GDPR | 2. cikk

Tárgyi hatály

(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

a) az uniós jog hatályán kívül eső tevékenységek során végzik;

b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;

c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;

d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

(3) A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére a 45/2001/EK rendeletet kell alkalmazni. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat a 98. cikkel összhangban hozzá kell igazítani az e rendeletben foglalt elvekhez és szabályokhoz.

(4) E rendelet nem érinti a 2000/31/EK irányelv alkalmazását, különösen az irányelv 12–15. cikkében foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat.

(14) A természetes személyeket a személyes adataik kezelésével kapcsolatban e rendelet alapján nyújtott védelem állampolgárságuktól és lakóhelyüktől függetlenül megilleti. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

(15) A komoly szabály-kerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. A természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.

(16) E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek. Nem tartozik e rendelet hatálya alá a tagállamok által olyan tevékenységek keretében végzett személyes adatok kezelése sem, amelyeket a tagállamok az Unió közös kül- és biztonságpolitikájával összefüggésben végeznek.

(17) A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére a 45/2001/EK európai parlamenti és tanácsi rendelet (6) vonatkozik. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat az e rendeletben foglalt elvekhez és szabályokhoz hozzá kell igazítani, és e rendelet fényében kell alkalmazni. Annak érdekében, hogy az Unióban szigorú és koherens adatvédelmi keret jöjjön létre és annak érdekében, hogy e két jogszabály alkalmazása egy időben kezdődhessen meg, e rendelet elfogadását a 45/2001/EK rendelet szükséges kiigazítása követi.

(18) Ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon törté ő kapcsolattartás és online tevékenységek. E rendeletet kell alkalmazni azonban azokra az adatkezelőkre és adatfeldolgozókra, akik a személyes adatok ilyen személyes vagy otthoni tevékenység keretében végzett kezeléséhez az eszközöket biztosítják.

(19) A személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett kezelése vonatkozásában a természetes személyek védelme, valamint az ilyen adatok szabad áramlása külön uniós jogi aktus tárgyát képezi. E rendelet ezért az e célok érdekében végzett adatkezelési tevékenységekre nem alkalmazandó. Ugyanakkor a közhatalmi szervek e rendelet alapján végzett személyes adatkezelését, ha az adatokat a fenti célok érdekében használják fel, a kifejezetten erre vonatkozó külön uniós jogi aktusnak, az (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (7) kell szabályoznia. A tagállamok az (EU) 2016/680 irányelv szerinti illetékes hatóságokat megbízhatják olyan egyéb feladatokkal is, amelyeknek ellátása nem feltétlenül a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, illetve nem a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából történik, ebben az esetben a személyes adatoknak az említett egyéb célokból történő, egyébiránt az uniós jog hatálya alá tartozó kezelése e rendelet hatálya alá tartozik. Az említett illetékes hatóságok által az e rendelet hatálya alá tartozó célokból végzett személyesadat-kezelésre vonatkozóan a tagállamok számára lehetővé kell tenni, hogy konkrétabb rendelkezéseket tartsanak fenn vagy vezessenek be annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását. Ezekben a rendelkezésekben a tagállamok – alkotmányos, szervezeti és közigazgatási szerkezetüket figyelembe véve – pontosabban meghatározhatják az említett illetékes hatóságok által az említett egyéb célokból végzett személyesadat-kezelésre vonatkozó egyedi követelményeket. Azokban az esetekben, amikor a személyes adatok magánfél szervezetek általi kezelése e rendelet hatálya alá esik, e rendelet keretében lehetőséget kell biztosítani a tagállamok számára, hogy – bizonyos különös feltételek mellett – egyes jogokra és kötelezettségekre vonatkozóan jogi korlátozást alkalmazzanak, feltéve hogy e korlátozás egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül bizonyos fontos érdekek védelme – így például a közbiztonság, valamint a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését – érdekében. Ennek például a pénzmosás elleni küzdelem és a bűnügyi szakértői laboratóriumok vonatkozásában van jelentősége.

(20) Bár ezt a rendeletet a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell, az uniós, illetve a tagállami jog a személyes adatok kezelésével összefüggésben a bíróságok és más igazságügyi hatóságok által végzett kezelési műveleteket és eljárásokat pontosabban meghatározhatja. Annak érdekében, hogy az igazságszolgáltatási feladataik ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a bírói kar függetlensége, a felügyeleti hatóságok hatásköre nem terjedhet ki a személyes adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek. Lehetővé kell tenni, hogy az ilyen adatkezelési műveletek felügyeletével a tagállamok igazságügyi rendszerén belül olyan szakosodott szerveket bízzanak meg, amelyek elsősorban biztosítják az e rendeletben foglalt szabályoknak való megfelelést, növelik a bírói kar tudatosságát az e rendelet szerinti kötelezettségeik tekintetében és kezelik az említett adatkezelési tevékenységgel kapcsolatos panaszokat.

(21) Ez a rendelet nem érinti a 2000/31/EK európai parlamenti és tanácsi irányelv (8), és különösen az irányelv 12–15. cikkei szerinti, a közvetítő szolgáltatók felelősségére vonatkozó szabályok alkalmazását. Az említett irányelv a belső piac megfelelő működéséhez azzal járul hozzá, hogy biztosítja az információs társadalommal összefüggő szolgáltatások tagállamok közötti szabad mozgását.

(27) Ezt a rendelet nem kell alkalmazni az elhunyt személyekkel kapcsolatos személyes adatokra. A tagállamok számára lehetővé kell tenni, hogy az elhunyt személyek személyes adatainak kezelését szabályozzák.