Council of Europe and the other Parties to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), opened for signature in Strasbourg on 28 January 1981 (hereinafter referred to as „the Convention”),
Having regard to Resolution No. 3 on data protection and privacy in the third millennium adopted at the 30th Council of Europe Conference of Ministers of Justice (Istanbul, Turkey, 24–26 November 2010);
Having regard to the Parliamentary Assembly of the Council of Europe’s Resolution 1843 (2011) on the protection of privacy and personal data on the Internet and online media and Resolution 1986 (2014) on improving user protection and security in cyberspace;
Having regard to Opinion 296 (2017) on the draft protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) and its explanatory memorandum, adopted by the Standing Committee on behalf of the Parliamentary Assembly of the Council of Europe on 24 November 2017;
Considering that new challenges to the protection of individuals with regard to the processing of personal data have emerged since the Convention was adopted;
Considering the need to ensure that the Convention continues to play its pre-eminent role in protecting individuals with regard to the processing of personal data, and more generally in protecting human rights and fundamental freedoms,
Have agreed as follows:
1. The first recital of the preamble of the Convention shall be replaced by the following:
„The member States of the Council of Europe, and the other signatories hereto,”
2. The third recital of the preamble of the Convention shall be replaced by the following:
„Considering that it is necessary to secure the human dignity and protection of the human rights and fundamental freedoms of every individual and, given the diversification, intensification and globalisation of data processing and personal data flows, personal autonomy based on a person’s right to control his or her personal data and the processing of such data;”
3. The fourth recital of the preamble of the Convention shall be replaced by the following:
„Recalling that the right to protection of personal data is to be considered in respect of its role in society and that it has to be reconciled with other human rights and fundamental freedoms, including freedom of expression;”
4. The following recital shall be added after the fourth recital of the preamble of the Convention:
„Considering that this Convention permits account to be taken, in the implementation of the rules laid down therein, of the principle of the right of access to official documents;”
5. The fifth recital of the preamble of the Convention shall be deleted. New fifth and sixth recitals shall be added, which read as follows:
„Recognising that it is necessary to promote at the global level the fundamental values of respect for privacy and protection of personal data, thereby contributing to the free flow of information between people;”
„Recognising the interest of a reinforcement of international co-operation between the Parties to the Convention,”
The text of Article 1 of the Convention shall be replaced by the following:
„The purpose of this Convention is to protect every individual, whatever his or her nationality or residence, with regard to the processing of their personal data, thereby contributing to respect for his or her human rights and fundamental freedoms, and in particular the right to privacy.”
1. Littera b) of Article 2 of the Convention shall be replaced by the following:
„b) ’data processing’ means any operation or set of operations performed on personal data, such as the collection, storage, preservation, alteration, retrieval, disclosure, making available, erasure, or destruction of, or the carrying out of logical and/or arithmetical operations on such data;”
2. Littera c) of Article 2 of the Convention shall be replaced by the following:
„c) where automated processing is not used, ’data processing’ means an operation or set of operations performed upon personal data within a structured set of such data which are accessible or retrievable according to specific criteria;”
3. Littera d) of Article 2 of the Convention shall be replaced by the following:
„d) ’controller’ means the natural or legal person, public authority, service, agency or any other body which, alone or jointly with others, has decision-making power with respect to data processing;”
4. The following new litterae shall be added after littera d) of Article 2 of the Convention:
„e) ’recipient’ means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available;
f) ’processor’ means a natural or legal person, public authority, service, agency or any other body which processes personal data on behalf of the controller.”
1. Paragraph 1 of Article 3 of the Convention shall be replaced by the following:
„1. Each Party undertakes to apply this Convention to data processing subject to its jurisdiction in the public and private sectors, thereby securing every individual’s right to protection of his or her personal data.”
2. Paragraph 2 of Article 3 of the Convention shall be replaced by the following:
„2. This Convention shall not apply to data processing carried out by an individual in the course of purely personal or household activities.”
3. Paragraphs 3 to 6 of Article 3 of the Convention shall be deleted.
The title of Chapter II of the Convention shall be replaced by the following:
1. Paragraph 1 of Article 4 of the Convention shall be replaced by the following:
„1 Each Party shall take the necessary measures in its law to give effect to the provisions of this Convention and secure their effective application.”
2. Paragraph 2 of Article 4 of the Convention shall be replaced by the following:
„2 These measures shall be taken by each Party and shall have come into force by the time of ratification or of accession to this Convention.”
3. A new paragraph shall be added after paragraph 2 of Article 4 of the Convention:
„3 Each Party undertakes:
a) to allow the Convention Committee provided for in Chapter VI to evaluate the effectiveness of the measures it has taken in its law to give effect to the provisions of this Convention; and
b) to contribute actively to this evaluation process.”
