EDPB 1/2019 iránymutatás a magatartási kódexekről és ellenőrző szervezetekről

1/2019 iránymutatás az (EU) 2016/679 rendelet szerinti
magatartási kódexekről és ellenőrző szervezetekről

(2.0. változat)

2019. június 4.

TARTALOMJEGYZÉK

1 BEVEZETÉS
1.1 Ezen iránymutatás hatálya
2 FOGALOMMEGHATÁROZÁSOK
3 MIK AZOK A MAGATARTÁSI KÓDEXEK?
4 MILYEN ELŐNYÖKKEL JÁRNAK A KÓDEXEK?
5 A KÓDEXTERVEZETEK ELFOGADHATÓSÁGA
5.1 Indokolás és támogató dokumentumok
5.2 Képviselő
5.3 Az adatkezelés hatálya
5.4 Területi hatály
5.5 Az illetékes felügyeleti hatósághoz való benyújtás
5.6 A mechanizmusok felügyelete
5.7 Ellenőrző szervezet
5.8 Konzultáció
5.9 Nemzeti jogszabályok
5.10 Nyelv
5.11 Ellenőrzőlista
6 A KÓDEXEK JÓVÁHAGYÁSÁNAK FELTÉTELEI
6.1 Különleges szükségletek teljesítése
6.2 Az általános adatvédelmi rendelet hatékony alkalmazásának megkönnyítése
6.3 Az általános adatvédelmi rendelet alkalmazásának konkretizálása
6.4 Megfelelő biztosítékokat nyújt
6.5 Hatékony felügyeletet lehetővé tévő mechanizmusok biztosítása
7 BENYÚJTÁS, ELFOGADHATÓSÁG ÉS JÓVÁHAGYÁS (NEMZETI KÓDEX)
7.1 Benyújtás
7.2 A kódex elfogadhatósága
7.3 Jóváhagyás
8 BENYÚJTÁS, ELFOGADHATÓSÁG ÉS JÓVÁHAGYÁS (TRANSZNACIONÁLIS KÓDEX)
8.1 Benyújtás
8.2 A kódex elfogadhatósága
8.3 Együttműködés
8.4 Elutasítás
8.5 A Testülethez történő benyújtás előkészítése
8.6 A Testület
8.7 Jóváhagyás
9 PÁRBESZÉD
10 A BIZOTTSÁG SZEREPE
11 A KÓDEX ELLENŐRZÉSE
12 AZ ELLENŐRZŐ SZERVEZETKRE VONATKOZÓ AKKREDITÁCIÓS KÖVETELMÉNYEK
12.1 Függetlenség
12.2 Összeférhetetlenség
12.3 Szakértelem
12.4 Bevált eljárások és struktúrák
12.5 Átlátható panaszkezelés
12.6 Az illetékes felügyeleti hatósággal folytatott kommunikáció
12.7 Felülvizsgálati mechanizmusok
12.8 Jogállás
13 JÓVÁHAGYOTT MAGATARTÁSI KÓDEXEK
14 AZ ELLENŐRZŐ SZERVEZET AKKREDITÁCIÓJÁNAK VISSZAVONÁSA
15 MAGATARTÁSI KÓDEXEK A KÖZSZEKTORBAN
1. FÜGGELÉK – A nemzeti és a transznacionális kódexek közötti különbségtétel
2. FÜGGELÉK – Az illetékes felügyeleti hatóság megválasztása
3. FÜGGELÉK – Benyújtási ellenőrzőlista
4. FÜGGELÉK – TRANSZNACIONÁLIS KÓDEX Folyamatábra

Az Európai Adatvédelmi Testület

tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679/EU európai parlamenti és tanácsi rendelet (a továbbiakban: az általános adatvédelmi rendelet) 70. cikke (1) bekezdésének n) pontjára, valamint 40. és 41. cikkére,

tekintettel az EGT-megállapodásra, és különösen annak az EGT Vegyes Bizottság 2018. július 6-i
154/2018 határozatával módosított XI. mellékletére és 37. jegyzőkönyvére,

tekintettel a Testület 2018. május 25-i eljárási szabályzatának 12. cikkére és 22. cikkére,

ELFOGADTA A KÖVETKEZŐ VÉLEMÉNYT:

1 BEVEZETÉS

1. Az (EU) 2016/679 rendelet (a továbbiakban: az általános adatvédelmi rendelet) 2018. május 25- én hatályba lépett. Az általános adatvédelmi rendelet egyik fő célja az egységes, uniós-szintű adatvédelem biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése. Az általános adatvédelmi rendelet emellett bevezeti az elszámoltathatóság elvét, amely az adatkezelőkre ruházza annak terhét és felelősségét, hogy képesek legyen a rendeletnek való megfelelés igazolására. Az általános adatvédelmi rendelet magatartási kódexekre vonatkozó (a továbbiakban: kódexek) 40. és 41. cikkének rendelkezései a gyakorlatban alkalmazható, potenciálisan költséghatékony és ésszerű módszert jelentenek az adatvédelmi jogok egységesebb védelmének eléréséhez. A kódexek olyan mechanizmusként működhetnek, amely bizonyítja az általános adatvédelmi rendeletnek való megfelelést. A kódexek mindenekelőtt elősegíthetik azon harmonizációs hiányosságok megszüntetését, amelyek az adatvédelmi jog alkalmazása során jelentkezhetnek a tagállamok között. Lehetőséget biztosítanak konkrét ágazatok tekintetében a közös adatfeldolgozási tevékenységek áttekintésére is, és olyan, az igényekhez igazodó és a gyakorlatban alkalmazható adatvédelmi szabályok megalkotására, amelyek megfelelnek az ágazat szükségleteinek és az általános adatvédelmi rendelet követelményeinek.

2. A tagállamok, a felügyeleti hatóságok, az Európai Adatvédelmi Testület (a továbbiakban: a Testület) és az Európai Bizottság (a továbbiakban: a Bizottság) kötelesek ösztönözni olyan kódexek kidolgozását, amelyek segítik a rendelet helyes alkalmazását.7 Ez az iránymutatás támogatást nyújt a „kódexek felelősei” számára, és megkönnyíti a kódexek kidolgozását, módosítását vagy kibővítését.

1.1 Ezen iránymutatás hatálya

3. Az iránymutatás célja, hogy gyakorlati útmutatást és értelmezési segítséget nyújtson az általános adatvédelmi rendelet 40. és 41. cikkének alkalmazásához. Rendeltetése, hogy elősegítse a kódexek nemzeti és európai szintű benyújtásával, jóváhagyásával és közzétételével kapcsolatos szabályok és eljárások tisztázását. Meg kívánja határozni, hogy az illetékes felügyeleti hatóság milyen minimális feltételeket írhat elő, mielőtt elfogadná egy kódex mélyreható felülvizsgálatának és értékelésének elvégzését.8 Továbbá arra törekszik, hogy meghatározza azokat a tartalommal kapcsolatos tényezőket, amelyeket figyelembe kell venni annak értékelése során, hogy egy adott kódex biztosítja-e az általános adatvédelmi rendelet helyes és hatékony alkalmazását9, és hozzájárul-e ahhoz. Végezetül célja a kódex betartásának hatékony ellenőrzésére vonatkozó követelmények meghatározása.10

4. Az iránymutatás célja továbbá, hogy egyértelmű keretként szolgáljon valamennyi illetékes felügyeleti hatóság, a Testület és a Bizottság számára ahhoz, hogy egységesen értékeljék a kódexeket, és észszerűsítsék az értékelési folyamatban alkalmazott eljárásokat. Ennek a keretnek fokozott átláthatóságot kell biztosítania, gondoskodva arról, hogy azok a kódexfelelősök, akik egy kódex jóváhagyását kívánják kérni, teljes mértékben ismerjék a folyamatot és értsék a jóváhagyáshoz szükséges formai követelményeket és megfelelő küszöbértékeket.

5. Az Európai Adatvédelmi Testület által kiadandó külön iránymutatás tárgyalja majd az általános adatvédelmi rendelet 40. cikkének (3) bekezdése szerinti, az adattovábbítás eszközéül szolgáló magatartási kódexekre vonatkozó útmutatót.

6. Az összes korábban jóváhagyott kódexet felül kell vizsgálni és újra kell értékelni az általános adatvédelmi rendelet követelményeinek megfelelően, majd újra be kell nyújtani azokat jóváhagyásra a 40. és 41. cikk követelményeivel összhangban, és az e dokumentumban ismertetett eljárások szerint.

2 FOGALOMMEGHATÁROZÁSOK

„Akkreditáció”: annak megállapítása, hogy a javasolt ellenőrző szervezet megfelel az általános adatvédelmi rendelet 41. cikkében szereplő ahhoz szükséges követelményeknek, hogy elvégezze a magatartási kódexnek való megfelelés ellenőrzését. Ezt az ellenőrzést az a felügyeleti hatóság végzi el, ahol a kódex jóváhagyás céljából benyújtásra kerül (a 41. cikk (1) bekezdése). Az ellenőrző szervezet akkreditációja csak egy konkrét kódexre vonatkozik.
„A kódex felelősei”: olyan egyesületek vagy egyéb szervezetek, amelyek elkészítik és benyújtják a kódexüket, és amelyek a kódex előírásai és a nemzeti jog szerint megfelelő jogi státusszal fognak rendelkezni.
„Illetékes felügyeleti hatóság”: az általános adatvédelmi rendelet. cikke szerinti illetékes felügyeleti hatóság.
„Ellenőrző szervezet”: olyan (a magatartási kódexért felelős szervezeten belül vagy azon kívül létrehozott14) szervezet/bizottság vagy több szervezet/bizottság, amely ellenőrző szerepet tölt be a kódex 41. cikk szerinti betartásának ellenőrzése és biztosítása céljából.
„Érintett felügyeleti hatóság”: jelentése megegyezik az általános adatvédelmi rendelet 4. cikkének 22. pontja szerinti jelentéssel.
„Nemzeti kódex”: olyan kódex, amely egy tagállamon belüli adatkezelési tevékenységekre terjed ki.
„Transznacionális kódex”: olyan kódex, amely egynél több tagállamon belüli adatkezelési tevékenységekre terjed ki.

