52012PC0011

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων) /* COM/2012/011 final - 2012/0011 (COD) */


ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ

1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ

Η παρούσα αιτιολογική έκθεση παρουσιάζει αναλυτικότερα το προτεινόμενο νέο νομικό πλαίσιο περί της προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, το οποίο περιγράφεται στην ανακοίνωση COM (2012) 9 τελικό[1]. Το προτεινόμενο νέο νομικό πλαίσιο αποτελείται από δύο νομοθετικές προτάσεις:

– μια πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων), και

– μια πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών[2].

Η παρούσα αιτιολογική έκθεση αφορά τη νομοθετική πρόταση για έναν γενικό κανονισμό για την προστασία δεδομένων.

Η βασική πράξη της ισχύουσας νομοθεσίας της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα, η οδηγία 95/46/ΕΚ[3], εκδόθηκε το 1995 με γνώμονα δύο στόχους: την προστασία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και τη διασφάλιση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών. Συμπληρώθηκε από την απόφαση-πλαίσιο 2008/977/ΔΕΥ ως γενική πράξη σε επίπεδο Ένωσης για την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της αστυνομικής και της δικαστικής συνεργασίας σε ποινικές υποθέσεις[4].

Οι ραγδαίες τεχνολογικές εξελίξεις δημιουργούν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της ανταλλαγής και της συλλογής δεδομένων έχει αυξηθεί σε μεγάλο βαθμό. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτόγνωρο βαθμό για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα καθιστούν ολοένα και περισσότερο δημόσια διαθέσιμες προσωπικές πληροφορίες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή.

Η οικοδόμηση εμπιστοσύνης στο επιγραμμικό περιβάλλον είναι καθοριστικής σημασίας για την οικονομική ανάπτυξη. Η έλλειψη εμπιστοσύνης κάνει τους καταναλωτές να διστάζουν να αγοράσουν επιγραμμικά και να υιοθετήσουν νέες υπηρεσίες. Αυτό απειλεί να επιβραδύνει την ανάπτυξη καινοτόμων χρήσεων των νέων τεχνολογιών. Επομένως, η προστασία των δεδομένων προσωπικού χαρακτήρα κατέχει κεντρική θέση στο ψηφιακό θεματολόγιο για την Ευρώπη[5], και γενικότερα στη στρατηγική «Ευρώπη 2020»[6].

Το άρθρο 16 παράγραφος 1 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), όπως θεσπίσθηκε από τη συνθήκη της Λισαβόνας, καθιερώνει την αρχή ότι κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επιπλέον, με το άρθρο 16 παράγραφος 2 ΣΛΕΕ, η συνθήκη της Λισαβόνας καθορίζει ειδική νομική βάση για τη θέσπιση κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ κατοχυρώνει την προστασία των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα.

Το Ευρωπαϊκό Συμβούλιο κάλεσε την Επιτροπή να αξιολογήσει τη λειτουργία των πράξεων της ΕΕ για την προστασία των δεδομένων και να παρουσιάσει, εφόσον απαιτείται, περαιτέρω νομοθετικές και μη νομοθετικές πρωτοβουλίες[7]. Στο ψήφισμά του σχετικά με το Πρόγραμμα της Στοκχόλμης, το Ευρωπαϊκό Κοινοβούλιο[8] εξέφρασε την ικανοποίησή του για τη δημιουργία ολοκληρωμένου σχεδίου προστασίας των δεδομένων στην ΕΕ και ζήτησε, μεταξύ άλλων, την αναθεώρηση της απόφασης-πλαισίου. Η Επιτροπή τόνισε στο σχέδιο δράσης της για την εφαρμογή του Προγράμματος της Στοκχόλμης[9] την αναγκαιότητα να διασφαλίζεται ότι το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται με συνεκτικότητα στο πλαίσιο όλων των πολιτικών της ΕΕ.

Στην ανακοίνωσή της με τίτλο «Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση»[10], η Επιτροπή κατέληξε στο συμπέρασμα ότι η ΕΕ χρειάζεται μια συνολικότερη και συνεκτικότερη πολιτική σχετικά με το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.

Το ισχύον πλαίσιο παραμένει προσφυές όσον αφορά τους στόχους και τις αρχές του, αλλά δεν κατάφερε να αποτρέψει τον κατακερματισμό του τρόπου εφαρμογής της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, την ανασφάλεια δικαίου και μια διαδεδομένη αντίληψη του κοινού ότι υπάρχουν σημαντικοί κίνδυνοι, οι οποίοι σχετίζονται ειδικότερα με την επιγραμμική δραστηριότητα[11]. Για τον λόγο αυτό, πρέπει να οικοδομηθεί ένα ισχυρότερο και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην ΕΕ, υποστηριζόμενο από ισχυρή επιβολή του νόμου, η οποία θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί σε ολόκληρη την εσωτερική αγορά, θα επιτρέψει στα φυσικά πρόσωπα να ασκούν έλεγχο επί των δεδομένων που τους αφορούν και θα ενισχύσει τη νομική και την πρακτική ασφάλεια για τους οικονομικούς παράγοντες και τις δημόσιες αρχές.

2. ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ

Η παρούσα πρωτοβουλία είναι αποτέλεσμα εκτενών διαβουλεύσεων με όλους τους σημαντικούς ενδιαφερόμενους φορείς σχετικά με την αναθεώρηση του ισχύοντος νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες διήρκησαν περισσότερο από δύο έτη και περιελάμβαναν μία διάσκεψη υψηλού επιπέδου τον Μάιο του 2009[12] και δύο φάσεις δημόσιας διαβούλευσης:

– Από τις 9 Ιουλίου έως την 31η Δεκεμβρίου 2009, διαβούλευση σχετικά με το νομικό πλαίσιο για το θεμελιώδες δικαίωμα στην προστασία των δικαιωμάτων προσωπικού χαρακτήρα. Η Επιτροπή έλαβε 168 απαντήσεις, 127 από φυσικά πρόσωπα, επιχειρηματικές οργανώσεις και ενώσεις και 12 από δημόσιες αρχές[13].

– Από τις 4 Νοεμβρίου 2010 έως τις 15 Ιανουαρίου 2011, διαβούλευση για τη συνολική προσέγγιση της Επιτροπής όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση. Η Επιτροπή έλαβε 305 απαντήσεις, εκ των οποίων 54 από πολίτες, 31 από δημόσιες αρχές και 220 από ιδιωτικές οργανώσεις, και ειδικότερα επιχειρηματικές ενώσεις και μη κυβερνητικές οργανώσεις[14].

Πραγματοποιήθηκαν επίσης στοχευμένες διαβουλεύσεις με βασικά ενδιαφερόμενα μέρη· ειδικές εκδηλώσεις διοργανώθηκαν τον Ιούνιο και τον Ιούλιο του 2010 με αρχές των κρατών μελών και ενδιαφερόμενα μέρη από τον ιδιωτικό τομέα, καθώς και οργανώσεις για την προστασία της ιδιωτικής ζωής και την προστασία των δεδομένων και οργανώσεις καταναλωτών[15]. Τον Νοέμβριο του 2010, η αντιπρόεδρος της Ευρωπαϊκής Επιτροπής Viviane Reding οργάνωσε στρογγυλή τράπεζα σχετικά με τη μεταρρύθμιση της προστασίας των δεδομένων. Στις 28 Ιανουαρίου 2011 (Ημέρα προστασίας των δεδομένων), η Ευρωπαϊκή Επιτροπή και το Συμβούλιο της Ευρώπης οργάνωσαν από κοινού διάσκεψη υψηλού επιπέδου για να συζητήσουν ζητήματα σχετικά με τη μεταρρύθμιση του νομικού πλαισίου της ΕΕ, καθώς και την αναγκαιότητα κοινών προτύπων προστασίας των δεδομένων παγκοσμίως[16]. Δύο διασκέψεις για την προστασία των δεδομένων διοργανώθηκαν από την ουγγρική και την πολωνική προεδρία του Συμβουλίου, στις 16-17 Ιουνίου 2011 και στις 21 Σεπτεμβρίου 2011, αντίστοιχα.

Ειδικές σύνοδοι εργασίας και σεμινάρια σχετικά με συγκεκριμένα ζητήματα πραγματοποιήθηκαν καθ’ όλη τη διάρκεια του 2011. Τον Ιανουάριο, ο ENISA[17] διοργάνωσε σύνοδο εργασίας σχετικά με τις κοινοποιήσεις που αφορούν την παραβίαση των δεδομένων στην Ευρώπη[18]. Τον Φεβρουάριο, η Επιτροπή συγκάλεσε σύνοδο εργασίας με αρχές των κρατών μελών για να συζητήσουν θέματα προστασίας των δεδομένων στον τομέα της αστυνομικής και της δικαστικής συνεργασίας σε ποινικές υποθέσεις, συμπεριλαμβανομένης της εφαρμογής της απόφασης-πλαισίου, ο δε Οργανισμός Θεμελιωδών Δικαιωμάτων πραγματοποίησε σύσκεψη διαβούλευσης με τα ενδιαφερόμενα μέρη με θέμα «προστασία των δεδομένων και ιδιωτική ζωή». Συζήτηση σχετικά με βασικά ζητήματα της μεταρρύθμισης πραγματοποιήθηκε στις 13 Ιουλίου 2011 με τις εθνικές αρχές προστασίας των δεδομένων. Ζητήθηκε η γνώμη των πολιτών της ΕΕ μέσω έρευνας του Ευρωβαρομέτρου, η οποία πραγματοποιήθηκε τον Νοέμβριο-Δεκέμβριο του 2010[19]. Δρομολογήθηκαν επίσης ορισμένες μελέτες[20]. Η ομάδα εργασίας του άρθρου 29[21] εξέδωσε αρκετές γνώμες και παρέσχε χρήσιμες πληροφορίες στην Επιτροπή[22]. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσε επίσης συνολική γνωμοδότηση για τα ζητήματα που εγείρονται στην ανακοίνωση της Επιτροπής του Νοεμβρίου του 2010[23].

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε με το ψήφισμά του της 6ης Ιουλίου 2011 έκθεση με την οποία στήριξε την προσέγγιση της Επιτροπής για τη μεταρρύθμιση του πλαισίου της προστασίας των δεδομένων[24]. Το Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε συμπεράσματα στις 24 Φεβρουαρίου 2011 στα οποία υποστηρίζει ευρέως την πρόθεση της Επιτροπής να μεταρρυθμίσει το πλαίσιο για την προστασία των δεδομένων και συμφωνεί με πολλά στοιχεία της προσέγγισης της Επιτροπής. Ομοίως, η Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή στήριξε τον στόχο της Επιτροπής να διασφαλίσει τη συνεκτικότερη εφαρμογή των κανόνων της ΕΕ[25] για την προστασία των δεδομένων σε όλα τα κράτη μέλη και την προσφυή αναθεώρηση της οδηγίας 95/46/ΕΚ[26].

Κατά τις διαβουλεύσεις για τη συνολική προσέγγιση, η μεγάλη πλειονότητα των ενδιαφερόμενων μερών συμφώνησε ότι οι γενικές αρχές παραμένουν έγκυρες, αλλά το ισχύον πλαίσιο πρέπει να προσαρμοσθεί ώστε να ανταποκρίνεται καλύτερα στις προκλήσεις που θέτουν η ραγδαία ανάπτυξη νέων τεχνολογιών (ιδίως επιγραμμικών) και η αυξανόμενη παγκοσμιοποίηση, διατηρώντας παράλληλα την τεχνολογική ουδετερότητα του νομικού πλαισίου. Διατυπώθηκαν έντονες επικρίσεις για τον παρόντα κατακερματισμό της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση, ιδίως από οικονομικούς παράγοντες οι οποίοι ζήτησαν αύξηση της ασφάλειας δικαίου και εναρμόνιση των κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η πολυπλοκότητα των κανόνων για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα θεωρείται ότι συνιστά σημαντικό εμπόδιο στις εργασίες τους, καθώς χρειάζονται να διαβιβάζουν τακτικά δεδομένα προσωπικού χαρακτήρα από την ΕΕ σε άλλες περιοχές του κόσμου.