1. The title of Article 5 shall be replaced by the following:
2. The text of Article 5 of the Convention shall be replaced by the following:
„1. Data processing shall be proportionate in relation to the legitimate purpose pursued and reflect at all stages of the processing a fair balance between all interests concerned, whether public or private, and the rights and freedoms at stake.
2. Each Party shall provide that data processing can be carried out on the basis of the free, specific, informed and unambiguous consent of the data subject or of some other legitimate basis laid down by law.
3. Personal data undergoing processing shall be processed lawfully.
4. Personal data undergoing processing shall be:
a) processed fairly and in a transparent manner;
b) collected for explicit, specified and legitimate purposes and not processed in a way incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is, subject to appropriate safeguards, compatible with those purposes;
c) adequate, relevant and not excessive in relation to the purposes for which they are processed;
d) accurate and, where necessary, kept up to date;
e) preserved in a form which permits identification of the data subjects for no longer than is necessary for the purposes for which those data are processed.”
The text of Article 6 of the Convention shall be replaced by the following:
„1. The processing of:
– genetic data;
– personal data relating to offences, criminal proceedings and convictions, and related security measures;
– biometric data uniquely identifying a person;
– personal data for the information they reveal relating to racial or ethnic origin, political opinions, trade-union membership, religious or other beliefs, health or sexual life,
shall only be allowed where appropriate safeguards are enshrined in law, complementing those of this Convention.
2. Such safeguards shall guard against the risks that the processing of sensitive data may present for the interests, rights and fundamental freedoms of the data subject, notably a risk of discrimination.”
The text of Article 7 of the Convention shall be replaced by the following:
„1. Each Party shall provide that the controller, and where applicable the processor, takes appropriate security measures against risks such as accidental or unauthorised access to, destruction, loss, use, modification or disclosure of personal data.
2. Each Party shall provide that the controller notifies, without delay, at least the competent supervisory authority within the meaning of Article 15 of this Convention, of those data breaches which may seriously interfere with the rights and fundamental freedoms of data subjects.”
A new Article 8 shall be added after Article 7 of the Convention as follows:
1. Each Party shall provide that the controller informs the data subjects of:
a) his or her identity and habitual residence or establishment;
b) the legal basis and the purposes of the intended processing;
c) the categories of personal data processed;
d) the recipients or categories of recipients of the personal data, if any; and
e) the means of exercising the rights set out in Article 9,
as well as any necessary additional information in order to ensure fair and transparent processing of the personal data.
2. Paragraph 1 shall not apply where the data subject already has the relevant information.
3. Where the personal data are not collected from the data subjects, the controller shall not be required to provide such information where the processing is expressly prescribed by law or this proves to be impossible or involves disproportionate efforts.”
1. The former Article 8 of the Convention shall be renumbered Article 9 and the title shall be replaced by the following:
2. The text of Article 8 of the Convention (new Article 9) shall be replaced by the following:
„1. Every individual shall have a right:
a) not to be subject to a decision significantly affecting him or her based solely on an automated processing of data without having his or her views taken into consideration;
b) to obtain, on request, at reasonable intervals and without excessive delay or expense, confirmation of the processing of personal data relating to him or her, the communication in an intelligible form of the data processed, all available information on their origin, on the preservation period as well as any other information that the controller is required to provide in order to ensure the transparency of processing in accordance with Article 8, paragraph 1;
c) to obtain, on request, knowledge of the reasoning underlying data processing where the results of such processing are applied to him or her;
d) to object at any time, on grounds relating to his or her situation, to the processing of personal data concerning him or her unless the controller demonstrates legitimate grounds for the processing which override his or her interests or rights and fundamental freedoms;
e) to obtain, on request, free of charge and without excessive delay, rectification or erasure, as the case may be, of such data if these are being, or have been, processed contrary to the provisions of this Convention;
f) to have a remedy under Article 12 where his or her rights under this Convention have been violated;
g) to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority within the meaning of Article 15, in exercising his or her rights under this Convention.
2. Paragraph 1. a) shall not apply if the decision is authorised by a law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights, freedoms and legitimate interests.”
A new Article 10 shall be added after the new Article 9 of the Convention as follows:
1. Each Party shall provide that controllers and, where applicable, processors, take all appropriate measures to comply with the obligations of this Convention and be able to demonstrate, subject to the domestic legislation adopted in accordance with Article 11, paragraph 3, in particular to the competent supervisory authority provided for in Article 15, that the data processing under their control is in compliance with the provisions of this Convention.
2. Each Party shall provide that controllers and, where applicable, processors, examine the likely impact of intended data processing on the rights and fundamental freedoms of data subjects prior to the commencement of such processing, and shall design the data processing in such a manner as to prevent or minimise the risk of interference with those rights and fundamental freedoms.