3 MIK AZOK A MAGATARTÁSI KÓDEXEK?

7. Az általános adatvédelmi rendelet szerinti kódexek önkéntes elszámoltathatósági eszközök, amelyek konkrét adatvédelmi szabályokat állapítanak meg az adatkezelők és adatfeldolgozók kategóriái tekintetében. Hasznos és hatékony elszámoltathatósági eszközök lehetnek, amelyek részletesen ismertetik, melyek a legmegfelelőbb, jogszerű és etikus magatartási formák az adott ágazatban. Adatvédelmi szempontból tehát a kódexek azon adatkezelők és adatfeldolgozók szabálykönyveként működnek, amelyek az európai és a nemzeti jogban meghatározott adatvédelmi elvek operatív érvényesülését biztosító, az általános adatvédelmi rendeletnek megfelelő adatkezelési tevékenységeket alakítanak ki és hajtanak végre.

8. Adott ágazatokat képviselő kereskedelmi szövetségek és szervezetek kódexeket hozhatnak létre annak elősegítésére, hogy ágazatuk eredményesen és lehetőleg költséghatékonyan megfeleljen az általános adatvédelmi rendeletnek. Az általános adatvédelmi rendelet 40. cikkének (2) bekezdésében foglalt, nem teljes körű felsorolás értelmében a magatartási kódexek olyan témákra terjedhetnek ki, mint például:

• a tisztességes és átlátható adatkezelés;
• az adatkezelők jogos érdekei meghatározott körülmények között;
• a személyes adatok gyűjtése; a személyes adatok álnevesítése;
• az egyének tájékoztatása és az egyének jogainak gyakorlása;
• a gyermekek tájékoztatása és védelme (beleértve a szülői hozzájárulás kikérésére szolgáló mechanizmusokat);
• technikai és szervezési intézkedések, beleértve a beépített adatvédelmet és az alapértelmezett adatvédelmet, valamint a biztonságot szolgáló intézkedéseket;
• adatvédelmi incidensek bejelentése;
• az EU-n kívülre történő adattovábbítások; vagy
• vitarendezési eljárások.

9. A (95/46/EK) adatvédelmi irányelvet hatályon kívül helyező általános adatvédelmi rendelet konkrétebb és részletesebb rendelkezéseket tartalmaz a kódexekről, a teljesítendő követelményekről és a jóváhagyás megszerzésére szolgáló eljárásokról, valamint a kódexek jóváhagyást követő nyilvántartásba vételéről, közzétételéről és megismertetéséről. E rendelkezések – a jelen iránymutatással együtt – elősegítik annak ösztönzését, hogy a kódex felelőseinek közvetlen beleszólásuk legyen az adatkezelő ágazataikra vonatkozó adatvédelmi normák és szabályok megállapításába.

10. Fontos megjegyezni, hogy a kódex egyike az általános adatvédelmi rendelet által biztosított önkéntes adatvédelmi elszámoltathatósági eszközöknek, mint például az adatvédelmi hatásvizsgálat és -tanúsítás. Ezek olyan mechanizmust alkotnak, amely felhasználható arra, hogy segítséget nyújtson a szervezeteknek az általános adatvédelmi rendeletnek való megfelelés bizonyításához.

4 MILYEN ELŐNYÖKKEL JÁRNAK A KÓDEXEK?

11. A kódexek lehetőséget kínálnak olyan szabályozás kialakítására, amely elősegíti az általános adatvédelmi rendelet helyes, a gyakorlatban megvalósítható, átlátható és lehetőség szerint költséghatékony alkalmazását, szem előtt tartva az adott ágazat és/vagy adatkezelési tevékenységei jellegzetességeit. Így olyan kódexek készíthetők az adatkezelők és adatfeldolgozók számára, amelyek figyelembe veszik az egyes ágazatokban végzett adatkezelés sajátos jellemzőit, valamint a mikro-, kis- és középvállalkozások sajátos igényeit. A kódex különösen fontos és előnyös eszköz lehet a kkv-k és a mikrovállalkozások számára, mivel olyan mechanizmust biztosít, amely lehetővé teszi számukra az adatvédelmi szabályok költséghatékonyabb betartását.

Például hasonló egészségügyi kutatási tevékenységekben részt vevő mikrovállalkozások a releváns szövetségek keretében tömörülve közösen is kidolgozhatnak egy kódexet az egészségügyi adatok gyűjtése és kezelése tekintetében, ahelyett, hogy saját maguk kísérelnének meg ilyen átfogó adatvédelmi elemzést végezni. A kódexek hasznosak lesznek a felügyeleti hatóságok számára is, mivel lehetővé teszik számukra, hogy jobban megértsék az adott szakma, iparág vagy más ágazat adatkezelési tevékenységeit, és betekintést nyerjenek

12. A kódexek segíthetik az adatkezelőket és az adatfeldolgozókat abban, hogy megfeleljenek az
általános adatvédelmi rendeletnek, mivel olyan területeket szabályoznak, mint a tisztességes és

Például jóváhagyást lehetne kérni az arra vonatkozó szabályokra, hogy egy konkrét jótékonysági ágazat miként biztosítaná adatkezelési megoldásainak tisztességességét és átláthatóságát. Alternatív megoldásként az adott jótékonysági ágazat dönthetne úgy, hogy az általános adatvédelmi rendeleten alapuló számos különböző rendelkezést magában foglaló és helyesen alkalmazó kódexet dolgoz ki, amely a személyes adatok gyűjtésének jogszerű alapjától az adatvédelmi incidensek bejelentéséig valamennyi adatkezelési tevékenységére

átlátható adatkezelés, a jogos érdekek, a beépített biztonság és adatvédelem, valamint az alapértelmezett intézkedések és az adatkezelők kötelezettségei. A kódexek valamennyi adatkezelési ágazat számára hozzáférhetők, és az adott ágazathoz igazodva, akár szűken, akár tágan is megfogalmazhatók, feltéve, hogy a kódex hozzájárul az általános adatvédelmi rendelet helyes és hatékony alkalmazásához.

13. A kódexek bizonyos mértékben kiegészítő szabályozást nyújthatnak, amelynek következtében az adatkezelőknek és adatfeldolgozóknak kevésbé kellene hagyatkozniuk az adatvédelmi hatóságokra abban, hogy részletesebb útmutatást kapjanak konkrét adatkezelési tevékenységeikhez.

14. A kódexek bizonyos fokú önállóságot és ellenőrzést biztosíthatnak az adatkezelők és adatfeldolgozók számára az adott ágazatokra vonatkozó bevált gyakorlatok szabályainak kialakítása és elfogadása érdekében. Lehetőséget nyújthatnak arra is, hogy konkrét területeken megszilárdítsák az adatfeldolgozási műveletek bevált gyakorlatát. Emellett alapvető információforrássá válhatnak a vállalkozások számára, hogy azokra támaszkodva kezelni tudják az adatkezelés eljárások során felmerülő kritikus problémákat és javíthassák az adatvédelmi szabályok betartását.

15. A kódexek megteremthetik az olyannyira szükséges bizalmat és a jogbiztonságot azáltal, hogy gyakorlati megoldásokat kínálnak az egyes ágazatokban a közös adatkezelési tevékenységekkel kapcsolatosan azonosított problémákra. Ösztönzik az adott ágazat adatkezelési szükségleteire vonatkozó közös és egységes megközelítés kialakítását.

16. A kódexek hatékony eszközül szolgálhatnak az érintettek bizalmának elnyeréséhez. Sokféle problémát kezelhetnek, így a közvélemény számos aggodalmát, vagy akár az ágazaton belül érzékelt aggályokat, és ilyen módon eszközül szolgálnak arra, hogy az átláthatóbbá tegyék a személyes adatok kezelését az egyének számára.

Például az egészségügyi adatok kutatási célú kezelésével összefüggésben, a jóváhagyott és részletes kódex megléte mérsékelheti az érzékeny egészségügyi adatok kezelésére vonatkozó szabályok betartásának előmozdítása érdekében elfogadandó megfelelő intézkedésekkel kapcsolatos aggályokat. Az ilyen kódex tisztességes és átlátható módon körvonalazhatná az alábbiakat:

• az érintetteknek nyújtandó tájékoztatás tekintetében alkalmazandó megfelelő biztosítékok;
• a harmadik felektől gyűjtött adatok tekintetében alkalmazandó megfelelő biztosítékok;
• az adatok közlése vagy terjesztése;
• az adattakarékosság elvének tiszteletben tartása érdekében alkalmazandó kritériumok;
• a konkrét biztonsági intézkedések;
• megfelelő adatmegőrzési ütemtervek; valamint
• az érintettek joggyakorlásának eredményeként történő adatkezelésre szolgáló mechanizmusok (az általános adatvédelmi rendelet 32. és 89. cikke szerint)

17. A kódexek emellett jelentős és hasznos mechanizmusnak bizonyulhatnak a nemzetközi adattovábbítások terén. Az általános adatvédelmi rendelet új rendelkezései lehetővé teszik harmadik felek számára, hogy csatlakozzanak a jóváhagyott kódexekhez azon jogszabályi követelmények teljesítése céljából, amelyek megfelelő biztosítékokat nyújtanak a személyes adatok harmadik országok részére történő nemzetközi továbbításai tekintetében. Ezenfelül az ilyen jellegű jóváhagyott kódexek előmozdíthatják az általános adatvédelmi rendelet által biztosított védelmi szint megismertetését a tágabb nemzetközi közösséggel, és nemzetközi elterjesztését, egyúttal pedig lehetővé teszik a személyes adatok fenntartható és jogszerű nemzetközi továbbításait. Olyan mechanizmusként is szolgálhatnak, amely továbbfejleszti és támogatja az érintetteknek az Európai Gazdasági Térségen kívüli adatkezelésbe vetett bizalmát.

18. A jóváhagyott kódexek hatékony elszámoltathatósági eszköznek bizonyulhatnak mind az adatfeldolgozók, mind az adatkezelők számára. Az általános adatvédelmi rendelet (77) preambulumbekezdésében és 24. cikkének (3) bekezdésében foglaltaknak megfelelően úgy tekinthető, hogy a jóváhagyott magatartási kódexhez való csatlakozás megfelelő módszer többek között arra, hogy az adatkezelő vagy adatfeldolgozó igazolja, hogy megfelel a rendelet egyes részeinek vagy elveinek illetve az egész rendeletnek. A jóváhagyott magatartási kódexhez való csatlakozás emellett olyan tényező, amit a felügyeleti hatóságok figyelembe fognak venni az adatkezelés sajátos jellemzőinek, például a biztonsági szempontoknak az értékelésekor, az adatkezelés hatásának az adatvédelmi hatásvizsgálat alapján történő vizsgálatakor vagy közigazgatási bírság kiszabása során. A rendelet valamely rendelkezésének megsértése esetén egy jóváhagyott magatartási kódexhez való tartozás jelzésértékű lehet arra nézve, hogy milyen mértékű beavatkozás szükséges a felügyeleti hatóság által megállapítandó hatékony, arányos, visszatartó erejű közigazgatási bírság vagy más korrekciós intézkedés útján.

5 A KÓDEXTERVEZETEK ELFOGADHATÓSÁGA

19. Számos feltételnek kell teljesülnie mielőtt az illetékes felügyeleti hatóságnak módja volna arra, hogy az általános adatvédelmi rendelet 40. cikke (5) bekezdésének alkalmazásában teljeskörűen értékeljen és felülvizsgáljon valamely kódexet. E feltételek célja, hogy megkönnyítsék a kódextervezetek hatékony értékelését. Az alábbi kritériumok alkalmazandók:

5.1 Indokolás és támogató dokumentumok

20. Miden jóváhagyásra benyújtott kódextervezetnek világos és tömör indokolást kell tartalmaznia, amely részletesen ismerteti a kódex célját, hatályát és azt, hogy a kódex miként fogja megkönnyíteni e rendelet hatékony alkalmazását. Ez elősegíti a folyamat meggyorsítását és a beadványok szükséges egyértelműségének biztosítását. A beadványnak adott esetben támogató dokumentumot is tartalmaznia kell a kódex tervezetének és az indokolásnak az alátámasztására.

5.2 Képviselő

21. A kódexet a 40. cikk (2) bekezdésével összhangban az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületeknek/egyesületekből álló konzorciumoknak vagy egyéb szervezeteknek (a kódex felelősei) kell benyújtaniuk. A lehetséges kódexfelelősök nem teljes körű felsorolása a következőket foglalná magában: kereskedelmi és érdekképviseleti szervezetek, ágazati szervezetek, tudományos szervezetek és érdekcsoportok.

22. A kódex felelőseinek igazolniuk kell az illetékes felügyeleti hatóság számára, hogy hatékony képviseleti szervet alkotnak, valamint hogy képesek arra, hogy átlássák a tagok szükségleteit és egyértelműen meghatározzák azt az adatkezelési tevékenységet vagy ágazatot, amelyre a kódexet alkalmazni kívánják. Az érintett ágazat meghatározásától és paramétereitől függően a képviseleti minőség többek között a következő tényezőkből vezethető le:

• A magatartási kódexhez esetlegesen csatlakozó tagok száma vagy százalékos aránya az adott
ágazatban működő érintett adatkezelők vagy adatfeldolgozók között;
• A képviseleti szerv tapasztalatai a kódexszel kapcsolatos ágazati és adatkezelési tevékenységek tekintetében.

5.3 Az adatkezelés hatálya

23. A kódextervezetnek meghatározott hatállyal kell rendelkeznie, amely egyértelműen és pontosan megállapítja a hatálya alá tartozó személyesadat-kezelési műveletek körét (vagy az adatkezelés jellemzőit), valamint a szabályozása alá tartozó adatkezelők vagy adatfeldolgozók kategóriáit. Ez kiterjed azokra az adatkezelési problémákra is, amelyeket a kódex kezelni hivatott és amelyekre gyakorlati megoldásokat nyújt.

5.4 Területi hatály

24. A kódextervezetnek meg kell határoznia, hogy nemzeti vagy transznacionális kódexről van-e szó, és részletesen meg kell adnia a területi hatállyal kapcsolatos adatokat, azonosítva azokat az országokat és területeket, ahol alkalmazni kívánják azt. Transznacionális kódexek (valamint módosított vagy kibővített transznacionális kódexek) esetében fel kell sorolni az érintett felügyeleti hatóságokat. Az 1. függelék felvázolja a nemzeti és a transznacionális kódexek közötti különbségtételt.
5.5 Az illetékes felügyeleti hatósághoz való benyújtás

25. A kódex felelőseinek biztosítaniuk kell, hogy a kódex tervezetének felülvizsgálatára kiválasztott felügyeleti hatóság az általános adatvédelmi rendelet 55. cikkének megfelelően illetékes legyen.33 A 2. függelék további információkat tartalmaz, amelyek segíthetik a kódex felelőseit a transznacionális kódexek tekintetében illetékes felügyeleti hatóság kiválasztásában.

5.6 A mechanizmusok felügyelete

26. A kódextervezetnek olyan mechanizmusokat kell előirányoznia, amelyek lehetővé teszik annak ellenőrzését, hogy a kódex alkalmazását vállaló érdekelt felek betartják-e annak rendelkezéseit.34 Ez közszektorbeli és a nem közszektorbeli kódexekre is vonatkozik.

5.7 Ellenőrző szervezet

27. A magán, közhatalmi szervektől és közfeladatot ellátó szervektől eltérő szervezetek adatkezelési tevékenységeire kiterjedő kódextervezetnek az ellenőrző szervezetet is meg kell határoznia, és olyan mechanizmusokat kell tartalmaznia, amelyek lehetővé teszik, hogy a szervezet ellássa az általános adatvédelmi rendelet 41. cikke szerinti feladatait. A meghatározott ellenőrző szervezetnek vagy szervezeteknek megfelelő legitimációval kell rendelkezniük ahhoz, hogy megfeleljenek a szerepük tekintetében fennálló teljes körű elszámoltathatóságra vonatkozó követelményeknek. E célból az illetékes felügyeleti hatóságnak az általános adatvédelmi rendelet
41. cikkének (1) bekezdésével összhangban akkreditálnia kell az ellenőrző szervezetet vagy
szervezeteket.37

5.8 Konzultáció

28. A kódex tervezetének tartalmaznia kell az elvégzett konzultáció mértékére vonatkozó információkat. Az általános adatvédelmi rendelet (99) preambulumbekezdése hangsúlyozza, hogy a kódexek létrehozásakor (vagy módosításakor/bővítésekor) konzultálni kell az érdekelt felekkel, ha ez megoldható, köztük az érintettekkel is. Ily módon a kódex jóváhagyás céljából történő benyújtásakor a kódex felelőseinek meg kell erősíteniük és igazolniuk kell, hogy megfelelő szintű konzultációra került sor az érdekelt felekkel. Adott esetben ez tartalmazza azon egyéb kódexekre vonatkozó információkat, amelyeknek az esetlegesen csatlakozó tagok a hatálya alá tartozhatnak, és azt tükrözik, hogy kódexeik miként egészítik ki a többi magatartási kódexet. Ennek keretében azt is fel kell vázolniuk, milyen szintű és jellegű konzultációt folytattak a tagjaikkal, más érdekeltekkel és az érintettekkel vagy az őket képviselő egyesületekkel/szervezetekkel. A gyakorlatban igen ajánlatos, hogy konzultáljanak a kódex felelőseként eljáró szervezet vagy testületet alkotó tagokkal, valamint figyelembe vegyék az e tagok ügyfeleivel folytatott adatkezelési tevékenységet is. Ha a megvalósíthatóság hiánya miatt nem folytattak konzultációt az érintett vagy konkrét érdekelt felekkel, a kódex felelősének feladata, hogy ismertesse ezt a helyzetet.

5.9 Nemzeti jogszabályok

29. A kódex felelőseinek meg kell erősíteniük, hogy a kódextervezet megfelel a vonatkozó nemzeti jogszabályoknak, különösen, ha a kódex olyan ágazatot érint, amelyet a nemzeti jogban foglalt egyedi rendelkezések szabályoznak, vagy olyan adatkezelési műveletekre vonatkozik, amelyeket a nemzeti jog szerinti sajátos követelmények és vonatkozó jogi kötelezettségek figyelembevételével kell értékelni.

5.10 Nyelv

30. A kódex felelőseinek teljesíteniük kell azon illetékes felügyeleti hatóság nyelvi követelményeit, amelyhez benyújtják a kódexüket. A kódexet általában e tagállam illetékes felügyeleti hatóságának nyelvén kell benyújtani. Transznacionális kódexek esetében a kódexet az illetékes felügyeleti hatóság nyelvén és angol nyelven is be kell nyújtani.

5.11 Ellenőrzőlista

31. Végső soron a kiválasztott illetékes felügyeleti hatóság feladata annak eldöntése, hogy a kódex tervezete az értékelés következő szakaszába lép-e, vagyis hogy az illetékes felügyeleti hatóság elvégzi-e a tartalom teljes körű értékelését az általános adatvédelmi rendelet 40. és 41. cikkének és az alábbiakban részletezett eljárásoknak megfelelően. A 3. függelékben ismertetett ellenőrzőlistát kell használni az illetékes felügyeleti hatóságnak benyújtott referenciadokumentációhoz és annak elősegítéséhez, hogy keretbe foglalják a kódextervezet benyújtását.

6 A KÓDEXEK JÓVÁHAGYÁSÁNAK FELTÉTELEI

32. A kódex felelőseinek képesnek kell lenniük annak bemutatására, hogy kódexük miként járul hozzá az általános adatvédelmi rendelet helyes alkalmazásához, figyelembe véve a különböző adatkezelési ágazatok egyedi sajátosságait, valamint az általa érintett adatkezelőkre vagy adatfeldolgozókra vonatkozó konkrét követelményeket és kötelezettségeket. Ennek az átfogó követelménynek számos aspektusa van. A kódex felelőseinek képesnek kell lenniük igazolni, hogy kódextervezetük:

• megfelel az ágazat vagy adatkezelési tevékenység különleges szükségleteinek,
• megkönnyíti az általános adatvédelmi rendelet alkalmazását,
• pontosítja az általános adatvédelmi rendelet alkalmazását,
• megfelelő biztosítékokat nyújt41, valamint
• hatékony mechanizmusokat biztosít a kódex betartásának ellenőrzésére.

6.1 Különleges szükségletek teljesítése

33. A kódex felelőseinek igazolniuk kell a kódex létrehozásának szükségességét. Ekképpen a kódexnek
olyan adatvédelmi problémákat kell kezelnie, amelyek egy adott ágazatból vagy adatkezelési

Például előfordulhat, hogy a fogyasztói hitelkockázatok felderítésére szolgáló információs rendszerek ágazata megállapítja egy olyan kódex létrehozásának szükségességét, amely megfelelő biztosítékokat és mechanizmusokat nyújt annak szavatolására, hogy a gyűjtött adatok relevánsak és pontosak legyenek, és kizárólag a hitelvédelem konkrét és jogszerű céljára használják azokat. Hasonlóképpen, az egészségügyi kutatási ágazat is megállapíthatja egy olyan kódex létrehozásának szükségességét, amely egységes megközelítést biztosít azáltal, hogy szabványokat állapít meg az általános adatvédelmi rendelet szerinti kifejezett hozzájárulás és azt kísérő elszámolási kötelezettségek megfelelő teljesítése érdekében.

tevékenységből erednek.

34. A kódex felelőseinek képesnek kell lenniük annak kifejtésére és meghatározására, hogy a kódex mely problémákat kíván kezelni, valamint annak alátámasztására, hogy a kódex által kínált megoldások hatékonyak és előnyösek lesznek nem csupán a tagok, hanem az érintettek számára is.

6.2 Az általános adatvédelmi rendelet hatékony alkalmazásának megkönnyítése

35. Az általános adatvédelmi rendelet (98) preambulumbekezdése értelmében a jóváhagyás megszerzéséhez az szükséges, hogy a kódex felelősei képesek legyenek igazolni, hogy a kódex megkönnyíti az általános adatvédelmi rendelet hatékony alkalmazását. E tekintetben a kódexnek egyértelműen jeleznie kell az általános adatvédelmi rendelet szektorspecifikus alkalmazását, valamint azonosítania és kezelnie kell az adott ágazat ilyen sajátos szükségleteit.

Például az általános adatvédelmi rendelet hatékony alkalmazásának megkönnyítését jelenti az ágazatra jellemző fogalommeghatározások felsorolása, valamint az ágazat szempontjából különösen fontos kérdések megfelelő előtérbe helyezése. Ha ágazatspecifikus terminológiát használnak az általános adatvédelmi rendelet előírásai ágazatbeli végrehajtásának részletes ismertetésére, akkor ennek révén az ágazat is világosabban megértheti a szabályokat, ami így megkönnyíti az általános adatvédelmi rendelet hatékony alkalmazását. A kódexnek teljes mértékben figyelembe kell vennie az adott ágazat adatkezelési tevékenységével együtt járó valószínű kockázatokat, és az érintett ágazatban meglévő, szóban forgó kockázatok alapján megfelelően kell meghatároznia az alkalmazási körébe tartozó adatkezelők és adatfeldolgozók kapcsolódó kötelezettségeit, például a személyes adatok közvetlen üzletszerzés során történő felhasználására vonatkozó elfogadható feltételekre vonatkozó példákat

6.3 Az általános adatvédelmi rendelet alkalmazásának konkretizálása

36. A kódexeknek meg kell határozniuk az általános adatvédelmi rendelet gyakorlati alkalmazását, és pontosan tükrözniük kell az adatkezelési tevékenység vagy az ágazat jellegét. Alkalmasnak kell lenniük arra, hogy egyértelmű konkrét iparági javulást érjenek el az adatvédelmi jog betartása tekintetében. A kódexeknek reális és teljesíthető normákat kell meghatározniuk valamennyi tagjuk számára, valamint megfelelő színvonalat és belső konzisztenciát kell képviselniük ahhoz, hogy megfelelő hozzáadott értéket nyújtsanak. Más szóval a kódextervezetnek megfelelően összpontosítania kell a konkrét adatvédelmi területekre és az alkalmazási körébe tartozó konkrét ágazatban előforduló problémákra, valamint kellően egyértelmű és hatékony megoldásokat kell nyújtania e területek és problémák kezelésére.

37. A kódex nem szorítkozhat az általános adatvédelmi rendelet puszta megismétlésére. Ehelyett annak kodifikálására kell törekednie, hogy az általános adatvédelmi rendelet hogyan alkalmazandó konkrét, gyakorlati és pontos módon. Az elfogadott normáknak és szabályoknak egyértelműnek, konkrétnak, teljesíthetőnek és végrehajthatónak (tesztelhetőnek) kell lenniük. Elfogadható módszer egy konkrét területre vonatkozó különálló szabályok meghatározása. A kódex ennek révén többletértéket jelenthet. Elősegítheti e követelmény teljesítését, ha egyedülálló és az iparágra jellemző terminológiát alkalmaznak, és konkrét esettanulmányokat vagy a bevált gyakorlatra vonatkozó konkrét példákat nyújtanak.

38. A jóváhagyott kódex népszerűsítésére irányuló tervek ismertetése, amelyek célja az egyének tájékoztatása annak létezéséről és tartalmáról, szintén elősegítheti az „általános adatvédelmi rendelet alkalmazásának konkretizálására” vonatkozó célkitűzés elérését. Alapvető fontosságú, hogy a kódexek képesek legyenek operatív jelentést kölcsönözni az általános adatvédelmi rendelet 5. cikkében megfogalmazott adatvédelmi elveknek. Ugyancsak lényeges, hogy a kódexek megfelelően figyelembe vegyék a Testület által közzétett vagy jóváhagyott, az adott ágazatra vagy adatkezelési tevékenységre vonatkozó releváns véleményeket és állásfoglalásokat. Például az adatkezelési tevékenységekkel kapcsolatos előírásokat tartalmazó kódexek megkönnyíthetik ezen adatkezelési tevékenységek megfelelő jogalapjának azonosítását azokban a tagállamokban, ahol alkalmazni kívánják őket.

6.4 Megfelelő biztosítékokat nyújt

39. A kódexnek továbbá meg kell felelnie a 40. cikk (5) bekezdésében foglalt követelményeknek. Jóváhagyásra csak annak megállapítását követően kerül sor, hogy a kódextervezet elegendő és megfelelő biztosítékot nyújt. A kódexek felelőseinek kielégítően bizonyítaniuk kell az illetékes felügyeleti hatóság számára, hogy a kódexük alkalmas és hatékony biztosítékokat tartalmaz az adatkezeléssel kapcsolatos kockázat enyhítése és az egyének jogainak és szabadságainak biztosítása céljából. A kódex felelőseinek feladata, hogy egyértelmű bizonyítékot szolgáltassanak, amelyek igazolják, hogy a kódexük megfelel ezeknek a követelményeknek.
Például a „magas kockázatú” adatkezelési tevékenységek, így nagy mennyiségű gyermekekre vonatkozó vagy egészségügyi adat kezelése, profilalkotás, vagy szisztematikus ellenőrzés esetén elvárható lenne, hogy a kódex szigorúbb követelményeket támasszon az adatkezelőkkel és adatfeldolgozókkal szemben, amelyek megfelelő szintű védelmet tükröznek. Ezenfelül a kódex felelősei az általános adatvédelmi rendelet (99) preambulumbekezdése szerinti, szélesebb körű konzultáció vehetnének igénybe az ilyen magas kockázatú területeken folytatott adatkezelésre kiterjedő kódex alátámasztása érdekében.

6.5 Hatékony felügyeletet lehetővé tévő mechanizmusok biztosítása

40. Az általános adatvédelmi rendelet 40. cikkének (4) bekezdése értelmében a kódex megfelelő mechanizmusok alkalmazását írja elő annak biztosítására, hogy megfelelően ellenőrzik az említett szabályok betartását, valamint hogy hatékony és érdemi végrehajtási intézkedéseket vezetnek be a maradéktalan megfelelés biztosítása érdekében. A kódexnek elsősorban azonosítania kell a hatékony ellenőrzést és a jogsértésekkel szembeni jogérvényesítést biztosító struktúrákat és eljárásokat, illetve javaslatot kell tennie ezekre. A kódex tervezetének emellett meg kell határoznia egy megfelelő szervezetet, amely rendelkezésére álló mechanizmusok révén képes biztosítani a kódex betartásának hatékony ellenőrzését. A mechanizmusok közé tartozhatnak a rendszeres ellenőrzési és jelentéstételi követelmények, a világos és átlátható panaszkezelési és vitarendezési eljárások, konkrét szankciók és jogorvoslatok a kódex megsértése esetén, valamint a rendelkezései megsértésének bejelentésére szolgáló eljárások.

41. Amennyiben a kódextervezet a közhatalmi szervektől és közfeladatot ellátó szervektől eltérő szervezetek által végzett adatkezelésre is kiterjed, kötelezően szerepelnie kell benne ellenőrző szervezetnek. Lényegében véve a kódexnek nem csupán az adott ágazati adatkezelési tevékenységre alkalmazandó szabályok tartalmát kell áttekintenie, hanem ki kell alakítania azokat az ellenőrzési mechanizmusokat is, amelyek biztosítják az említett szabályok hatékony alkalmazását. A kódextervezet sikeresen előirányozhat több különböző ellenőrzési mechanizmust, amennyiben különféle ellenőrző szervezeteknek kell hatékony felügyelet végezniük. Ugyanakkor a kódex megfelelő ellenőrzésének megvalósítási módjával kapcsolatosan javasolt valamennyi ellenőrzési mechanizmusnak egyértelműnek, alkalmasnak, megvalósíthatónak, hatékonynak és érvényesíthetőnek (tesztelhetőnek) kell lennie. A kódex felelőseinek meg kell azt indokolniuk, és be kell mutatniuk, hogy az ellenőrzésre vonatkozó javaslataik megfelelőek és operatív szempontból megvalósíthatóak.

7 BENYÚJTÁS, ELFOGADHATÓSÁG ÉS JÓVÁHAGYÁS (NEMZETI KÓDEX)

7.1 Benyújtás

42. A kódex felelőseinek elektronikus vagy írásos formában (nyomtatott változat) kell hivatalosan be nyújtaniuk a kódex tervezetét az illetékes felügyeleti hatóságnak. Az illetékes felügyeleti hatóság átvételi igazolást küld a kódex felelőseinek a benyújtásról, és a kódex tartalmának teljes körű értékelését megelőzően megvizsgálja, hogy a kódextervezet eleget tesz-e a fenti elfogadhatósági kritériumoknak.

7.2 A kódex elfogadhatósága

43. Ha a kódextervezetet azzal az indokkal nem fogadják el, hogy nem felel meg az elfogadhatósági kritériumoknak, az illetékes felügyeleti hatóság írásban válaszol a kódex felelőseinek, ismertetve határozatának indokait. Az eljárás ennek alapján lezárul, és a kódex felelőseinek új beadványt kell benyújtaniuk.

44. Ha a kódextervezet megfelel a fent meghatározott feltételeknek, az illetékes felügyeleti hatóságnak írásban meg kell erősítenie a kódex felelősei számára, hogy az eljárás következő szakaszába lép, és a nemzeti jog által biztosított vonatkozó eljárásoknak megfelelően értékeli a kódextervezet tartalmát.

7.3 Jóváhagyás

45. Ha a nemzeti jog nem ír elő konkrét ütemtervet, az illetékes felügyeleti hatóságnak észszerű határidőn belül véleményt kell kidolgoznia, és rendszeresen tájékoztatnia kell a tervezet felelőseit az eljárásról és az előrelátható ütemezésről. A véleménynek ismertetnie kell a határozatának indokát a fent körvonalazott jóváhagyási kritériumoknak megfelelően.

46. Ha az illetékes felügyeleti hatóság úgy határoz, hogy elutasítja a jóváhagyást, ezután az eljárás lezárul, és a kódex felelőseinek feladata lesz, hogy értékeljék a vélemény megállapításait, és ennek alapján átgondolják a kódextervezetet. A kódex felelőseinek későbbi szakaszban hivatalosan is újból be kell nyújtaniuk a kódextervezetet, ha emellett döntenek.

47. Ha az illetékes felügyeleti hatóság jóváhagyja a kódex tervezetét, nyilvántartásba kell vennie és közzé kell tennie a kódexet (a honlapján és/vagy más megfelelő kommunikációs módszerek segítségével). A 40. cikk (11) bekezdése azt is előírja a Testület számára, hogy valamennyi jóváhagyott kódexet tegyen nyilvánosan elérhetővé.

8 BENYÚJTÁS, ELFOGADHATÓSÁG ÉS JÓVÁHAGYÁS (TRANSZNACIONÁLIS KÓDEX)

8.1 Benyújtás

48. A kódex felelőseinek elektronikus vagy írásos formában hivatalosan be kell nyújtaniuk a kódex tervezetét az illetékes felügyeleti hatóságnak, amely a legfőbb hatóságként jár el a kódex jóváhagyása tekintetében. Az illetékes felügyeleti hatóság átvételi elismervényt küld a kódex felelőseinek a dokumentáció átvételéről, és a kódex tartalmának teljes körű értékelését megelőzően megvizsgálja, hogy a kódextervezet eleget tesz-e a fenti követelményeknek. Az illetékes felügyeleti hatóság haladéktalanul értesíti az összes többi felügyeleti hatóságot a kódex benyújtásáról, és megadja az azonosítást és a hivatkozást megkönnyítő legfontosabb adatokat. Minden felügyeleti hatóságnak meg kell erősítenie válaszlevelében, hogy az általános adatvédelmi rendelet 4. cikke 22. pontjának a) és b) alpontja szerinti érintett felügyeleti hatóság-e.

8.2 A kódex elfogadhatósága

49. Ha a kódex tervezetét nem fogadják el annak alapján, hogy az nem felel meg a fentiekben meghatározott elfogadhatósági kritériumoknak, az illetékes felügyeleti hatóság írásban fordul a kódex felelőseihez, ismertetve határozatának indokait. Az eljárás ennek alapján lezárul, és kódex felelőseinek új beadványt kellene benyújtaniuk.64 Az illetékes felügyeleti hatóság továbbá értesítést ad ki, amelyben tájékoztatja az összes érintett felügyeleti hatóságot az álláspontjáról.

50. Ha az elfogadhatósági kritériumok teljesítése alapján az illetékes felügyeleti hatóság elfogadja a kódextervezetet, az illetékes felügyeleti hatóságnak írásban meg kell erősítenie a kódex felelősei számára, hogy az eljárás következő szakaszába lép, és értékeli a kódextervezet tartalmát. Ezzel informális együttműködési eljárás kezdődik a jóváhagyandó kódex értékelése tekintetében.

8.3 Együttműködés

51. Az illetékes felügyeleti hatóság értesítést ad ki, amelyben tájékoztatja az összes érintett felügyeleti hatóságot az álláspontjáról, azonosítva az érintett felügyeleti hatóságokat, és kérést intéz hozzájuk, hogy önkéntes alapon legfeljebb két felülvizsgálatot végző társhatóság működjön közre a kódextervezet érdemi értékelésében. A felülvizsgálatot végző társhatóságok kijelölése jelentkezési sorrend alapján történik. A felülvizsgálatot végző társhatóságoknak az a szerepe, hogy segítséget nyújtsanak az illetékes felügyeleti hatóságnak a kódextervezet értékeléséhez. A felülvizsgáló társhatóságok kijelölésének megerősítését követően, a felülvizsgáló társhatósági szerepük megerősítéstől számított harminc napon belül be kell nyújtani a kódex tartalmára vonatkozó észrevételeiket. Az illetékes felügyeleti hatóság ezután figyelembe veszi az észrevételeket a jóváhagyásra irányuló értékelésének elvégzésekor. Az általános adatvédelmi rendelet 40. cikkének (7) bekezdése szerint az illetékes felügyeleti hatóság végső döntést hoz arról, hogy a határozattervezetet be kell-e nyújtani a Testületnek az általános adatvédelmi rendelet 63. és 64. cikkének megfelelően.

52. Az illetékes felügyeleti hatóságnak törekednie kell arra, hogy észszerű határidőn belül döntést hozzon, és a kódex felelőseit rendszeresen tájékoztassa az előrehaladásról és az előrelátható ütemezésről. Ismertetnie kell (a kódex elutasítására vagy jóváhagyására vonatkozó) döntése indokát a jóváhagyással kapcsolatos általános indokoknak megfelelően, és kellő időben közölnie kell döntését a kódex felelőseivel.

8.4 Elutasítás

53. Ha az illetékes felügyeleti hatóság úgy dönt, hogy elutasítja a kódextervezetnek a Testület elé terjesztését, az eljárás lezárul, és a kódex felelőseinek feladata, hogy elemezzék a határozat megállapításait, és átgondolják kódextervezetük felülvizsgálatát. A kódex felelőseinek továbbá későbbi szakaszban újból be kell nyújtaniuk jóváhagyásra a kódexet, ha emellett döntenek. Az illetékes felügyeleti hatóságnak emellett minden érintett felügyeleti hatóságot értesítenie kell álláspontjáról és a kódex jóváhagyásának elutasítására vonatkozó okokról.

8.5 A Testülethez történő benyújtás előkészítése

54. Ha az illetékes felügyeleti hatóságnak az a célja, hogy jóváhagyja a kódex tervezetét, az illetékes felügyeleti hatóság az Európai Adatvédelmi Testülethez történő benyújtást megelőzően megküldi jóváhagyás-tervezetét az összes érintett felügyeleti hatóságnak. Minden érintett felügyeleti hatóságnak 30 nap áll rendelkezésére a válaszadásra, és megvitatás céljából az Európai Adatvédelmi Testület érintett alcsoportja elé terjesztheti a jelentős kérdéseket. Ha az érintett felügyeleti hatóságok nem válaszolnak, a kódex az eljárás következő szakaszába lép.

8.6 A Testület

55. Ha az általános adatvédelmi rendelet 40. cikke (7) bekezdésének megfelelően az a döntés születik, hogy a Testület elé terjeszti az ügyet, az illetékes felügyeleti hatóság az egységességi mechanizmus keretében közli ezt a döntést valamennyi felügyeleti hatósággal. Az illetékes felügyeleti hatóság továbbá az eljárási szabályzatának és az általános adatvédelmi rendelet 40. cikke (7) bekezdésének megfelelően a Testület elé terjeszti az ügyet.

56. A 64. cikk értelmében a Testület véleményt bocsát ki az általános adatvédelmi rendelet 40. cikkének (7) bekezdésében felsorolt ügyekre vonatkozóan. A transznacionális kódexek jóváhagyásáról szóló határozat értékelésének elvégzése és közlése során a Testület eljárási szabályzata és az 64. cikk rendelkezései együttesen alkalmazandók a Testületre és az illetékes felügyeleti hatóságra.

8.7 Jóváhagyás

57. Az általános adatvédelmi rendelet 64. cikkének (5) bekezdése szerint a Testület véleményét közlik az illetékes felügyeleti hatósággal, és az illetékes felügyeleti hatóság dönt arról, hogy fenntartja vagy a 40. cikk (5) bekezdésének megfelelően módosítja a határozattervezetét. A 40. cikk (8) bekezdése szerint a Bizottsághoz is be lehet nyújtani a Testület véleményét, és a Testület a 40. cikk (11) bekezdésének megfelelően valamennyi jóváhagyott transznacionális kódexet egy nyilvántartásban állítja össze, és nyilvánosan elérhetővé teszi őket.

9 PÁRBESZÉD

58. Fontos megjegyezni, hogy az értékelési folyamat nem nyújthat lehetőséget arra, hogy a benyújtott kódex rendelkezéseivel kapcsolatban további konzultációt folytassanak az illetékes felügyeleti hatósággal. A 40. cikk (5) bekezdése értelmében az illetékes felügyeleti hatóság feladata, hogy véleményt bocsásson ki arról, hogy a kódextervezet összhangban van-e az általános adatvédelmi rendelettel.Ekként az illetékes felügyeleti hatóság és a kódex felelősei között az eljárás e szakaszában előirányzott kommunikáció elsősorban tisztázás céljára, valamint 40. és a 41. cikk szerinti értékelés elvégzésének elősegítésére szolgál. Feltételezhető, hogy a kódex felelősei adott esetben kapcsolatba lépnek a felügyeleti hatóságokkal, mielőtt benyújtják jóváhagyásra a kódtervezetüket. Az eljárás jóváhagyási szakaszában a kódex felelősei elvileg nem kérhetnek további konzultációt a kódextervezet konkrét rendelkezéseiről, és olyan bővebb értékelés sem megengedett, amelynek alapján folyamatosan módosításokat nyújthatnának be az illetékes felügyeleti hatósághoz. Feltétlenül szükséges továbbá, hogy a kódex felelősei készek legyenek megválaszolni a kódextervezetükkel kapcsolatos pontosításra irányuló kérdéseket, valamint hogy képesek legyenek ezt észszerű határidőn belül megtenni. Fontos, hogy a kódex felelősei felkészültek és kellően szervezettek legyenek ahhoz, hogy hatékonyan és eredményesen megválaszolják a kérdéseket. Ajánlatos, hogy egyedüli vagy célzott kapcsolattartó pontot biztosítsanak az illetékes felügyeleti hatóság számára. Az illetékes felügyeleti hatóság mérlegelési jogkörébe tartozik annak eldöntése, hogy szüksége van-e további információkra a kódextervezetre vonatkozó határozatának meghozatala előtt, és a felek közötti kommunikáció módjának meghatározását illetően is mérlegelési joggal rendelkezik. A folyamatosság érdekében az illetékes felügyeleti hatóság marad a fő kapcsolattartó a transznacionális kódexek teljes jóváhagyási folyamata során is.

10 A BIZOTTSÁG SZEREPE

59. A Bizottság végrehajtási jogi aktus útján határozhat arról, hogy egy jóváhagyott transznacionális kódex az Unió területén általános érvényességgel bír, és ebben az esetben biztosítja a megfelelő nyilvánosságot.

11 A KÓDEX ELLENŐRZÉSE

60. A (nemzeti vagy transznacionális) kódex jóváhagyásához a kódex részeként meg kell határozni az ellenőrző szervezetet (vagy szervezeteket), és az illetékes felügyeleti hatóságnak a kódex hatékony ellenőrzésére alkalmas szervezetként akkreditálnia kell azt. Az illetékes felügyeleti hatóság a Testület elé terjeszti az ellenőrző szervezetre vonatkozó akkreditációs követelményeinek tervezetét az általános adatvédelmi rendelet 63. cikkében meghatározott egységességi mechanizmus útján. Miután a Testület jóváhagyja a követelményeket, az illetékes felügyeleti hatóság alkalmazhatja azokat az ellenőrző szervezet akkreditálására.

61. Az általános adatvédelmi rendelet nem határozza meg az „akkreditálás” fogalmát. Az általános adatvédelmi rendelet 41. cikkének (2) bekezdése azonban körvonalazza az ellenőrző szervezet akkreditálásának általános követelményeit. Ahhoz, hogy az illetékes felügyeleti hatóság akkreditáljon egy ellenőrző szervezetet, számos követelménynek kell megfelelni. Az akkreditáció megszerzéséhez a kódex felelőseinek ki kell fejteniük és be kell mutatniuk, hogy a javasolt ellenőrző szervezetük miként tesz eleget a 41. cikk (2) bekezdésében foglalt követelményeknek.

62. Az általános adatvédelmi rendelet rugalmasságot biztosít a 41. cikk alapján akkreditálandó ellenőrző szervezet típusa és felépítése tekintetében. A kódex felelősei úgy dönthetnek, hogy külső vagy belső ellenőrző szervezetet alkalmaznak, amennyiben az érintett szervezet mindkét esetben megfelel a 41. cikk (2) bekezdésében szereplő akkreditációs követelményeknek, vagyis az alább felsorolt nyolc követelménynek.

12 AZ ELLENŐRZŐ SZERVEZETKRE VONATKOZÓ AKKREDITÁCIÓS KÖVETELMÉNYEK

12.1 Függetlenség

63. A kódex felelőseinek igazolniuk kell, hogy az érintett szervezet megfelelően független abban a
tekintetben, hogy a kódex tagjaitól és a kódex hatálya alá tartozó szakmától, iparágtól vagy ágazattól függetlenül működik. A függetlenség számos területen bizonyítható, így az ellenőrző szervezet finanszírozása, a tagok/személyzet kinevezése, a döntéshozatali eljárás, valamint általánosabban a szervezeti felépítés tekintetében. Ezeket az alábbiakban részletesebben kifejtjük.

64. A kódexek felelősei két fő ellenőrzési modellt alkalmazhatnak az ellenőrző szervezetre vonatkozó követelmények teljesítéséhez: ezek a külső és a belső ellenőrző szervezet. Az ellenőrzési megközelítések e két típusa keretében rugalmasságra van szükség, és a kódex hátterére tekintettel különféle olyan változatokat lehet előirányozni, amelyek megfelelőek lehetnek. A belső ellenőrzési szervezetekre példa lehet egy eseti belső bizottság vagy egy különálló, független szervezeti egység a kódex felelősének keretén belül. A kódex felelőseinek feladata, hogy megvilágítsák a pártatlanságukkal és függetlenségükkel kapcsolatos kockázatkezelési megközelítést.

65. Például ha belső ellenőrző szervezet létrehozását javasolják, annak a szervezet más területeitől elkülönülő személyzettel és irányítással, elszámoltathatósággal és működéssel kell rendelkeznie. Ez sokféleképpen megvalósítható, például hatékony szervezeti és információs korlátok és különálló jelentéstételi irányítási struktúrák alkalmazásával az egyesület és az ellenőrző szervezet esetében. Az adatvédelmi tisztviselőhöz hasonlóan az ellenőrző szervezetnek is képesnek kell lennie arra, hogy utasítások nélkül járjon el, és védelmet kell élveznie bármely szankcióval vagy (közvetlen vagy közvetett) beavatkozással szemben, amely a feladatai teljesítése következtében érheti.

66. A függetlenség követelménye szükségessé teheti, hogy a magatartási kódex elkészítésében részt vevő külső tanácsadónak vagy külső félnek igazolnia kelljen, hogy megfelelő biztosítékok állnak rendelkezésre a függetlenséget veszélyeztető vagy az összeférhetetlenséggel kapcsolatos kockázat megfelelő mérsékléséhez. Az ellenőrző szervezetnek bizonyítékokkal kellene alátámasztania, hogy a rendelkezésre álló mechanizmusok megfelelőek az említett kockázatok kielégítő azonosításához és csökkentéséhez. Az ellenőrző szervezetnek folyamatosan fel kell tárnia a pártatlanságát érintő kockázatokat, amelyek például a tevékenységeiből vagy kapcsolatrendszeréből származnak. A pártatlanságot érintő kockázat azonosítása esetén az ellenőrző szervezetnek be kell mutatnia, hogy miként szünteti meg vagy csökkenti minimálisra ezt a kockázatot, valamint azt, hogy megfelelő mechanizmust alkalmaz a pártatlanság megoltalmazására.

67. A költségvetési és más forrásokból való gazdálkodás teljes körű önállóságának bemutatásával szintén igazolni lehet a függetlenséget, különösen azokban az esetekben, ha belső ellenőrző szervezetről van szó. Az ellenőrző szervezetnek képesnek kell lennie arra is, hogy függetlenül hozza meg döntéseit és alkalmazzon szankciókat a magatartási kódexhez csatlakozó adatkezelővel vagy adatfeldolgozóval szemben. Lényegében véve a szervezetnek a kódex felelőseitől és a kódex hatálya alá tartozó tagoktól függetlenül kell eljárnia feladatainak ellátása és hatásköreinek gyakorlása során, akár külső, akár belső szervezetről van szó.

12.2 Összeférhetetlenség

68. Igazolni kell, hogy az ellenőrző szervezet feladatainak és kötelezettségeinek gyakorlása nem vezet összeférhetetlenséghez. Ennek keretében a kódex felelőseinek bizonyítaniuk kell, hogy a javasolt ellenőrző szervezet tartózkodni fog minden olyan tevékenységtől, amely nem egyeztethető össze a feladataival és kötelezettségeivel, valamint, hogy biztosítékokat alakítottak ki annak szavatolására, hogy a szervezet nem folytat majd összeférhetetlen tevékenységet. Az ellenőrző szervezetnek hasonlóképpen mentesnek kell lennie az– akár közvetlen, akár közvetett – külső befolyástól, valamint semmilyen személytől, szervezettől vagy társulástól sem kérhet vagy fogadhat el utasítást. A szervezetnek saját személyzettel kell rendelkeznie, amelyet maga a szervezet vagy a magatartási kódex alapján működő másik független szervezet választ ki, és amely csupán az említett szervezetek kizárólagos irányítása alá tartozhat. Belső ellenőrző szervezet esetében védelmet kell élveznie a magatartási kódex felelőse, más releváns szervezetek vagy a magatartási kódex tagjai által alkalmazott bármely szankciótól vagy (közvetlen vagy közvetett) beavatkozástól, amely a feladatai teljesítése következtében érheti.

12.3 Szakértelem

69. A kódex felelőseinek képesnek kell lenniük annak igazolására, hogy az ellenőrző szervezet rendelkezik a szerepének hatékony ellátásához szükséges szakértelemmel. Ennek megfelelően a beadványnak részletesen ismertetnie kell a szervezetnek az adatvédelmi joggal, valamint a konkrét ágazattal vagy adatkezelési tevékenységgel kapcsolatos szakismeretét és tapasztalatait. Elősegítheti e követelmény teljesítését, ha például egy adott ágazatban ellenőri minőségben eljárva szerzett korábbi tapasztalatokat tud felmutatni. Előnyt jelent továbbá az adatvédelmi kérdések alapos ismerete, valamint a magatartási kódex tárgyát képező konkrét adatkezelési tevékenységekkel kapcsolatos szaktudás. A javasolt ellenőrző szervezet személyzetének emellett megfelelő operatív tapasztalattal és képzettsggel kell rendelkezni ahhoz, hogy nyomon kövesse a szabályok betartását például a könyvvizsgálati,ellenőrzési vagy minőségbiztosítási tevékenységek területén.

12.4 Bevált eljárások és struktúrák

70. Az ellenőrző szervezetnek megfelelő irányítási struktúrával és eljárásokkal kell rendelkeznie, amelyek lehetővé teszik az alábbiak megfelelő ellátását:

• annak értékelése, hogy az adatkezelők és -feldolgozók jogosultak-e a magatartási kódex alkalmazására;
• annak ellenőrzése, hogy betartják-e a kódex rendelkezéseit; valamint
• a kódex működésének felülvizsgálata.

71. Átfogó ellenőrzési eljárásokat kell kidolgozni, amelyek megfelelően értékelik az adatkezelők és az adatfeldolgozók jogosultságát a kódexhez való csatlakozásra, és annak betartására. Gondoskodnia kell arról is, hogy az adatkezelők és -feldolgozók képesek megfelelni a magatartási kódex rendelkezéseinek.

72. Szükség van olyan eljárásokra és struktúrákra, amelyek a magatartási kódex tagok általi betartásának aktív és hatékony ellenőrzésére irányulnak. Ez megvalósítható véletlenszerű vagy előre be nem jelentett ellenőrzések, éves ellenőrzések, rendszeres jelentéstétel és kérdőívek használata révén. Az ellenőrzési eljárások sokféleképpen kialakíthatók, feltéve, hogy figyelembe veszik az olyan tényezőket, mint a magatartási kódex hatálya alá tartozó adatkezelés kockázatai, a beérkezett panaszok vagy konkrét adatvédelmi incidensek, továbbá a magatartási kódex tagjainak száma stb. Mérlegelni lehetne az ellenőrzési jelentések, valamint a kódex hatálya alá tartozó adatkezelők és adatfeldolgozók rendszeres jelentéseiben foglalt megállapítások közzétételét.

73. A kódex felelőseinek azt is igazolniuk kell, hogy a javasolt ellenőrző szervezet megfelelő forrásokkal és személyzettel rendelkezik ahhoz, hogy megfelelően ellássa feladatait. A forrásoknak arányosaknak kell lenniük a magatartási kódexhez várhatóan csatlakozók számával és méretével, valamint az érintett adatkezelés összetettségével vagy kockázatosságának mértékével.

12.5 Átlátható panaszkezelés

74. Az ellenőrző szervezetnek hatékony eljárásokat és struktúrákat kell kialakítania, amelyek pártatlan és átlátható módon képesek kezelni a panaszokat. Ennek során nyilvánosan hozzáférhető panaszkezelési eljárást kell létrehoznia, amely elegendő forrással rendelkezik a panaszok kezeléséhez és annak biztosításához, hogy szervezet határozatai nyilvánosan hozzáférhetők legyenek.

A panaszkezelési eljárás meglétének bizonyítékául szolgálhat például a panaszok átvételére, értékelésére, nyomon követésére, regisztrálására és megoldására szolgáló eljárás ismertetése. Ezt ismertetni lehetne a magatartási kódexre vonatkozó, nyilvánosan elérhető útmutatóban, hogy a panaszosok megérthessék és követni tudják a panasztételi eljárást. Ezen túlmenően az ellenőrző szervezeten belüli különálló operatív személyzet és irányítási funkciók elősegíthetnék a szóban forgó eljárás függetlenségét.

75. Az ellenőrző szervezeteknek hatékony eljárásokkal is rendelkezniük kell annak biztosításához is, hogy az adatkezelők vagy adatfeldolgozók betartsák a magatartási kódexet. Például feljogosítanák az ellenőrző szervezetet az adatkezelőnek vagy adatfeldolgozónak a kódexből való felfüggesztésére vagy kizárására, amennyiben az tevékenysége során megsérti a magatartási kódex feltételeit (korrekciós intézkedések alkalmazása).

76. Ha a magatartási kódex egy tagja megsérti a kódex szabályait, az ellenőrző szervezet köteles azonnal meghozni a megfelelő intézkedéseket. A megfelelő korrekciós intézkedések célja a jogsértés megszüntetése, és ismételt elkövetésének megelőzése. A szóban forgó korrekciós intézkedések és szankciók köre olyan intézkedéseket foglalhatna magába, amelyek figyelmeztetés kiadásától, a tagok testületének szóló bejelentéstől meghatározott határidőn belül konkrét intézkedések végrehajtását előíró hivatalos felszólítástól, valamint a korrekciós intézkedések meghozataláig a tagoknak a magatartási kódextől történő ideiglenes felfüggesztésétől e tagoknak a kódexből való végleges kizárásáig terjednek. Az ellenőrző szervezet nyilvánosságra hozhatná ezeket az intézkedéseket, különösen a kódex súlyos megsértése esetén.

77. Az ellenőrző szervezetnek képesnek kell lennie arra, hogy szükség esetén indokolatlan késedelem nélkül tájékoztassa a kódex tagjait, az illetékes felügyeleti hatóságot és valamennyi érintett felügyeleti hatóságot a megtett intézkedésekről és azok indokolásáról. Továbbá abban az esetben, ha egy transznacionális kódex valamely tagja esetében azonosítani lehet a vezető felügyeleti hatóságot, az ellenőrző szervezetnek megfelelően tájékoztatnia kell a vezető felügyeleti hatóságot az intézkedéseiről.

12.6 Az illetékes felügyeleti hatósággal folytatott kommunikáció

78. Az ellenőrzési szervezet javasolt keretének lehetővé kell tennie az ellenőrző szervezet által a kódexszel kapcsolatosan végrehajtott intézkedések hatékony közlését az illetékes felügyeleti hatósággal és más felügyeleti hatóságokkal. Ez kiterjedhet a kódex valamely tag általi megsértése esetén hozott intézkedésekre vonatkozó határozatok, a magatartási kódexről szóló rendszeres jelentések, vagy a kódex felülvizsgálatával vagy ellenőrzésével kapcsolatos ténymegállapítások benyújtására.

79. Ezenfelül gondoskodni kell arról, hogy a felügyeleti hatóság szerepe ne sérüljön és ne szenvedjen hátrányt. Például ellentétes lenne az általános adatvédelmi rendelet 41. cikkének (5) bekezdésével egy olyan kódex, amely azt irányozná elő, hogy tagjai az illetékes felügyeleti hatóság értesítése vagy egyetértése nélkül egyoldalúan jóváhagyhatják, visszavonhatják vagy felfüggeszthetik az ellenőrző szervezetet.

12.7 Felülvizsgálati mechanizmusok

80. A kódexnek megfelelő felülvizsgálati mechanizmusokat kell meghatároznia annak biztosítására, hogy a kódex változatlanul releváns maradjon, és továbbra is hozzájáruljon az általános adatvédelmi rendelet megfelelő alkalmazásához. Felülvizsgálati mechanizmusokat kell bevezetni a jogszabály alkalmazása és értelmezése tekintetében bekövetkezett változásokhoz vagy olyan új technológiai fejleményekhez való alkalmazkodás érdekében is, amelyek hatással lehetnek a kódex tagjai által végzett adatkezelésre vagy a kódex rendelkezéseire.
12.8 Jogállás

81. A javasolt (akár belső, akár külső) ellenőrző szervezetet és a kapcsolódó irányítási struktúrákat úgy kell kialakítani, hogy a kódex felelősei bizonyítani tudják, hogy az ellenőrző szervezet megfelelő jogállással rendelkezik a 41. cikk (4) bekezdése szerint feladatának ellátásához, és megbírságolható az általános adatvédelmi rendelet 83. cikke (4) bekezdésének c) pontja szerint.

13 JÓVÁHAGYOTT MAGATARTÁSI KÓDEXEK

82. A kódex jellege és tartalma egyértelműen meghatározza a releváns érdekelt felek szerepét annak biztosítása terén, hogy a kódex megfeleljen az általános adatvédelmi rendeletnek. Az illetékes felügyeleti hatóságnak azonban továbbra is szerepet kell kapnia annak biztosításában, hogy a kódex változatlanul a célnak megfelelő legyen.

83. Az illetékes felügyeleti hatóság ezért szorosan együttműködik az ellenőrző szervezettel a kódexből eredő jelentéstételi követelmények tekintetében. Az ellenőrző szervezet vezető kapcsolattartóként és koordinátorként jár el a kódexszel kapcsolatban esetlegesen felmerülő bármely kérdés tekintetében.

84. Az illetékes felügyeleti hatóságnak a kódex bármely további módosítását vagy bővítését is jóvá kell hagynia és valamennyi új ellenőrző szervezetet akkreditálnia kell. Az általános adatvédelmi rendelet 40. cikkének (5) bekezdése szerint a meglévő kódex bármely módosítását vagy bővítését szintén be kell nyújtani az illetékes felügyeleti hatóságnak az e dokumentumban felvázolt eljárásokkal összhangban.

14 AZ ELLENŐRZŐ SZERVEZET AKKREDITÁCIÓJÁNAK VISSZAVONÁSA

85. Az illetékes felügyeleti hatóság hatásköre kiterjed arra is, hogy a 41. cikk (5) bekezdése alapján visszavonja az ellenőrző szervezet akkreditációját, ha az ellenőrző szervezet már nem felel meg az általános adatvédelmi rendelet alkalmazandó rendelkezéseinek. Fontos, hogy a kódex felelősei megfelelő rendelkezéseket állapítsanak meg az akkreditáció visszavonása esetének kezelésére.

86. Ugyanakkor amennyiben a kódex egyetlen ellenőrző szervezetének akkreditációja kerül visszavonásra, az az érintett kódex felfüggesztését vagy végleges visszavonását eredményezheti, mivel megszűnik a szabályok betartásának előírt ellenőrzése. Ez hátrányosan érintheti a kódex tagjainak jó hírét vagy üzleti érdekeit, és ennek következtében csökkenhet az adatalanyok vagy más érintettek bizalma.

87. Ha a körülmények megengedik, csak azt követően kerülhet sor visszavonásra, hogy az illetékes felügyeleti hatóság lehetőséget biztosított az ellenőrző szervezet számára arra, hogy sürgősen foglalkozzon a kérdésekkel vagy adott esetben közösen elfogadott határidőn belül javításokat eszközöljön. Transznacionális kódexeket érintő esetekben az illetékes felügyeleti hatóságnak kapcsolatba kell lépnie az ügyben érintett felügyeleti hatóságokkal, mielőtt hozzájárulna, hogy meghatározza azon paramétereket, amelyek szerint az ellenőrző szervezetnek foglalkoznia kell a felmerült kérdésekkel. Az ellenőrző szervezet akkreditációjának visszavonására vonatkozó döntést közölni kell minden érintett felügyeleti hatósággal és a Testülettel (a 40. cikk (11) bekezdésének alkalmazásában).

15 MAGATARTÁSI KÓDEXEK A KÖZSZEKTORBAN

88. Az általános adatvédelmi rendelet 41. cikkének (6) bekezdése úgy rendelkezik, hogy a jóváhagyott kódexek ellenőrzése nem alkalmazandó a közhatalmi szervek és közfeladatot ellátó szervek által végzett adatkezelésre. E rendelkezés lényegében megszünteti azt a követelményt, hogy akkreditált szervezetnek kell ellenőriznie a kódexet. Ez a kivétel semmilyen módon nem gyengíti azt a követelményt, hogy a kódex ellenőrzésére irányuló hatékony mechanizmusokat kell kialakítani. Ezt a meglévő ellenőrzési követelmények kiigazításával lehetne elérni, hogy azok kiterjedjenek a kódex ellenőrzésére.

Az Európai Adatvédelmi Testület részéről
az Elnök (Andrea Jelinek)

1. FÜGGELÉK – A NEMZETI ÉS A TRANSZNACIONÁLIS KÓDEXEK KÖZÖTTI KÜLÖNBSÉGTÉTEL

A transznacionális kódex olyan kódex, amely több tagállamon belüli adatkezelési tevékenységekre vonatkozik. Így előfordulhat, hogy a transznacionális kódex számos tagállamban működő sokféle adatkezelő vagy adatfeldolgozó által végzett adatkezelési tevékenységre vonatkozik anélkül, hogy e tevékenységeket „személyes adatok határokon átnyúló kezelésnek” kellene tekinteni az általános adatvédelmi rendelet 4. cikkének 23. pontjában szereplő fogalommeghatározásnak megfelelően.

Ezért ha egy tagállam valamely nemzeti egyesülete által elfogadott magatartási kódex több tagállamban működő tagjai által végzett adatkezelési tevékenységekre terjed ki, akkor transznacionális magatartási kódexnek minősül.

Ha pedig egy nemzeti szinten jóváhagyott kódexszel rendelkező egyesülethez olyan nemzetközi tag csatlakozik, amely határokon átnyúló adatkezelést végez, ez a tag a jóváhagyott kódex által nyújtott előnyt csak a magatartási kódexet jóváhagyó tagállamban végzett adatkezelés tekintetében igényelheti. A kódex tényleges területi hatályával kapcsolatos megfelelő átláthatóság szavatolására mechanizmusokat kellene kialakítani.

2. FÜGGELÉK – AZ ILLETÉKES FELÜGYELETI HATÓSÁG MEGVÁLASZTÁSA

A kódex felelősei transznacionális kódextervezetük jóváhagyásának igénylése céljából megválaszthatják az illetékes felügyeleti hatóságot. Az általános adatvédelmi rendelet nem határoz meg konkrét szabályokat a kódex tervezetének értékelésére leginkább megfelelő illetékes felügyeleti hatóság meghatározása tekintetében. Mindazonáltal többek között az alábbi néhány tényezőt lehet figyelembe venni annak érdekében, hogy segítséget nyújtsanak a kódex felelősei számára a kódexük értékelése céljából a legmegfelelőbb illetékes felügyeleti hatóság megválasztásához:

• Az a hely, ahol az adatkezelési tevékenység vagy ágazat a legjelentősebb;
• Az a hely, ahol az adatkezelési tevékenység vagy ágazat által érintett adatalanyok előfordulása legnagyobb;
• A kódexfelelős székhelyének helye;
• A javasolt ellenőrző szervezet székhelyének helye; vagy
• A felügyeleti hatóság konkrét területen kidolgozott kezdeményezései;

Bár ezek a tényezők nem előíró jellegű kritériumok, az illetékes felügyeleti hatóság megválasztása fontos döntés, amelyet körültekintően mérlegelni kell. Az illetékes felügyeleti hatóság szerepe többek között az alábbiakra terjed ki: a jóváhagyási eljárás során egyedüli kapcsolattartó pontként jár el a kódex felelőseivel szemben, irányítja a kérelmezési eljárást annak együttműködési szakaszában, akkreditálja az ellenőrző szervezetet (adott esetben), valamint a felügyelet irányítójaként jár annak biztosítása érdekében, hogy a jóváhagyott kódexet hatékonyan ellenőrizzék.

3. FÜGGELÉK – BENYÚJTÁSI ELLENŐRZŐLISTA

A kódextervezetnek az illetékes felügyeleti hatóság számára történő benyújtását megelőzően fontos gondoskodni arról, hogy (adott esetben) az alábbiak benyújtása/feltüntetése megtörtént és megfelelően szerepelnek a dokumentációban:

1. Benyújtották-e az indokolást és valamennyi releváns támogató dokumentumot? (20. pont)
2. Az Önök szervezete az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesület vagy más szervezet-e? (21. pont)
3. Benyújtottak-e részletes adatokat annak alátámasztására, hogy az Önök szervezete olyan hatékony képviseleti szervezet, amely képes felmérni tagjainak igényeit? (22. pont)
4. Egyértelműen meghatározták-e azt az adatkezelési tevékenységet vagy ágazatot, és azokat az adatkezelési problémákat, amelyekkel a kódex foglalkozni kíván? (23. pont)
5. Meghatározták-e kódexük területi hatályát, és feltüntették-e valamennyi érintett felügyeleti hatóság listáját (adott esetben)? (24. pont)
6. Szolgáltattak-e részletes adatokat az illetékes felügyeleti hatóság meghatározásának indokolására? (25. pont)
7. Feltüntettek-e olyan mechanizmusokat, amelyek lehetővé teszik a magatartási kódex betartásának hatékony ellenőrzését? (26. pont)
8. Meghatározták- az ellenőrző szervezetet, és kifejtették-e, hogy az hogyan fogja teljesíteni a
magatartási kódex ellenőrzésére vonatkozó követelményeket? (27. pont)
9. Megadták-e a magatartási kódex kidolgozása során folytatott konzultáció mértékére vonatkozó információkat? (28. pont)
10. Megerősítették-e, hogy a kódextervezet megfelel (adott esetben) a tagállami jognak, jogoknak? (29. pont)
11. Teljesítették-e a nyelvi követelményeket? (30. pont)

A beadvány tartalmaz-e kellően részletes adatokat az általános adatvédelmi rendelet megfelelő
alkalmazásának igazolására? (32–41. pont)