Σύμφωνα με την πολιτική για τη «βελτίωση της νομοθεσίας», η Επιτροπή διενήργησε εκτίμηση των επιπτώσεων των εναλλακτικών επιλογών πολιτικής. Η εκτίμηση επιπτώσεων βασίσθηκε στους τρεις στόχους πολιτικής, δηλαδή βελτίωση της διάστασης της εσωτερικής αγοράς στο θέμα της προστασίας των δεδομένων, βελτίωση της αποτελεσματικότητας της άσκησης των δικαιωμάτων προστασίας των δεδομένων από τα φυσικά πρόσωπα, και δημιουργία ενός συνολικού και συνεκτικού πλαισίου το οποίο θα καλύπτει όλους τους τομείς αρμοδιότητας της Ένωσης, συμπεριλαμβανομένης της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις. Αξιολογήθηκαν τρεις επιλογές πολιτικής με διαφορετικούς βαθμούς παρέμβασης: η πρώτη επιλογή αφορούσε ελάχιστες νομοθετικές τροποποιήσεις και τη χρήση ερμηνευτικών ανακοινώσεων και μέτρων στήριξης της πολιτικής, όπως προγράμματα χρηματοδότησης και τεχνικά εργαλεία· η δεύτερη επιλογή περιελάμβανε ένα σύνολο νομοθετικών διατάξεων οι οποίες εξετάζουν καθένα από τα ζητήματα που προσδιορίσθηκαν στην ανάλυση, και η τρίτη επιλογή αφορούσε τη συγκέντρωση της προστασίας των δεδομένων σε κεντρικό επίπεδο στην ΕΕ μέσω συγκεκριμένων και λεπτομερών κανόνων για όλους τους τομείς, καθώς και την ίδρυση ενός οργανισμού της ΕΕ για την παρακολούθηση και την επιβολή των διατάξεων.

Σύμφωνα με την πάγια μέθοδο της Επιτροπής, κάθε επιλογή πολιτικής αξιολογήθηκε, με τη βοήθεια διυπηρεσιακής συντονιστικής ομάδας, ως προς την αποτελεσματικότητά της για την επίτευξη των στόχων πολιτικής, τον οικονομικό της αντίκτυπο για τα ενδιαφερόμενα μέρη (συμπεριλαμβανομένου του προϋπολογισμού των θεσμικών οργάνων της ΕΕ), τον κοινωνικό της αντίκτυπο και τις συνέπειές της στα θεμελιώδη δικαιώματα. Δεν παρατηρήθηκαν περιβαλλοντικές επιπτώσεις. Αποτέλεσμα της ανάλυσης του συνολικού αντικτύπου ήταν η ανάπτυξη της προτιμώμενης επιλογής πολιτικής, η οποία βασίζεται στη δεύτερη επιλογή με μερικά στοιχεία από τις δύο άλλες επιλογές και ενσωματώνεται στην παρούσα πρόταση. Σύμφωνα με την εκτίμηση επιπτώσεων, η εφαρμογή της θα έχει, μεταξύ άλλων, ως αποτέλεσμα σημαντικές βελτιώσεις όσον αφορά την ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας δεδομένων και τους πολίτες, μείωση του διοικητικού φόρτου, συνεκτικότητα στην επιβολή της προστασίας των δεδομένων στην Ένωση, την ουσιαστική δυνατότητα των φυσικών προσώπων να ασκούν τα δικαιώματά τους για την προστασία των δεδομένων όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, και την αποτελεσματική εποπτεία και επιβολή της προστασίας των δεδομένων. Η εφαρμογή της προτιμώμενης επιλογής πολιτικής αναμένεται επίσης να συμβάλει στον στόχο της Επιτροπής περί απλούστευσης και μείωσης του διοικητικού φόρτου, καθώς και στους στόχους του ψηφιακού θεματολογίου για την Ευρώπη, του σχεδίου δράσης του Προγράμματος της Στοκχόλμης και της στρατηγικής «Ευρώπη 2020».

Η επιτροπή εκτίμησης των επιπτώσεων (IAB) εξέδωσε γνώμη σχετικά με το σχέδιο εκτίμησης των επιπτώσεων στις 9 Σεπτεμβρίου 2011. Σε συνέχεια της γνώμης της IAB, έγιναν οι ακόλουθες αλλαγές στην εκτίμηση των επιπτώσεων:

– αποσαφηνίσθηκαν οι στόχοι του ισχύοντος νομικού πλαισίου (σε ποιον βαθμό επιτεύχθηκαν και σε ποιον βαθμό δεν επιτεύχθηκαν), καθώς και οι στόχοι της προβλεπόμενης μεταρρύθμισης·

– προστέθηκαν περισσότερα στοιχεία καθώς και πρόσθετες εξηγήσεις/διευκρινίσεις στην ενότητα του ορισμού του προβλήματος·

– προστέθηκε μια ενότητα για την αναλογικότητα·

– επανεξετάσθηκαν και αναθεωρήθηκαν όλοι οι υπολογισμοί και οι εκτιμήσεις για τον διοικητικό φόρτο στο βασικό σενάριο και στην προτιμώμενη επιλογή, και αποσαφηνίσθηκε η σχέση μεταξύ του κόστους των κοινοποιήσεων και του συνολικού κόστους του κατακερματισμού (συμπεριλαμβανομένου του παραρτήματος 10)·

– προσδιορίσθηκαν καλύτερα οι επιπτώσεις στις πολύ μικρές, στις μικρές και στις μεσαίες επιχειρήσεις, ιδίως των υπευθύνων προστασίας δεδομένων και των εκτιμήσεων των επιπτώσεων σχετικά με την προστασία των δεδομένων.

Η έκθεση εκτίμησης των επιπτώσεων και μια σύνοψη δημοσιεύονται μαζί με τις προτάσεις.

3. ΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ ΤΗΣ ΠΡΟΤΑΣΗΣ 3.1. Νομική βάση

Η παρούσα πρόταση βασίζεται στο άρθρο 16 ΣΛΕΕ, το οποίο είναι η νέα νομική βάση για τη θέσπιση κανόνων περί προστασίας των δεδομένων δυνάμει της συνθήκης της Λισαβόνας. Η διάταξη αυτή επιτρέπει τη θέσπιση κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης. Επιτρέπει επίσης τη θέσπιση κανόνων σχετικά με την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τα κράτη μέλη ή ιδιώτες.

Ο κανονισμός θεωρείται η πλέον κατάλληλη νομική πράξη για τον καθορισμό του πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση. Η άμεση εφαρμογή του κανονισμού σύμφωνα με το άρθρο 288 ΣΛΕΕ θα μειώσει τον νομικό κατακερματισμό και θα παράσχει μεγαλύτερη ασφάλεια δικαίου θεσπίζοντας ένα εναρμονισμένο σύνολο βασικών κανόνων, βελτιώνοντας την προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και συμβάλλοντας στη λειτουργία της εσωτερικής αγοράς.

Η παραπομπή στο άρθρο 114 παράγραφος 1 ΣΛΕΕ είναι απαραίτητη μόνον για την τροποποίηση της οδηγίας 2002/58/ΕΚ στον βαθμό που η εν λόγω οδηγία προβλέπει επίσης την προστασία των έννομων συμφερόντων συνδρομητών που είναι νομικά πρόσωπα.

3.2. Επικουρικότητα και αναλογικότητα

Σύμφωνα με την αρχή της επικουρικότητας (άρθρο 5 παράγραφος 3 ΣΕΕ), μέτρα στο επίπεδο της Ένωσης λαμβάνονται μόνον εφόσον και κατά τον βαθμό που οι προβλεπόμενοι στόχοι δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα από την Ένωση. Εν όψει των προβλημάτων που περιγράφονται ανωτέρω, η ανάλυση της επικουρικότητας υποδεικνύει την αναγκαιότητα λήψης μέτρων σε επίπεδο ΕΕ για τους ακόλουθους λόγους:

– Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων, απαιτεί το ίδιο επίπεδο προστασίας των δεδομένων σε ολόκληρη την Ένωση. Η απουσία κοινών κανόνων της ΕΕ ενέχει τον κίνδυνο διαφορετικών επιπέδων προστασίας στα κράτη μέλη και δημιουργεί περιορισμούς στις διασυνοριακές ροές δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών με διαφορετικά πρότυπα.

– Δεδομένα προσωπικού χαρακτήρα διαβιβάζονται εκτός των εθνικών συνόρων, τόσο εσωτερικών όσο και εξωτερικών, με ταχέως αυξανόμενους ρυθμούς. Επιπλέον, η επιβολή της νομοθεσίας για την προστασία των δεδομένων συνεπάγεται πρακτικές δυσκολίες και απαιτείται συνεργασία μεταξύ των κρατών μελών και των αρχών τους, η οποία πρέπει να οργανωθεί σε επίπεδο ΕΕ προκειμένου να διασφαλίζεται ενιαία εφαρμογή του δικαίου της Ένωσης. Η ΕΕ είναι επίσης σε καλύτερη θέση ώστε να διασφαλίζει με αποτελεσματικό και συνεκτικό τρόπο το ίδιο επίπεδο προστασίας των φυσικών προσώπων όταν τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν διαβιβάζονται σε τρίτες χώρες.

– Τα κράτη μέλη δεν μπορούν να μειώσουν από μόνα τους τα προβλήματα της παρούσας κατάστασης, και ιδίως εκείνα που οφείλονται στον κατακερματισμό των εθνικών νομοθεσιών. Επομένως, υπάρχει συγκεκριμένη αναγκαιότητα θέσπισης ενός εναρμονισμένου και συνεκτικού πλαισίου, το οποίο θα επιτρέπει την ομαλή διασυνοριακή διαβίβαση των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ, διασφαλίζοντας παράλληλα αποτελεσματική προστασία για όλα τα φυσικά πρόσωπα σε ολόκληρη την ΕΕ.

– Οι προτεινόμενες νομοθετικές δράσεις της ΕΕ θα είναι πιο αποτελεσματικές από παρόμοιες δράσεις σε επίπεδο κρατών μελών, λόγω της φύσης και της κλίμακας των προβλημάτων, τα οποία δεν περιορίζονται στο επίπεδο ενός ή μερικών κρατών μελών.

Η αρχή της αναλογικότητας απαιτεί κάθε παρέμβαση να είναι στοχοθετημένη και να μην υπερβαίνει τα απαιτούμενα για την επίτευξη των στόχων. Η αρχή αυτή εφαρμόσθηκε κατά την εκπόνηση της παρούσας πρότασης, από τον προσδιορισμό και την αξιολόγηση των εναλλακτικών επιλογών πολιτικής έως την κατάρτιση της νομοθετικής πρότασης.

3.3. Σύνοψη ζητημάτων θεμελιωδών δικαιωμάτων

Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται στο άρθρο 8 του Χάρτη και στο άρθρο 16 ΣΛΕΕ, καθώς και στο άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων. Όπως υπογράμμισε το Δικαστήριο της ΕΕ[27], το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, αλλά πρέπει να λαμβάνεται υπόψη σε σχέση με τον ρόλο που επιτελεί στην κοινωνία[28]. Η προστασία των δεδομένων συνδέεται στενά με τον σεβασμό της ιδιωτικής και της οικογενειακής ζωής που προστατεύεται από το άρθρο 7 του Χάρτη. Αυτό αντικατοπτρίζεται στο άρθρο 1 παράγραφος 1 της οδηγίας 95/46/ΕΚ, το οποίο ορίζει ότι τα κράτη μέλη εξασφαλίζουν την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άλλα δυνητικά επηρεαζόμενα θεμελιώδη δικαιώματα τα οποία κατοχυρώνονται στον Χάρτη είναι τα ακόλουθα: η ελευθερία έκφρασης (άρθρο 11 του Χάρτη)· η επιχειρηματική ελευθερία (άρθρο 16)· το δικαίωμα ιδιοκτησίας και ειδικότερα η προστασία της πνευματικής ιδιοκτησίας (άρθρο 17 παράγραφος 2)· η απαγόρευση κάθε διάκρισης, μεταξύ άλλων λόγω φυλής, εθνοτικής καταγωγής, γενετικών χαρακτηριστικών, θρησκείας ή πεποιθήσεων, πολιτικών φρονημάτων ή κάθε άλλης γνώμης, αναπηρίας ή γενετήσιου προσανατολισμού (άρθρο 21)· τα δικαιώματα του παιδιού (άρθρο 24)· το δικαίωμα υψηλού επιπέδου προστασίας της υγείας του ανθρώπου (άρθρο 35)· το δικαίωμα πρόσβασης στα έγγραφα (άρθρο 42)· το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου (άρθρο 47).

3.4. Λεπτομερής επεξήγηση της πρότασης 3.4.1. ΚΕΦΑΛΑΙΟ I – ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 1 ορίζει το αντικείμενο του κανονισμού και, όπως στο άρθρο 1 της οδηγίας 95/46/ΕΚ, καθορίζει τους δύο στόχους του κανονισμού.

Το άρθρο 2 καθορίζει το καθ’ ύλην πεδίο εφαρμογής του κανονισμού.

Το άρθρο 3 καθορίζει το γεωγραφικό πεδίο εφαρμογής του κανονισμού.

Το άρθρο 4 περιέχει ορισμούς των όρων που χρησιμοποιούνται στον κανονισμό. Ενώ μερικοί ορισμοί λαμβάνονται από την οδηγία 95/46/ΕΚ άλλοι τροποποιούνται, συμπληρώνονται με πρόσθετα στοιχεία ή θεσπίζονται για πρώτη φορά («παραβίαση δεδομένων προσωπικού χαρακτήρα» βάσει του άρθρου 2 στοιχείο η) της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες 2002/58/ΕΚ[29], όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ[30], «γενετικά δεδομένα», «βιομετρικά δεδομένα», «δεδομένα που αφορούν την υγεία», «κύρια εγκατάσταση», «εκπρόσωπος», «επιχείρηση», «όμιλος επιχειρήσεων», «δεσμευτικοί εταιρικοί κανόνες», και «παιδί» βάσει της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα του παιδιού[31] και «αρχή ελέγχου»).

Στον ορισμό της συγκατάθεσης, προστίθεται το κριτήριο «ρητή» (explicit) για την αποφυγή των παραλληλισμών και της σύγχυσης με τη «ρητή» (unambiguous) συγκατάθεση και προκειμένου να υπάρχει ενιαίος και συνεκτικός ορισμός της συγκατάθεσης, ο οποίος διασφαλίζει ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει επίγνωση ότι συγκατατίθεται και σε τι συγκατατίθεται.

3.4.2. ΚΕΦΑΛΑΙΟ II - ΑΡΧΕΣ

Το άρθρο 5 ορίζει τις αρχές που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, οι οποίες αντιστοιχούν σε εκείνες που απαριθμούνται στο άρθρο 6 της οδηγίας 95/46/ΕΚ. Πρόσθετα νέα στοιχεία είναι, ειδικότερα, η αρχή της διαφάνειας, η αποσαφήνιση της αρχής της ελαχιστοποίησης των δεδομένων και η θέσπιση συνολικής ευθύνης και υποχρέωσης αποζημίωσης για τον υπεύθυνο επεξεργασίας δεδομένων.

Το άρθρο 6 ορίζει, βάσει του άρθρου 7 της οδηγίας 95/46/ΕΚ, τα κριτήρια της σύννομης επεξεργασίας, τα οποία προσδιορίζονται περαιτέρω όσον αφορά το κριτήριο της στάθμισης συμφερόντων και τη συμμόρφωση προς τις νομικές υποχρεώσεις και το δημόσιο συμφέρον.

Το άρθρο 7 αποσαφηνίζει τις προϋποθέσεις που πρέπει να συντρέχουν ώστε η συγκατάθεση να είναι έγκυρη ως νομικός λόγος για σύννομη επεξεργασία.

Το άρθρο 8 καθορίζει περαιτέρω προϋποθέσεις για τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα παιδιών σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας που προσφέρονται άμεσα σε αυτά.

Το άρθρο 9 καθορίζει τη γενική απαγόρευση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και τις εξαιρέσεις από τον γενικό αυτό κανόνα, βάσει του άρθρου 8 της οδηγίας 95/46/ΕΚ.

Το άρθρο 10 αποσαφηνίζει ότι ο υπεύθυνος επεξεργασίας δεν υποχρεούται να λαμβάνει πρόσθετες πληροφορίες για την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα αποκλειστικά και μόνον για τον σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

3.4.3. ΚΕΦΑΛΑΙΟ III – ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ 3.4.3.1. Τμήμα 1 – Διαφάνεια και τρόποι άσκησης των δικαιωμάτων

Το άρθρο 11 θεσπίζει την υποχρέωση των υπευθύνων επεξεργασίας να παρέχουν διάφανη και εύκολα προσπελάσιμη και κατανοητή ενημέρωση, εμπνεόμενο ειδικότερα από το ψήφισμα της Μαδρίτης σχετικά με τα διεθνή πρότυπα για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής[32].

Το άρθρο 12 υποχρεώνει τον υπεύθυνο επεξεργασίας να προβλέπει διαδικασίες και μηχανισμούς για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, συμπεριλαμβανομένων μέσων υποβολής ηλεκτρονικών αιτημάτων, με υποχρέωση απάντησης στο αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός καθορισμένης προθεσμίας και με αιτιολόγηση των αρνήσεων.

Το άρθρο 13 προβλέπει δικαιώματα σε σχέση με τους αποδέκτες, βάσει του άρθρου 12 στοιχείο γ) της οδηγίας 95/46/ΕΚ, τα οποία επεκτείνονται σε όλους τους αποδέκτες, συμπεριλαμβανομένων από κοινού υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία.

3.4.3.2. Τμήμα 2 – Ενημέρωση και πρόσβαση στα δεδομένα

Το άρθρο 14 προσδιορίζει περαιτέρω τις υποχρεώσεις ενημέρωσης του υπευθύνου επεξεργασίας έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα, βάσει των άρθρων 10 και 11 της οδηγίας 95/46/ΕΚ, παρέχοντας πρόσθετες πληροφορίες στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, μεταξύ άλλων σχετικά με την περίοδο αποθήκευσης, το δικαίωμα υποβολής καταγγελίας, τις διεθνείς διαβιβάσεις και την πηγή από την οποία προέρχονται τα δεδομένα. Διατηρεί επίσης τις δυνητικές παρεκκλίσεις της οδηγίας 95/46/ΕΚ, π.χ. δεν υπάρχει τέτοια υποχρέωση εάν η καταχώριση ή η γνωστοποίηση προβλέπονται ρητώς εκ του νόμου. Αυτό μπορεί να ισχύει για παράδειγμα στις διαδικασίες αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών ή υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης.

Το άρθρο 15 προβλέπει το δικαίωμα πρόσβασης του προσώπου στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, βάσει του άρθρου 12 στοιχείο α) της οδηγίας 95/46/ΕΚ και προσθέτοντας νέα στοιχεία, όπως την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα για την περίοδο αποθήκευσης και τα δικαιώματα διόρθωσης και διαγραφής καθώς και υποβολής καταγγελίας.

3.4.3.3. Τμήμα 3 – Διόρθωση και διαγραφή

Το άρθρο 16 καθορίζει το δικαίωμα διόρθωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, βάσει του άρθρου 12 στοιχείο β) της οδηγίας 95/46/ΕΚ.

Το άρθρο 17 προβλέπει το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα «να λησμονηθεί» και το δικαίωμα διαγραφής των δεδομένων του. Αναπτύσσει και προσδιορίζει περαιτέρω το δικαίωμα διαγραφής που προβλέπεται στο άρθρο 12 στοιχείο β) της οδηγίας 95/46/ΕΚ και προβλέπει τις προϋποθέσεις του δικαιώματος του προσώπου στο οποίο αναφέρονται τα δεδομένα «να λησμονηθεί», συμπεριλαμβανομένης της υποχρέωσης του υπευθύνου επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα να ενημερώνει τους τρίτους για το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα για διαγραφή τυχόν συνδέσμων ή αντιγράφων ή αναπαραγωγής των εν λόγω δεδομένων προσωπικού χαρακτήρα. Ενσωματώνει επίσης το δικαίωμα περιορισμού της επεξεργασίας σε ορισμένες περιπτώσεις, αποφεύγοντας τον ασαφή όρο «κλείδωμα».

Το άρθρο 18 θεσπίζει το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα στη φορητότητα των δεδομένων, δηλαδή στη μεταφορά δεδομένων από ένα ηλεκτρονικό σύστημα επεξεργασίας σε ένα άλλο, χωρίς να εμποδίζεται από τον υπεύθυνο επεξεργασίας να πράξει κάτι τέτοιο. Ως προϋπόθεση και για την περαιτέρω βελτίωση της πρόσβασης των φυσικών προσώπων στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, προβλέπει το δικαίωμα εξασφάλισης των εν λόγω δεδομένων από τον υπεύθυνο επεξεργασίας σε δομημένο και ευρέως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο.

3.4.3.4. Τμήμα 4 – Δικαίωμα αντίταξης και κατάρτιση προφίλ

Το άρθρο 19 προβλέπει τα δικαιώματα αντίταξης του προσώπου στο οποίο αναφέρονται τα δεδομένα. Βασίζεται στο άρθρο 14 της οδηγίας 95/46/ΕΚ, με μερικές τροποποιήσεις, μεταξύ άλλων όσον αφορά το βάρος της απόδειξης και την εφαρμογή του στην άμεση προώθηση.

Το άρθρο 20 αφορά το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην υπάγεται σε μέτρο βασισμένο στην κατάρτιση προφίλ. Βασίζεται, με τροποποιήσεις και πρόσθετες εγγυήσεις, στο άρθρο 15 παράγραφος 1 της οδηγίας 95/46 για τις αυτοματοποιημένες ατομικές αποφάσεις και λαμβάνει υπόψη τη σύσταση του Συμβουλίου της Ευρώπης σχετικά με την κατάρτιση προφίλ[33].

3.4.3.5. Τμήμα 5 – Περιορισμοί

Το άρθρο 21 αποσαφηνίζει την εξουσία της Ένωσης ή των κρατών μελών να διατηρούν ή να θεσπίζουν περιορισμούς στις αρχές που προβλέπονται στο άρθρο 5 και στα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία προβλέπονται στα άρθρα 11 έως 20 και στο άρθρο 32. Η διάταξη αυτή βασίζεται στο άρθρο 13 της οδηγίας 95/46/ΕΚ και στις απαιτήσεις που προκύπτουν από τον Χάρτη των Θεμελιωδών Δικαιωμάτων και την Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών, όπως ερμηνεύθηκαν από το Δικαστήριο της ΕΕ και από το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων.

3.4.4. ΚΕΦΑΛΑΙΟ IV – ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ 3.4.4.1. Τμήμα 1 – Γενικές υποχρεώσεις

Το άρθρο 22 λαμβάνει υπόψη τη συζήτηση σχετικά με την «αρχή της λογοδοσίας» και περιγράφει λεπτομερώς την υποχρέωση ευθύνης του υπευθύνου επεξεργασίας να συμμορφώνεται προς τον παρόντα κανονισμό και να επιδεικνύει την εν λόγω συμμόρφωση, μεταξύ άλλων μέσω της θέσπισης εσωτερικών πολιτικών και μηχανισμών διασφάλισης της εν λόγω συμμόρφωσης.

Το άρθρο 23 καθορίζει τις υποχρεώσεις του υπευθύνου επεξεργασίας οι οποίες απορρέουν από τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Το άρθρο 24 για τους από κοινού υπευθύνους επεξεργασίας αποσαφηνίζει τις ευθύνες των από κοινού υπευθύνων επεξεργασίας όσον αφορά την εσωτερική σχέση τους και έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.

Το άρθρο 25 υποχρεώνει, υπό ορισμένες προϋποθέσεις, τους υπευθύνους επεξεργασίας που δεν είναι εγκαταστημένοι στην Ένωση, εάν ο κανονισμός εφαρμόζεται στις δραστηριότητες επεξεργασίας που εκτελούν, να ορίζουν ένα εκπρόσωπο στην Ένωση.