3. Each Party shall provide that controllers, and, where applicable, processors, implement technical and organisational measures which take into account the implications of the right to the protection of personal data at all stages of the data processing.
4. Each Party may, having regard to the risks arising for the interests, rights and fundamental freedoms of the data subjects, adapt the application of the provisions of paragraphs 1, 2 and 3 in the law giving effect to the provisions of this Convention, according to the nature and volume of the data, the nature, scope and purpose of the processing and, where appropriate, the size of the controller or processor.”
The former Articles 9 to 12 of the Convention shall become Articles 11 to 14 of the Convention.
The text of Article 9 of the Convention (new Article 11) shall be replaced by the following:
„1. No exception to the provisions set out in this chapter shall be allowed except to the provisions of Article 5, paragraph 4, Article 7, paragraph 2, Article 8, paragraph 1, and Article 9, when such an exception is provided for by law, respects the essence of the fundamental rights and freedoms and constitutes a necessary and proportionate measure in a democratic society for:
a) the protection of national security, defence, public safety, important economic and financial interests of the State, the impartiality and independence of the judiciary or the prevention, investigation and prosecution of criminal offences and the execution of criminal penalties, and other essential objectives of general public interest;
b) the protection of the data subject or the rights and fundamental freedoms of others, notably freedom of expression.
2. Restrictions on the exercise of the provisions specified in Articles 8 and 9 may be provided for by law with respect to data processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes when there is no recognisable risk of infringement of the rights and fundamental freedoms of data subjects.
3. In addition to the exceptions allowed for in paragraph 1 of this article, with reference to processing activities for national security and defence purposes, each Party may provide, by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfil such an aim, exceptions to Article 4, paragraph 3, Article 14, paragraphs 5 and 6, and Article 15, paragraph 2, litterae a), b), c) and d).
This is without prejudice to the requirement that processing activities for national security and defence purposes are subject to independent and effective review and supervision under the domestic legislation of the respective Party.”
The text of Article 10 of the Convention (new Article 12) shall be replaced by the following:
„Each Party undertakes to establish appropriate judicial and non-judicial sanctions and remedies for violations of the provisions of this Convention.”
The title of Chapter III shall be replaced by the following:
1. The title of Article 12 of the Convention (new Article 14) shall be replaced by the following:
2. The text of Article 12 of the Convention (new Article 14) shall be replaced by the following:
„1. A Party shall not, for the sole purpose of the protection of personal data, prohibit or subject to special authorisation the transfer of such data to a recipient who is subject to the jurisdiction of another Party to the Convention. Such a Party may, however, do so if there is a real and serious risk that the transfer to another Party, or from that other Party to a non-Party, would lead to circumventing the provisions of the Convention. A Party may also do so if bound by harmonised rules of protection shared by States belonging to a regional international organisation.
2. When the recipient is subject to the jurisdiction of a State or international organisation which is not Party to this Convention, the transfer of personal data may only take place where an appropriate level of protection based on the provisions of this Convention is secured.
3. An appropriate level of protection can be secured by:
a) the law of that State or international organisation, including the applicable international treaties or agreements; or
b) ad hoc or approved standardised safeguards provided by legally-binding and enforceable instruments adopted and implemented by the persons involved in the transfer and further processing.
4. Notwithstanding the provisions of the previous paragraphs, each Party may provide that the transfer of personal data may take place if:
a) the data subject has given explicit, specific and free consent, after being informed of risks arising in the absence of appropriate safeguards; or
b) the specific interests of the data subject require it in the particular case; or
c) prevailing legitimate interests, in particular important public interests, are provided for by law and such transfer constitutes a necessary and proportionate measure in a democratic society; or
d) it constitutes a necessary and proportionate measure in a democratic society for freedom of expression.
5. Each Party shall provide that the competent supervisory authority, within the meaning of Article 15 of this Convention, is provided with all relevant information concerning the transfers of data referred to in paragraph 3, littera b) and, upon request, paragraph 4, litterae b) and c).
6. Each Party shall also provide that the supervisory authority is entitled to request that the person who transfers data demonstrates the effectiveness of the safeguards or the existence of prevailing legitimate interests and that the supervisory authority may, in order to protect the rights and fundamental freedoms of data subjects, prohibit such transfers, suspend them or subject them to conditions.”
3. The text of Article 12 of the Convention (new Article 14) includes the provisions of Article 2 of the Additional Protocol of 2001 regarding supervisory authorities and transborder data flows (ETS No. 181) on transborder flows of personal data to a recipient which is not subject to the jurisdiction of a Party to the Convention.
A new Chapter IV shall be added after Chapter III of the Convention, as follows:
A new Article 15 includes the provisions of Article 1 of the Additional Protocol of 2001 (ETS No.181) and reads as follows:
