36 cikk

(1)

Ha a 35 cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

(2)

Ha a felügyeleti hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58 cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.

(3)

Az adatkezelő a felügyeleti hatósággal folytatott, (1) bekezdés szerinti konzultáció során a felügyeleti hatóságot tájékoztatja:

a)

adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;

b)

a tervezett adatkezelés céljairól és módjairól;

c)

az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;

d)

adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;

e)

a 35 cikk szerinti adatvédelmi hatásvizsgálatról; és

f)

a felügyeleti hatóság által kért minden egyéb információról.

(4)

A tagállamok konzultálnak a felügyeleti hatósággal minden, a személyes adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.

(5)

Az (1) bekezdéstől eltérve a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti hatósággal, és szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.