Το άρθρο 26 αποσαφηνίζει τη θέση και τις υποχρεώσεις των εκτελούντων την επεξεργασία, εν μέρει βάσει του άρθρου 17 παράγραφος 2 της οδηγίας 95/46/ΕΚ, και προσθέτοντας νέα στοιχεία, όπως ότι εάν ένας εκτελών την επεξεργασία επεξεργάζεται δεδομένα πέραν των εντολών του υπευθύνου επεξεργασίας πρέπει να θεωρείται από κοινού υπεύθυνος επεξεργασίας.

Το άρθρο 27 αφορά την επεξεργασία υπό την εποπτεία του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία βασίζεται στο άρθρο 16 της οδηγίας 95/46/ΕΚ.

Το άρθρο 28 θεσπίζει την υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία να διατηρούν τεκμηρίωση των πράξεων επεξεργασίας που εκτελούν υπό την ευθύνη τους αντί της γενικής κοινοποίησης προς την αρχή ελέγχου που απαιτείται από το άρθρο 18 παράγραφος 1 και το άρθρο 19 της οδηγίας 95/46/ΕΚ.

Το άρθρο 29 αποσαφηνίζει τις υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία για τη συνεργασία με την αρχή ελέγχου.

3.4.4.2. Τμήμα 2 – Ασφάλεια δεδομένων

Το άρθρο 30 υποχρεώνει τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία να εφαρμόζουν κατάλληλα μέτρα για την ασφάλεια της επεξεργασίας, βάσει του άρθρου 17 παράγραφος 1 της οδηγίας 95/46/ΕΚ, επεκτείνοντας τη συγκεκριμένη υποχρέωση στους εκτελούντες την επεξεργασία, ανεξάρτητα από τη σύμβασή τους με τον υπεύθυνο επεξεργασίας.

Τα άρθρα 31 και 32 θεσπίζουν υποχρέωση κοινοποίησης παραβιάσεων των δεδομένων προσωπικού χαρακτήρα, βάσει της κοινοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα που προβλέπεται στο άρθρο 4 παράγραφος 3 της οδηγίας 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

3.4.4.3. Τμήμα 3 – Εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και προηγούμενη έγκριση

Το άρθρο 33 θεσπίζει την υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία να διενεργούν εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων πριν από ριψοκίνδυνες πράξεις επεξεργασίας.

Το άρθρο 34 αφορά τις περιπτώσεις στις οποίες η έγκριση από την αρχή ελέγχου και η διαβούλευση με την αρχή ελέγχου είναι υποχρεωτικές πριν από την επεξεργασία βάσει της έννοιας των προηγούμενων ελέγχων που προβλέπεται στο άρθρο 20 της οδηγίας 95/46/ΕΚ.

3.4.4.4. Τμήμα 4 – Υπεύθυνος προστασίας δεδομένων

Το άρθρο 35 θεσπίζει την υποχρέωση διορισμού ενός υπευθύνου προστασίας δεδομένων για τον δημόσιο τομέα και, στον ιδιωτικό τομέα, για τις μεγάλες επιχειρήσεις ή όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία περιλαμβάνουν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση. Η διάταξη αυτή βασίζεται στο άρθρο 18 παράγραφος 2 της οδηγίας 95/46/ΕΚ, το οποίο προβλέπει τη δυνατότητα των κρατών μελών να θεσπίζουν μια τέτοια υποχρέωση αντί της γενικής απαίτησης κοινοποίησης.

Το άρθρο 36 καθορίζει τη θέση του υπευθύνου προστασίας δεδομένων.

Το άρθρο 37 προβλέπει τα βασικά καθήκοντα του υπευθύνου προστασίας δεδομένων.

3.4.4.5. Τμήμα 5 – Κώδικες δεοντολογίας και πιστοποίηση

Το άρθρο 38 αφορά τους κώδικες δεοντολογίας, βάσει της έννοιας που προβλέπεται στο άρθρο 27 παράγραφος 1 της οδηγίας 95/46/ΕΚ, αποσαφηνίζοντας το περιεχόμενο των κωδίκων και τις διαδικασίες και προβλέποντας την εξουσία της Επιτροπής να αποφασίζει για τη γενική ισχύ κωδίκων δεοντολογίας.

Το άρθρο 39 θεσπίζει τη δυνατότητα θέσπισης μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας των δεδομένων.

3.4.5. ΚΕΦΑΛΑΙΟ V – ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΣΕ ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Το άρθρο 40 προσδιορίζει, ως γενική αρχή, ότι η συμμόρφωση προς τις υποχρεώσεις του παρόντος κεφαλαίου είναι υποχρεωτική για κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, συμπεριλαμβανομένων περαιτέρω διαβιβάσεων.

Το άρθρο 41 καθορίζει τα κριτήρια, τις προϋποθέσεις και τις διαδικασίες για τη λήψη απόφασης περί επάρκειας από την Επιτροπή, βάσει του άρθρου 25 της οδηγίας 95/46/ΕΚ. Τα κριτήρια τα οποία λαμβάνονται υπόψη για την αξιολόγηση από την Επιτροπή του επαρκούς ή μη επιπέδου προστασίας περιλαμβάνουν ρητώς το κράτος δικαίου, το δικαίωμα προσφυγής στη δικαιοσύνη και τον ανεξάρτητο έλεγχο. Το άρθρο επιβεβαιώνει πλέον ρητώς τη δυνατότητα της Επιτροπής να αξιολογεί το επίπεδο προστασίας που παρέχει ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα.

Το άρθρο 42 απαιτεί για τις διαβιβάσεις προς τρίτες χώρες, εφόσον δεν έχει ληφθεί απόφαση περί επάρκειας από την Επιτροπή, την προσθήκη κατάλληλων εγγυήσεων, και ειδικότερα τυποποιημένων ρητρών προστασίας των δεδομένων, δεσμευτικών εταιρικών κανόνων και συμβατικών ρητρών. Η δυνατότητα χρήσης τυποποιημένων ρητρών προστασίας των δεδομένων της Επιτροπής βασίζεται στο άρθρο 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Το νέο στοιχείο είναι ότι πλέον τέτοιες τυποποιημένες ρήτρες προστασίας των δεδομένων μπορούν επίσης να θεσπισθούν από αρχή ελέγχου και να χαρακτηρισθούν γενικά έγκυρες από την Επιτροπή. Στο νομικό κείμενο αναφέρονται πλέον ρητώς οι δεσμευτικοί εταιρικοί κανόνες. Η επιλογή συμβατικών ρητρών παρέχει κάποια ευελιξία στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία, αλλά υπόκειται σε προηγούμενη έγκριση των αρχών ελέγχου.

Το άρθρο 43 περιγράφει λεπτομερέστερα τις προϋποθέσεις για τις διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων, βάσει των ισχυουσών πρακτικών και απαιτήσεων των αρχών ελέγχου.

Το άρθρο 44 προσδιορίζει και αποσαφηνίζει τις παρεκκλίσεις στη διαβίβαση δεδομένων βάσει των ισχυουσών διατάξεων του άρθρου 26 της οδηγίας 95/46/ΕΚ. Αυτό ισχύει ειδικότερα για τις αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών ή μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης ή για τη διαχείριση της αλιείας. Επιπλέον, σε περιορισμένες περιπτώσεις, μια διαβίβαση δεδομένων μπορεί να δικαιολογείται βάσει του έννομου συμφέροντος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, αλλά μόνον αφού αξιολογηθούν και τεκμηριωθούν οι συνθήκες της συγκεκριμένης πράξης διαβίβασης.

Το άρθρο 45 προβλέπει ρητώς μηχανισμούς διεθνούς συνεργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα μεταξύ της Επιτροπής και των αρχών ελέγχου τρίτων χωρών, και ιδίως εκείνων που θεωρούνται ότι παρέχουν επαρκές επίπεδο προστασίας, λαμβάνοντας υπόψη τη σύσταση του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) για τη διασυνοριακή συνεργασία στην επιβολή της νομοθεσίας για την προστασία της ιδιωτικής ζωής της 12ης Ιουνίου 2007.

3.4.6. ΚΕΦΑΛΑΙΟ VI – ΑΝΕΞΑΡΤΗΤΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ 3.4.6.1. Τμήμα 1 – Ανεξάρτητο καθεστώς

Το άρθρο 46 υποχρεώνει τα κράτη μέλη να συστήσουν αρχές ελέγχου, βάσει του άρθρου 28 παράγραφος 1 της οδηγίας 95/46/ΕΚ, και διευρύνει την αποστολή των αρχών ελέγχου στη συνεργασία μεταξύ τους και με την Επιτροπή.

Το άρθρο 47 αποσαφηνίζει τις προϋποθέσεις της ανεξαρτησίας των αρχών ελέγχου, εφαρμόζοντας τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης[34], εμπνεόμενο επίσης από το άρθρο 44 του κανονισμού (ΕΚ) αριθ. 45/2001[35].

Το άρθρο 48 προβλέπει γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου, εφαρμόζοντας τη σχετική νομολογία[36] και εμπνεόμενο επίσης από το άρθρο 42 παράγραφοι 2 έως 6 του κανονισμού (ΕΚ) αριθ. 45/2001.

Το άρθρο 49 θεσπίζει τους κανόνες για την ίδρυση της αρχής ελέγχου, οι οποίοι θα προβλεφθούν από τα κράτη μέλη διά νόμου.

Το άρθρο 50 προβλέπει το επαγγελματικό απόρρητο για τα μέλη και τους υπαλλήλους της αρχής ελέγχου και βασίζεται στο άρθρο 28 παράγραφος 7 της οδηγίας 95/46/ΕΚ.

3.4.6.2. Τμήμα 2 – Καθήκοντα και εξουσίες

Το άρθρο 51 καθορίζει την αρμοδιότητα των αρχών ελέγχου. Ο γενικός κανόνας, βασισμένος στο άρθρο 28 παράγραφος 6 της οδηγίας 95/46/ΕΚ (αρμοδιότητα στο έδαφος του κράτους μέλους στο οποίο υπάγεται), συμπληρώνεται με τη νέα αρμοδιότητα της επικεφαλής αρχής στην περίπτωση που ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία είναι εγκαταστημένος σε περισσότερα κράτη μέλη, προκειμένου να διασφαλίζεται ενιαία εφαρμογή (υπηρεσία μίας στάσης). Τα δικαστήρια, όταν ενεργούν υπό τη δικαιοδοτική τους εξουσία, εξαιρούνται της παρακολούθησης από την αρχή ελέγχου, αλλά δεν απαλλάσσονται από την εφαρμογή των ουσιαστικών κανόνων για την προστασία των δεδομένων.

Το άρθρο 52 προβλέπει τα καθήκοντα της αρχής ελέγχου, τα οποία περιλαμβάνουν την εξέταση και τη διερεύνηση καταγγελιών και την προώθηση της ευαισθητοποίησης του κοινού για τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα.

Το άρθρο 53 προβλέπει τις εξουσίες της αρχής ελέγχου, βασιζόμενο εν μέρει στο άρθρο 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ και στο άρθρο 47 του κανονισμού (ΕΚ) αριθ. 45/2001, και προσθέτοντας μερικά νέα στοιχεία, συμπεριλαμβανομένης της εξουσίας επιβολής κυρώσεων σε διοικητικά παραπτώματα.

Το άρθρο 54 υποχρεώνει τις αρχές ελέγχου να εκπονούν ετήσιες εκθέσεις δραστηριοτήτων, βάσει του άρθρου 28 παράγραφος 5 της οδηγίας 95/46/ΕΚ.

3.4.7. ΚΕΦΑΛΑΙΟ VII – ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ 3.4.7.1. Τμήμα 1 – Συνεργασία

Το άρθρο 55 θεσπίζει ρητούς κανόνες για την υποχρεωτική αμοιβαία συνδρομή, συμπεριλαμβανομένων των συνεπειών μη συμμόρφωσης προς το αίτημα άλλης αρχής ελέγχου, βάσει του άρθρου 28 παράγραφος 6 δεύτερο εδάφιο της οδηγίας 95/46/ΕΚ.

Το άρθρο 56 θεσπίζει κανόνες για τις κοινές πράξεις, εμπνεόμενο από το άρθρο 17 της απόφασης 2008/615/ΔΕΥ[37] του Συμβουλίου, συμπεριλαμβανομένου του δικαιώματος των αρχών ελέγχου να συμμετέχουν σε τέτοιες πράξεις.

3.4.7.2. Τμήμα 2 – Συνεκτικότητα

Το άρθρο 57 θεσπίζει έναν μηχανισμό συνεκτικότητας προκειμένου να διασφαλίζεται ενιαία εφαρμογή όσον αφορά πράξεις επεξεργασίας οι οποίες ενδέχεται να αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη.

Το άρθρο 58 καθορίζει τις διαδικασίες και τις προϋποθέσεις για την έκδοση γνώμης από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Το άρθρο 59 αφορά γνώμες της Επιτροπής σε θέματα που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας, οι οποίες μπορεί είτε να ενισχύουν τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων είτε να διαφωνούν με την εν λόγω γνώμη και το σχέδιο μέτρου της αρχής ελέγχου. Εάν το θέμα εγείρεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων βάσει του άρθρου 58 παράγραφος 3, η Επιτροπή μπορεί να ασκεί τη διακριτική της ευχέρεια και να εκδίδει γνώμη όποτε απαιτείται.

Το άρθρο 60 αφορά αποφάσεις της Επιτροπής οι οποίες υποχρεώνουν μια αρμόδια αρχή να αναστείλει ένα σχέδιο μέτρου, όταν αυτό είναι αναγκαίο προκειμένου να διασφαλισθεί η ορθή εφαρμογή του παρόντος κανονισμού.

Το άρθρο 61 προβλέπει τη δυνατότητα λήψης προσωρινών μέτρων στο πλαίσιο επείγουσας διαδικασίας.

Το άρθρο 62 καθορίζει τις απαιτήσεις για εκτελεστικές πράξεις της Επιτροπής στο πλαίσιο του μηχανισμού συνεκτικότητας.

Το άρθρο 63 προβλέπει την υποχρέωση επιβολής των μέτρων μιας αρχής ελέγχου σε όλα τα ενδιαφερόμενα κράτη μέλη, και ορίζει ότι η εφαρμογή του μηχανισμού συνεκτικότητας αποτελεί προϋπόθεση για τη νομική ισχύ και την επιβολή του αντίστοιχου μέτρου.

3.4.7.3. Τμήμα 3 – Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων

Το άρθρο 64 θεσπίζει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η οποία απαρτίζεται από τους προϊσταμένους της αρχής ελέγχου κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αντικαθιστά την ομάδα για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ. Διευκρινίζεται ότι η Επιτροπή δεν είναι μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, αλλά δικαιούται να συμμετέχει στις δραστηριότητές της και να εκπροσωπείται σε αυτήν.

Το άρθρο 65 υπογραμμίζει και αποσαφηνίζει την ανεξαρτησία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Το άρθρο 66 περιγράφει τα καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, βάσει του άρθρου 30 παράγραφος 1 της οδηγίας 95/46/ΕΚ, και προβλέπει πρόσθετα στοιχεία, τα οποία αντικατοπτρίζουν το διευρυνόμενο πεδίο των δραστηριοτήτων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εντός της Ένωσης και εκτός αυτής. Για να είναι σε θέση να αντιδρά σε επείγουσες καταστάσεις, η Επιτροπή μπορεί να ζητεί την έκδοση γνώμης εντός συγκεκριμένης προθεσμίας.

Το άρθρο 67 υποχρεώνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να υποβάλει ετήσια έκθεση για τις δραστηριότητές της, βάσει του άρθρου 30 παράγραφος 6 της οδηγίας 95/46/ΕΚ.

Το άρθρο 68 καθορίζει τις διαδικασίες λήψης αποφάσεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, συμπεριλαμβανομένης της υποχρέωσης θέσπισης εσωτερικού κανονισμού, ο οποίος πρέπει να εκτείνεται επίσης σε επιχειρησιακές ρυθμίσεις.

Το άρθρο 69 περιέχει τις διατάξεις για τον πρόεδρο και τους αντιπροέδρους του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Το άρθρο 70 καθορίζει τα καθήκοντα του προέδρου.

Το άρθρο 71 ορίζει ότι η γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων παρέχεται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και προσδιορίζει τα καθήκοντα της γραμματείας.

Το άρθρο 72 προβλέπει κανόνες για την εμπιστευτικότητα.

3.4.8. ΚΕΦΑΛΑΙΟ VIII - ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Το άρθρο 73 προβλέπει το δικαίωμα κάθε προσώπου στο οποίο αναφέρονται τα δεδομένα να υποβάλει καταγγελία σε αρχή ελέγχου, βάσει του άρθρου 28 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Προσδιορίζει επίσης τους φορείς, τους οργανισμούς ή τις οργανώσεις που μπορούν να υποβάλουν καταγγελία για λογαριασμό του προσώπου στο οποίο αναφέρονται τα δεδομένα ή, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα.

Το άρθρο 74 αφορά το δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου. Βασίζεται στη γενική διάταξη του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ. Προβλέπει ρητώς δικαστική προσφυγή, η οποία υποχρεώνει την αρχή ελέγχου να ενεργεί σε μια καταγγελία, και αποσαφηνίζει την αρμοδιότητα των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου. Προβλέπει επίσης τη δυνατότητα κίνησης διαδικασίας, για λογαριασμό του προσώπου στο οποίο αναφέρονται τα δεδομένα, από την αρχή ελέγχου του κράτους μέλους στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενώπιον των δικαστηρίων άλλου κράτους μέλους στο οποίο είναι εγκαταστημένη η αρμόδια αρχή ελέγχου.

Το άρθρο 75 αφορά το δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, βάσει του άρθρου 22 της οδηγίας 95/46/ΕΚ, και παρέχει τη δυνατότητα προσφυγής σε δικαστήριο στο κράτος μέλος στο οποίο είναι εγκαταστημένος ο καθ’ ου ή σε εκείνο στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Εάν εκκρεμεί διαδικασία για την ίδια υπόθεση στον μηχανισμό συνεκτικότητας, το δικαστήριο μπορεί να αναστείλει τη διαδικασία, εκτός εάν πρόκειται για επείγουσα υπόθεση.

Το άρθρο 76 θεσπίζει κοινούς κανόνες για τη δικαστική διαδικασία, συμπεριλαμβανομένων των δικαιωμάτων φορέων, οργανισμών και οργανώσεων να εκπροσωπούν πρόσωπα στα οποία αφορούν τα δεδομένα ενώπιον των δικαστηρίων, του δικαιώματος των αρχών ελέγχου να συμμετέχουν σε νομικές διαδικασίες και να ενημερώνουν τα δικαστήρια για την ύπαρξη παράλληλης διαδικασίας σε άλλο κράτος μέλος, και της δυνατότητας των δικαστηρίων να αναστέλλουν τη διαδικασία σε μια τέτοια περίπτωση[38]. Τα κράτη μέλη υποχρεούνται να διασφαλίζουν την ταχύτητα των ενδίκων μέσων[39].

Το άρθρο 77 καθορίζει το δικαίωμα αποζημίωσης και την ευθύνη. Βασίζεται στο άρθρο 23 της οδηγίας 95/46/ΕΚ, επεκτείνει το δικαίωμα αυτό σε ζημίες που προκαλούνται από εκτελούντες την επεξεργασία και αποσαφηνίζει την ευθύνη των από κοινού υπευθύνων επεξεργασίας και των από κοινού εκτελούντων την επεξεργασία.

Το άρθρο 78 υποχρεώνει τα κράτη μέλη να θεσπίζουν κανόνες σχετικά με ποινές, για την κύρωση παραβάσεων του κανονισμού, και να διασφαλίζουν την εφαρμογή τους.

Το άρθρο 79 υποχρεώνει κάθε αρχή ελέγχου να επιβάλλει κυρώσεις για τα διοικητικά παραπτώματα που απαριθμούνται στους καταλόγους που αναφέρονται στην παρούσα διάταξη, επιβάλλοντας πρόστιμα έως μέγιστα ποσά, λαμβάνοντας δεόντως υπόψη τις συνθήκες κάθε μεμονωμένης περίπτωσης.

3.4.9. ΚΕΦΑΛΑΙΟ IX – ΔΙΑΤΑΞΕΙΣ ΠΟΥ ΑΦΟΡΟΥΝ ΕΙΔΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Το άρθρο 80 υποχρεώνει τα κράτη μέλη να θεσπίζουν εξαιρέσεις και παρεκκλίσεις από τις ειδικές διατάξεις του κανονισμού, όταν απαιτείται, για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα ελευθερίας έκφρασης. Βασίζεται στο άρθρο 9 της οδηγίας 95/46/ΕΚ, όπως ερμηνεύθηκε από το Δικαστήριο της ΕΕ[40].

Το άρθρο 81 υποχρεώνει τα κράτη μέλη, πέραν των προϋποθέσεων για τις ειδικές κατηγορίες δεδομένων, να διασφαλίζουν ειδικές εγγυήσεις για την επεξεργασία για σκοπούς υγείας.

Το άρθρο 82 εξουσιοδοτεί τα κράτη μέλη να θεσπίζουν ειδικούς νόμους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης.

Το άρθρο 83 καθορίζει ειδικές προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς και στατιστικούς σκοπούς, καθώς και για σκοπούς επιστημονικής έρευνας.

Το άρθρο 84 εξουσιοδοτεί τα κράτη μέλη να θεσπίζουν ειδικούς κανόνες για την πρόσβαση των αρχών ελέγχου σε δεδομένα προσωπικού χαρακτήρα και σε εγκαταστάσεις, όταν οι υπεύθυνοι επεξεργασίας υπέχουν υποχρεώσεις απορρήτου.

Το άρθρο 85 επιτρέπει, υπό το πρίσμα του άρθρου 17 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, τη συνεχή εφαρμογή των ισχυόντων συνολικών κανόνων για την προστασία των δεδομένων εκκλησιών, εφόσον εναρμονισθούν με τον παρόντα κανονισμό.

3.4.10. ΚΕΦΑΛΑΙΟ X – ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Το άρθρο 86 περιέχει τις τυποποιημένες διατάξεις για την άσκηση των αναθέσεων σύμφωνα με το άρθρο 290 ΣΛΕΕ. Αυτό επιτρέπει στον νομοθέτη να αναθέτει στην Επιτροπή την εξουσία έκδοσης μη νομοθετικών πράξεων γενικής ισχύος που συμπληρώνουν ή τροποποιούν ορισμένα μη ουσιώδη στοιχεία της νομοθετικής πράξης (οιονεί νομοθετικές πράξεις).

Το άρθρο 87 περιέχει τη διάταξη για τη διαδικασία επιτροπής που απαιτείται για την ανάθεση εκτελεστικών εξουσιών στην Επιτροπή στις περιπτώσεις στις οποίες, σύμφωνα με το άρθρο 291 ΣΛΕΕ, απαιτούνται ενιαίες προϋποθέσεις για την εκτέλεση των νομικά δεσμευτικών πράξεων της Ένωσης. Εφαρμόζεται η διαδικασία εξέτασης.

3.4.11. ΚΕΦΑΛΑΙΟ XI – ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Το άρθρο 88 καταργεί την οδηγία 95/46/ΕΚ.

Το άρθρο 89 αποσαφηνίζει τη σχέση με, και τροποποιεί, την οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Το άρθρο 90 υποχρεώνει την Επιτροπή να αξιολογεί τον κανονισμό και να υποβάλλει σχετικές εκθέσεις.

Το άρθρο 91 καθορίζει την ημερομηνία έναρξης ισχύος του κανονισμού και μεταβατική φάση όσον αφορά την ημερομηνία από την οποία τίθεται σε εφαρμογή.

4.           ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ

Οι συγκεκριμένες δημοσιονομικές επιπτώσεις της πρότασης σχετίζονται με τα καθήκοντα που ανατίθεται στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, όπως προσδιορίζεται στο νομοθετικό δημοσιονομικό δελτίο που συνοδεύει την παρούσα πρόταση. Οι επιπτώσεις αυτές απαιτούν τον αναπρογραμματισμό του τομέα 5 της δημοσιονομικής προοπτικής.

Η πρόταση δεν έχει επιπτώσεις στις επιχειρησιακές δαπάνες.

Το νομοθετικό δημοσιονομικό δελτίο που συνοδεύει την παρούσα πρόταση κανονισμού καλύπτει τις δημοσιονομικές επιπτώσεις του κανονισμού και της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας.

2012/0011 (COD)

Πρόταση

ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων)

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 16 παράγραφος 2 και το άρθρο 114 παράγραφος 1,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής[41]

Ύστερα από διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων [42],

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία,

Εκτιμώντας τα ακόλουθα:

(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παράγραφος 1 της Συνθήκης ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

(2) Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα προορίζεται να εξυπηρετεί τον άνθρωπο. Οι αρχές και οι κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν πρέπει, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των φυσικών προσώπων, να σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες τους, και συγκεκριμένα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Η επεξεργασία πρέπει να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενίσχυση και στη σύγκλιση των οικονομιών στην εσωτερική αγορά και στην ευημερία των φυσικών προσώπων.

(3) Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών[43] επιδιώκει την εναρμόνιση της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και τη διασφάλιση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.

(4) Η οικονομική και κοινωνική ολοκλήρωση, η οποία προέκυψε από τη λειτουργία της εσωτερικής αγοράς, έχει ως αποτέλεσμα σημαντική αύξηση των διασυνοριακών ροών. Η ανταλλαγή δεδομένων μεταξύ οικονομικών και κοινωνικών, δημόσιων και ιδιωτικών, παραγόντων σε ολόκληρη την Ένωση αυξήθηκε. Οι εθνικές αρχές των κρατών μελών καλούνται από το δίκαιο της Ένωσης να συνεργάζονται και να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα προκειμένου να μπορούν να εκτελούν τις υποχρεώσεις τους ή να ασκούν καθήκοντα για λογαριασμό αρχής άλλου κράτους μέλους.

(5) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της ανταλλαγής και της συλλογής δεδομένων αυξήθηκε εντυπωσιακά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτόγνωρη κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα καθιστούν ολοένα και περισσότερο δημόσια διαθέσιμες προσωπικές πληροφορίες παγκοσμίως. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και απαιτεί την περαιτέρω διευκόλυνση της ελεύθερης ροής δεδομένων εντός της Ένωσης και της διαβίβασης σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.

(6) Οι εξελίξεις αυτές απαιτούν την οικοδόμηση ενός ισχυρού και πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενου από αυστηρή εφαρμογή της νομοθεσίας, δεδομένης της σημασίας να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα πρέπει να έχουν τον έλεγχο των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, ενώ πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.

(7) Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν έγκυροι, η οδηγία δεν κατάφερε να αποτρέψει τον κατακερματισμό στον τρόπο με τον οποίο εφαρμόζεται η προστασία των δεδομένων σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου και τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, οι οποίοι συνδέονται ειδικότερα με την επιγραμμική δραστηριότητα. Αν το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων -και ειδικότερα του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα – που αναγνωρίζεται στα κράτη μέλη όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι διαφορετικό, αυτό ενδέχεται να εμποδίζει την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των υποχρεώσεών τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ.

(8) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

(9) Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τη λεπτομερή περιγραφή των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και των υποχρεώσεων εκείνων που επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αλλά επίσης αντίστοιχες εξουσίες παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και αντίστοιχες κυρώσεις για τους παραβάτες στα κράτη μέλη.

(10) Το άρθρο 16 παράγραφος 2 της Συνθήκης αναθέτει στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο να θεσπίσουν τους κανόνες σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τους κανόνες σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών.

(11) Για τη διασφάλιση συνεκτικού επιπέδου προστασίας για τα φυσικά πρόσωπα σε ολόκληρη την Ένωση και την αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, συμπεριλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει το ίδιο επίπεδο δικαστικά απαιτητών δικαιωμάτων για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη και το ίδιο επίπεδο υποχρεώσεων και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλίζεται συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και αποτελεσματική συνεργασία των αρχών ελέγχου των διάφορων κρατών μελών. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει διάφορες παρεκκλίσεις. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, τα κράτη μέλη και οι αρχές ελέγχου των κρατών μελών παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων πρέπει να βασίζεται στη σύσταση της Επιτροπής 2003/361/ΕΚ, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

(12) Η προστασία που παρέχει ο παρών κανονισμός αφορά τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όσον αφορά την επεξεργασία δεδομένων που αφορούν νομικά πρόσωπα, και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, συμπεριλαμβανομένης της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου, η παρεχόμενη από τον παρόντα κανονισμό προστασία δεν πρέπει να τυγχάνει επίκλησης. Αυτό πρέπει να ισχύει επίσης όταν η επωνυμία του νομικού προσώπου περιέχει τα ονόματα ενός ή περισσότερων φυσικών προσώπων.

(13) Η προστασία των φυσικών προσώπων πρέπει να είναι τεχνολογικά ουδέτερη και να μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές διότι, διαφορετικά, δημιουργείται σοβαρός κίνδυνος καταστρατήγησης. Η προστασία των φυσικών προσώπων πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα περιέχονται ή προορίζονται να περιληφθούν σε αρχείο. Τα αρχεία ή τα σύνολα αρχείων καθώς και οι συνοδευτικές σελίδες τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια, δεν πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού.

(14) Ο παρών κανονισμός δεν εξετάζει ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη ροή δεδομένων που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του δικαίου της Ένωσης και δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, που υπάγονται στον κανονισμό (ΕΚ) αριθ. 45/2001[44], ούτε την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων σε σχέση με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.

(15) Ο παρών κανονισμός δεν πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο, τα οποία δεδομένα είναι αποκλειστικά προσωπικά ή οικιακά, όπως η αλληλογραφία και η τήρηση διευθύνσεων, και χωρίς κανένα κερδοσκοπικό συμφέρον και, επομένως, χωρίς καμία σύνδεση με επαγγελματική ή εμπορική δραστηριότητα. Η εξαίρεση δεν πρέπει να εφαρμόζεται ούτε σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι παρέχουν τα μέσα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες.

(16) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και η ελεύθερη κυκλοφορία των δεδομένων αυτών, αποτελεί αντικείμενο συγκεκριμένης νομικής πράξης σε επίπεδο Ένωσης. Επομένως, ο παρών κανονισμός δεν πρέπει να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς. Ωστόσο, τα δεδομένα που υποβάλλονται σε επεξεργασία από δημόσιες αρχές βάσει του παρόντος κανονισμού, όταν χρησιμοποιούνται για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, πρέπει να ρυθμίζονται από την ειδικότερη νομική πράξη σε επίπεδο Ένωσης (οδηγία XX/YYY).

(17) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται με την επιφύλαξη της οδηγίας 2000/31/ΕΚ, και ιδίως των κανόνων για τη ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

(18) Ο παρών κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των διατάξεων που προβλέπονται στον παρόντα κανονισμό.

(19) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση εντός μιας εγκατάστασης πρέπει να διεξάγεται σύμφωνα με τον παρόντα κανονισμό, ανεξάρτητα από το κατά πόσον η ίδια η επεξεργασία πραγματοποιείται εντός ή εκτός της Ένωσης. Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερής ρύθμισης. Ο νομικός τύπος της ρύθμισης αυτής, είτε πρόκειται για παράρτημα είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας σε σχέση με το συγκεκριμένο ζήτημα.

(20) Για τη διασφάλιση του ότι τα φυσικά πρόσωπα δεν στερούνται την προστασία που δικαιούνται βάσει του παρόντος κανονισμού, η επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση πρέπει να υπάγεται στον παρόντα κανονισμό, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την παροχή αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα ή με την παρακολούθηση της συμπεριφοράς των εν λόγω προσώπων.

(21) Για τον καθορισμό του κατά πόσον μια διαδικασία επεξεργασίας μπορεί να θεωρηθεί ότι «παρακολουθεί τη συμπεριφορά» πρόσωπου στο οποίο αναφέρονται τα δεδομένα, πρέπει να εξακριβωθεί το κατά πόσον τα φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο με τεχνικές επεξεργασίας δεδομένων οι οποίες συνίστανται στη διαμόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι στάσεις του.

(22) Εάν το εθνικό δίκαιο ενός κράτους μέλους εφαρμόζεται δυνάμει του δημόσιου διεθνούς δικαίου, ο παρών κανονισμός πρέπει να εφαρμόζεται επίσης και σε υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, όπως, για παράδειγμα, στη διπλωματική αποστολή ή στην προξενική αρχή ενός κράτους μέλους.

(23) Οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά πρόσωπο κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί. Για τον καθορισμό του κατά πόσον η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας είτε από οποιοδήποτε άλλο πρόσωπο για την εξακρίβωση της ταυτότητας του φυσικού προσώπου. Οι αρχές της προστασίας των δεδομένων δεν πρέπει να εφαρμόζονται σε δεδομένα που ανωνυμοποιήθηκαν κατά τέτοιο τρόπο ώστε η ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα να μην μπορεί πλέον να εξακριβωθεί.

(24) Όταν χρησιμοποιούν επιγραμμικές υπηρεσίες, τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Ίντερνετ ή αναγνωριστικά cookies. Αυτά μπορεί να αφήνουν ίχνη τα οποία, σε συνδυασμό με μοναδικά αναγνωριστικά ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ των φυσικών προσώπων και την αναγνώριση της ταυτότητάς τους. Επομένως, αναγνωριστικοί αριθμοί, δεδομένα θέσης, επιγραμμικά αναγνωριστικά ταυτότητας ή άλλοι ειδικοί τέτοιοι παράγοντες δεν είναι υποχρεωτικό να θεωρούνται σε κάθε περίπτωση δεδομένα προσωπικού χαρακτήρα.

(25) Η συγκατάθεση πρέπει να παρέχεται ρητώς με κάθε προσήκουσα μέθοδο η οποία παρέχει ελεύθερη, ρητή και εν πλήρει επιγνώσει δήλωση της βούλησης του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω δήλωσης ή σαφούς θετικής ενέργειας από το συγκεκριμένο πρόσωπο, διασφαλίζοντας ότι τα φυσικά πρόσωπα γνωρίζουν ότι παρέχουν τη συγκατάθεσή τους στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων σημειώνοντας ένα πλαίσιο όταν επισκέπτονται έναν δικτυακό τόπο ή με κάθε άλλη δήλωση ή συμπεριφορά η οποία υποδεικνύει σαφώς στο πλαίσιο αυτό την αποδοχή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα της προτεινόμενης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Επομένως, η σιωπή ή η παράλειψη ενέργειας δε συνιστά συγκατάθεση. Η συγκατάθεση πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο ή τους ίδιους σκοπούς. Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα πρόκειται να δοθεί σε συνέχεια ηλεκτρονικού αιτήματος, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται η συγκατάθεση.

(26)             Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να περιλαμβάνουν ειδικότερα όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του προσώπου στο οποίο αναφέρονται τα δεδομένα· πληροφορίες σχετικά με την εγγραφή του φυσικού προσώπου για την παροχή υπηρεσιών υγείας· πληροφορίες σχετικά με πληρωμές ή με την επιλεξιμότητα του συγκεκριμένου φυσικού προσώπου για υπηρεσίες υγειονομικής περίθαλψης· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας το οποίο αποδίδεται σε ένα φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίησή του για σκοπούς υγείας· κάθε σχετική με το φυσικό πρόσωπο πληροφορία που συλλέχθηκε κατά την παροχή υγειονομικής περίθαλψης στο εν λόγω πρόσωπο· πληροφορίες οι οποίες προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, συμπεριλαμβανομένων βιολογικών δειγμάτων· την ταυτοποίηση ενός προσώπου ως παρόχου υπηρεσιών υγειονομικής περίθαλψης στο φυσικό πρόσωπο· ή κάθε πληροφορία π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή την πραγματική φυσιολογική ή βιοϊατρική κατάσταση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ανεξαρτήτως πηγής, όπως π.χ. από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

(27) Η κύρια εγκατάσταση ενός υπευθύνου επεξεργασίας στην Ένωση πρέπει να καθορίζεται σύμφωνα με αντικειμενικά κριτήρια, και πρέπει να σημαίνει την ουσιαστική και πραγματική άσκηση δραστηριοτήτων διαχείρισης οι οποίες καθορίζουν τις κύριες αποφάσεις ως προς τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας μέσω σταθερής ρύθμισης. Το κριτήριο αυτό δεν πρέπει να εξαρτάται από το κατά πόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται πράγματι στον συγκεκριμένο τόπο· η ύπαρξη και η χρήση τεχνικών μέσων και τεχνολογιών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή δραστηριοτήτων επεξεργασίας δεν αποτελούν αφ’ εαυτές τέτοια κύρια εγκατάσταση και, επομένως, δεν είναι καθοριστικά κριτήρια της κύριας εγκατάστασης. Η κύρια εγκατάσταση του εκτελούντος την επεξεργασία πρέπει να είναι ο τόπος της κεντρικής διοίκησής του στην Ένωση.

(28) Ο όμιλος επιχειρήσεων πρέπει να καλύπτει την ελέγχουσα επιχείρηση και τις ελεγχόμενες επιχειρήσεις της, όπου η ελέγχουσα επιχείρηση πρέπει να είναι η επιχείρηση η οποία μπορεί να ασκεί κυρίαρχη επιρροή στις άλλες επιχειρήσεις δυνάμει, για παράδειγμα, κυριότητας, οικονομικής συμμετοχής ή των κανόνων που τη διέπουν ή της εξουσίας εφαρμογής κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα.

(29) Τα δεδομένα προσωπικού χαρακτήρα παιδιών απαιτούν ειδική προστασία, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των κινδύνων, των συνεπειών, των εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για τον καθορισμό του πότε ένα φυσικό πρόσωπο είναι παιδί, ο παρών κανονισμός πρέπει να υιοθετήσει τον ορισμό που προβλέπεται στη σύμβαση των Ηνωμένων Εθνών για τα δικαιώματα του παιδιού.

(30) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά. Ειδικότερα, οι συγκεκριμένοι σκοποί για τους οποίους υποβάλλονται σε επεξεργασία πρέπει να είναι σαφείς και νόμιμοι και να καθορίζονται κατά τον χρόνο συλλογής των δεδομένων. Τα δεδομένα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι τα δεδομένα που συλλέγονται δεν είναι υπερβολικά και ότι το διάστημα αποθήκευσης των δεδομένων περιορίζεται στο ελάχιστο δυνατόν. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία μόνον εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ορθά διορθώνονται ή διαγράφονται. Για τη διασφάλιση του ότι τα δεδομένα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους.

(31) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία βάσει της συγκατάθεσης του ενδιαφερόμενου προσώπου ή κάποιας άλλης θεμιτής βάσης, η οποία προβλέπεται διά νόμου είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους η οποία αναφέρεται στον παρόντα κανονισμό.

(32) Όταν η επεξεργασία βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, εγγυήσεις πρέπει να διασφαλίζουν ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα γνωρίζει ότι και σε ποιο βαθμό παρέχει τη συγκατάθεσή του.

(33) Για τη διασφάλιση της ελεύθερης συγκατάθεσης, πρέπει να διευκρινίζεται ότι η συγκατάθεση δεν συνιστά έγκυρο νομικό λόγο όταν το φυσικό πρόσωπο δεν έχει γνήσια και ελεύθερη επιλογή και δεν είναι ακολούθως σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς αυτό να αποβεί εις βάρος του.

(34) Η συγκατάθεση δεν πρέπει να παρέχει έγκυρο νομικό λόγο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν υπάρχει σαφής ανισορροπία μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας. Αυτό ισχύει ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα τελεί σε σχέση εξάρτησης από τον υπεύθυνο επεξεργασία, μεταξύ άλλων, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον εργοδότη στο πλαίσιο της εργασιακής τους σχέσης. Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή, ανισορροπία στις συγκεκριμένες πράξεις επεξεργασίας δεδομένων υπάρχει μόνον εάν η δημόσια αρχή μπορεί να επιβάλει μια υποχρέωση δυνάμει των σχετικών δημόσιων εξουσιών της και η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται ελεύθερα, λαμβάνοντας υπόψη το συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(35) Η επεξεργασία πρέπει επίσης να είναι σύννομη εφόσον είναι αναγκαία στο πλαίσιο σύμβασης ή πρόθεσης σύναψης σύμβασης.

(36) Εάν η επεξεργασία διενεργείται για σκοπούς συμμόρφωσης προς νομική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή εάν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η νομική βάση της επεξεργασίας πρέπει να ερείδεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους, ανταποκρινόμενη στις απαιτήσεις του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης σχετικά με οιονδήποτε περιορισμό των δικαιωμάτων και των ελευθεριών. Επίσης, το δίκαιο της Ένωσης ή το εθνικό δίκαιο καθορίζουν κατά πόσον ο υπεύθυνος επεξεργασίας ο οποίος εκτελεί καθήκον που ασκείται για το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας θα πρέπει να είναι δημόσια διοίκηση ή άλλο φυσικό ή νομικό πρόσωπο του δημοσίου δικαίου ή του ιδιωτικού δικαίου, όπως επαγγελματική οργάνωση.

(37) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει επίσης να θεωρείται σύννομη όταν είναι απαραίτητη για την προστασία ζωτικού συμφέροντος για τη ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(38) Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα. Κάτι τέτοιο απαιτεί προσεκτική αξιολόγηση ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί, δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην επεξεργασία για λόγους που σχετίζονται με τη συγκεκριμένη κατάστασή του και χωρίς οικονομική επιβάρυνση. Για τη διασφάλιση της διαφάνειας, ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να ενημερώνει ρητώς το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τα έννομα συμφέροντα που επιδιώκονται και για το δικαίωμα αντίταξης, καθώς και να υποχρεούται να τεκμηριώνει τα εν λόγω έννομα συμφέροντα. Δεδομένου ότι ο νομοθέτης πρέπει να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων από τις δημόσιες αρχές, ο συγκεκριμένος νομικός λόγος δεν πρέπει να εφαρμόζεται για την επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.

(39) Η επεξεργασία δεδομένων, στο βαθμό που είναι αυστηρά απαραίτητη για τη διασφάλιση της ασφάλειας δικτύων και πληροφοριών, δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να αντέχει, έως ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή παράνομες ή κακόβουλες ενέργειες οι οποίες διακυβεύουν τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων ή διαβιβαζόμενων δεδομένων, καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και συστήματα ή που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, από δημόσιες αρχές, ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), ομάδες παρέμβασης συμβάντων που αφορούν την ασφάλεια των υπολογιστών (CSIRT), παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και παρόχους τεχνολογιών και υπηρεσιών ασφάλειας, αποτελεί έννομο συμφέρον του ενδιαφερόμενου υπευθύνου επεξεργασίας. Αυτό μπορεί να περιλαμβάνει, για παράδειγμα, την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δίκτυα ηλεκτρονικών επικοινωνιών και διανομής κακόβουλων προγραμμάτων και την παύση επιθέσεων «άρνησης υπηρεσίας» και ζημιών σε συστήματα πληροφορικής και ηλεκτρονικών επικοινωνιών.

(40) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς πρέπει να επιτρέπεται μόνον εάν η επεξεργασία είναι συμβατή με τους σκοπούς εκείνους για τους οποίους συλλέχθηκαν αρχικά τα δεδομένα, ιδίως εάν η επεξεργασία είναι αναγκαία για ιστορικούς και στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας. Εάν ο άλλος σκοπός δεν είναι συμβατός με τον αρχικό σκοπό για τον οποίο συλλέχθηκαν τα δεδομένα, ο υπεύθυνος επεξεργασίας πρέπει να εξασφαλίζει τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον συγκεκριμένο άλλο σκοπό ή πρέπει να βασίζει την επεξεργασία σε άλλον θεμιτό λόγο σύννομης επεξεργασίας, ιδίως εάν προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλος στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Σε κάθε περίπτωση, πρέπει να εξασφαλίζεται η εφαρμογή των αρχών που καθορίζονται στον παρόντα κανονισμό και, ιδίως, η ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα σχετικά με τους άλλους αυτούς σκοπούς.

(41) Τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με τα θεμελιώδη δικαιώματα ή με την ιδιωτική ζωή χρήζουν ειδικής προστασίας. Τέτοια δικαιώματα δεν πρέπει να υποβάλλονται σε επεξεργασία, παρά μόνον με τη ρητή συγκατάθεση του προσώπου το οποίο αφορούν. Ωστόσο, πρέπει να προβλέπονται ρητώς παρεκκλίσεις από τη συγκεκριμένη απαγόρευση σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων από ορισμένες οργανώσεις ή ιδρύματα σκοπός των οποίων είναι να επιτρέπουν την άσκηση θεμελιωδών ελευθεριών.

(42) Η παρέκκλιση από την απαγόρευση επεξεργασίας ευαίσθητων κατηγοριών δεδομένων πρέπει να επιτρέπεται επίσης όταν θεσπίζεται διά νόμου, και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα, εφόσον κάτι τέτοιο δικαιολογείται από λόγους δημόσιου συμφέροντος και κυρίως για σκοπούς υγείας, συμπεριλαμβανομένης της δημόσιας υγείας, της κοινωνικής προστασίας και της διαχείρισης υπηρεσιών υγειονομικής περίθαλψης, προκειμένου ιδίως να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων για παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας ή για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας.

(43) Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για την επίτευξη στόχων, προβλεπόμενων στο συνταγματικό ή στο δημόσιο διεθνές δίκαιο, επίσημα αναγνωρισμένων θρησκευτικών οργανισμών διενεργείται για λόγους δημόσιου συμφέροντος.

(44) Εάν στο πλαίσιο εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος απαιτεί σε ένα κράτος μέλος τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, υπό τον όρο ότι θεσπίζονται κατάλληλες εγγυήσεις.

(45) Εάν τα δεδομένα τα οποία επεξεργάζεται ένας υπεύθυνος επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να αναγνωρίσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν πρέπει να υποχρεούται να εξασφαλίζει πρόσθετες πληροφορίες προκειμένου να αναγνωρίσει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα με μοναδικό σκοπό τη συμμόρφωσή του προς οποιαδήποτε διάταξη του παρόντος κανονισμού. Σε περίπτωση αιτήματος πρόσβασης, ο υπεύθυνος επεξεργασίας πρέπει να δικαιούται να ζητεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα περισσότερες πληροφορίες οι οποίες θα του επιτρέψουν να εντοπίσει τα δεδομένα προσωπικού χαρακτήρα που ζητεί το εν λόγω πρόσωπο.

(46) Η αρχή της διαφάνειας απαιτεί κάθε ενημέρωση η οποία απευθύνεται στο κοινό ή στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να είναι εύκολα προσιτή και εύκολα κατανοητή και να χρησιμοποιείται απλή διατύπωση. Αυτό έχει ιδιαίτερη σημασία όταν σε περιπτώσεις, όπως η επιγραμμική διαφήμιση, η πληθώρα των συμμετεχόντων και η πολυπλοκότητα των χρησιμοποιούμενων τεχνολογιών καθιστούν δύσκολο για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να γνωρίζει και να κατανοεί εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που το αφορούν, από ποιον και για ποιον σκοπό. Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία αφορά ειδικά παιδί, πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα ώστε το παιδί να μπορεί να την κατανοεί εύκολα.

(47) Πρέπει να προβλέπονται τρόποι για τη διευκόλυνση της άσκησης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα των δικαιωμάτων του που προβλέπονται από τον παρόντα κανονισμό, συμπεριλαμβανομένων ειδικότερα μηχανισμών υποβολής αιτημάτων -χωρίς οικονομική επιβάρυνση- πρόσβασης σε δεδομένα, διόρθωσης, διαγραφής και άσκησης του δικαιώματος αντίταξης. Ο υπεύθυνος επεξεργασίας πρέπει να υποχρεούται να απαντά σε αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα εντός καθορισμένης προθεσμίας και να παρέχει αιτιολογία στην περίπτωση που δεν συμμορφώνεται προς το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(48) Οι αρχές της θεμιτής και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ειδικότερα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, για τη διάρκεια αποθήκευσης των δεδομένων, για την ύπαρξη δικαιώματος πρόσβασης, διόρθωσης ή διαγραφής και για το δικαίωμα υποβολής καταγγελίας. Εάν τα δεδομένα συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, το εν λόγω πρόσωπο πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα και για τις συνέπειες της μη παροχής των εν λόγω δεδομένων.

(49) Η ενημέρωση σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να παρέχεται κατά τη συλλογή ή, εάν τα δεδομένα δεν συλλέγονται από το πρόσωπο στο οποίο αναφέρονται, εντός εύλογης προθεσμίας, ανάλογα με τις συνθήκες κάθε περίπτωσης. Εάν τα δεδομένα επιτρέπεται να κοινοποιηθούν σε άλλον αποδέκτη, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να ενημερώνεται όταν τα δεδομένα κοινοποιούνται για πρώτη φορά στον εν λόγω αποδέκτη.

(50) Ωστόσο, δεν είναι αναγκαίο να επιβάλλεται η υποχρέωση αυτή εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη την ενημέρωση αυτή ή εάν η καταχώριση ή η κοινοποίηση των δεδομένων προβλέπεται ρητώς από τον νόμο ή εάν η παροχή ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποδεικνύεται ανέφικτη ή απαιτεί δυσανάλογες προσπάθειες. Η τελευταία αυτή περίπτωση μπορεί να συμβεί ειδικότερα εάν η επεξεργασία προορίζεται για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας· συναφώς, μπορούν να λαμβάνονται υπόψη ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα, η ηλικία των δεδομένων και τυχόν ληφθέντα αντισταθμιστικά μέτρα.

(51) Κάθε πρόσωπο πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το δικαίωμα αυτό ευχερώς, προκειμένου να γνωρίζει και να ελέγχει τη νομιμότητα της επεξεργασίας. Επομένως, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να γνωρίζει και να εξασφαλίζει ενημέρωση, ιδίως όσον αφορά τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, το χρονικό διάστημα της επεξεργασίας, τους αποδέκτες που λαμβάνουν τα δεδομένα, τη συλλογιστική για τα δεδομένα που υποβάλλονται σε επεξεργασία και τις δυνητικές συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. Το δικαίωμα αυτό δεν πρέπει να επηρεάζει αρνητικά τα δικαιώματα και τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα πνευματικής ιδιοκτησίας και, ειδικότερα, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε ενημέρωσης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(52) Ο υπεύθυνος επεξεργασίας χρησιμοποιεί κάθε εύλογο μέτρο για να επαληθεύει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα το οποίο ζητεί πρόσβαση, ιδίως στο πλαίσιο επιγραμμικών υπηρεσιών και επιγραμμικών αναγνωριστικών ταυτότητας. Ο υπεύθυνος επεξεργασίας δεν πρέπει να διατηρεί δεδομένα προσωπικού χαρακτήρα με μοναδικό σκοπό να μπορεί να αποκρίνεται σε δυνητικά αιτήματα.

(53) Κάθε πρόσωπο πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και το «δικαίωμα να λησμονηθεί» εάν η διατήρηση των εν λόγω δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό. Ειδικότερα, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα να ζητούν τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, εάν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, εάν τα πρόσωπα στα οποία αναφέροντα τα δεδομένα αποσύρουν τη συγκατάθεσή τους για την επεξεργασία ή εάν αντιτάσσονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό για οποιονδήποτε άλλο λόγο. Το δικαίωμα αυτό έχει ιδιαίτερη σημασία όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην παιδική του ηλικία, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων πρέπει να επιτρέπεται όταν είναι αναγκαία για ιστορικούς ή στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για την άσκηση του δικαιώματος ελευθερίας έκφρασης, όταν απαιτείται από τον νόμο ή εάν υπάρχει λόγος περιορισμού της επεξεργασίας των δεδομένων αντί της διαγραφής τους.

(54) Για να ενισχυθεί το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα «να λησμονηθεί», το δικαίωμα διαγραφής πρέπει επίσης να επεκταθεί με τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας ο οποίος δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα να υποχρεούται να ενημερώνει τους τρίτους που επεξεργάζονται τα εν λόγω δεδομένα ότι ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα του ζήτησε να διαγραφεί κάθε σύνδεσμος ή αντίγραφο ή αναπαραγωγή των εν λόγω δεδομένων προσωπικού χαρακτήρα. Για τη διασφάλιση της εν λόγω ενημέρωσης, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων είναι αρμόδιος. Σε σχέση με τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας πρέπει να θεωρείται υπεύθυνος για τη δημοσίευση, εάν αυτός ο ίδιος ενέκρινε τη δημοσίευση από τον τρίτο.

(55) Για να ενισχυθεί περαιτέρω ο έλεγχος επί των δεδομένων τους και το δικαίωμα πρόσβασής τους, τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν το δικαίωμα, εάν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να λαμβάνουν αντίγραφο των δεδομένων που τα αφορούν εξίσου σε συνήθως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται επίσης να μεταφέρει τα εν λόγω δεδομένα, τα οποία παρέσχε, από μια αυτοματοποιημένη εφαρμογή, όπως ένα κοινωνικό δίκτυο, σε μια άλλη. Αυτό πρέπει να εφαρμόζεται όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα στο αυτοματοποιημένο σύστημα επεξεργασίας, με τη συγκατάθεσή του ή στο πλαίσιο της εκτέλεσης σύμβασης.

(56) Σε περιπτώσεις στις οποίες δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν νόμιμα σε επεξεργασία για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται ή για λόγους δημόσιου συμφέροντος, άσκησης δημόσιας εξουσίας, ή εξυπηρέτησης εννόμων συμφερόντων του υπευθύνου της επεξεργασίας, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να δικαιούται παρ’ όλα αυτά να αντιταχθεί στην επεξεργασία τυχόν δεδομένων που το αφορούν. Ο υπεύθυνος επεξεργασίας πρέπει να φέρει το βάρος απόδειξης ότι τα έννομα συμφέροντά του υπερισχύουν ενδεχομένως των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(57) Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης , το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει το δικαίωμα να αντιταχθεί στην εν λόγω επεξεργασία ατελώς και με ευχερή και αποτελεσματικό τρόπο.

(58) Κάθε φυσικό πρόσωπο πρέπει να έχει το δικαίωμα να μην υπάγεται σε μέτρο το οποίο βασίζεται σε κατάρτιση προφίλ μέσω αυτοματοποιημένης επεξεργασίας. Ωστόσο, ένα τέτοιο μέτρο πρέπει να επιτρέπεται όταν εγκρίνεται ρητώς διά νόμου, εκτελείται κατά τη σύναψη ή την εκτέλεση σύμβασης ή όταν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του. Σε κάθε περίπτωση, η επεξεργασία πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, συμπεριλαμβανομένης της ειδικής ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης και της προϋπόθεσης το εν λόγω μέτρο να μην αφορά παιδί.

(59) Περιορισμοί σε συγκεκριμένες βασικές αρχές και στα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και διαγραφής ή στο δικαίωμα φορητότητας των δεδομένων, στο δικαίωμα αντίταξης, στα μέτρα που βασίζονται σε κατάρτιση προφίλ καθώς και στη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε ορισμένες σχετικές υποχρεώσεις των υπευθύνων επεξεργασίας μπορούν να επιβληθούν από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, στον βαθμό που είναι αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία για τη διασφάλιση της δημόσιας ασφάλειας, συμπεριλαμβανομένης της προστασίας της ανθρώπινης ζωής σε περίπτωση ιδίως φυσικών ή ανθρωπογενών καταστροφών, της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων ή παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, ή της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων. Οι εν λόγω περιορισμοί πρέπει να είναι σύμφωνοι προς τις απαιτήσεις που καθορίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.

(60) Πρέπει να θεσπισθεί συνολική ευθύνη και υποχρέωση αποζημίωσης εκ μέρους του υπευθύνου επεξεργασίας για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει και να υποχρεούται να αποδείξει τη συμμόρφωση κάθε πράξης επεξεργασίας προς τον παρόντα κανονισμό.

(61) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, τόσο κατά τον σχεδιασμό της επεξεργασίας όσο και κατά την ίδια την επεξεργασία, ώστε να διασφαλίζεται ότι πληρούνται οι απαιτήσεις του παρόντος κανονισμού. Για τη διασφάλιση και την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει κατάλληλα μέτρα, τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και της προστασίας των δεδομένων εξ ορισμού.

(62) Η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς και η ευθύνη και η υποχρέωση αποζημίωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, επίσης σε σχέση με την παρακολούθηση από τις αρχές ελέγχου και τα μέτρα αρχών ελέγχου, προϋποθέτει σαφή κατανομή των αρμοδιοτήτων βάσει του παρόντος κανονισμού, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ένας υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας από κοινού με άλλους υπευθύνους επεξεργασίας ή όταν μια πράξη επεξεργασίας διενεργείται για λογαριασμό ενός υπευθύνου επεξεργασίας.

(63) Εάν ένας υπεύθυνος επεξεργασίας μη εγκαταστημένος στην Ένωση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, του οποίου οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα ή με την παρακολούθηση της συμπεριφοράς τους, ο υπεύθυνος επεξεργασίας πρέπει να ορίσει εκπρόσωπο, εκτός εάν ο υπεύθυνος επεξεργασίας είναι εγκαταστημένος σε τρίτη χώρα η οποία διασφαλίζει επαρκές επίπεδο προστασίας ή ο υπεύθυνος επεξεργασίας είναι μικρή ή μεσαία επιχείρηση ή δημόσια αρχή ή φορέας ή εάν ο υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα. Ο εκπρόσωπος πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας και σε αυτόν μπορεί να απευθύνεται κάθε αρχή ελέγχου.

(64) Για τον καθορισμό του κατά πόσον ένας υπεύθυνος επεξεργασίας προσφέρει μόνον περιστασιακά αγαθά και υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση, πρέπει να εξακριβώνεται κατά πόσον είναι εμφανές από τις συνολικές δραστηριότητες του υπευθύνου επεξεργασίας ότι η προσφορά αγαθών και υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι παρεπόμενη δραστηριότητα στις βασικές αυτές δραστηριότητες.

(65) Για την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να τεκμηριώνουν κάθε πράξη επεξεργασίας. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να υποχρεούται να συνεργάζεται με την αρχή ελέγχου και να θέτει στη διάθεσή της, κατόπιν αιτήματός της, την εν λόγω τεκμηρίωση ώστε να μπορεί να τη χρησιμοποιήσει για την παρακολούθηση των συγκεκριμένων πράξεων επεξεργασίας.

(66) Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να αξιολογούν τους εγγενείς κινδύνους της επεξεργασίας και εφαρμόζουν μέτρα για τον μετριασμό των εν λόγω κινδύνων. Τα μέτρα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά τη θέσπιση τεχνικών προτύπων και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας, η Επιτροπή πρέπει να προωθεί την τεχνολογική ουδετερότητα, τη διαλειτουργικότητα και την καινοτομία και, όπου συντρέχει περίπτωση, να συνεργάζεται με τρίτες χώρες.

(67) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπισθεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σημαντική οικονομική ζημία και κοινωνική βλάβη -συμπεριλαμβανομένης της υποκλοπής ταυτότητας- για το ενδιαφερόμενο φυσικό πρόσωπο. Επομένως, μόλις ο υπεύθυνος επεξεργασίας αντιληφθεί μια τέτοια παραβίαση, πρέπει να γνωστοποιήσει την παραβίαση στην αρχή ελέγχου αμελλητί και, ει δυνατόν, εντός 24 ωρών. Εάν αυτό δεν μπορεί να επιτευχθεί εντός 24 ωρών, η γνωστοποίηση πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης. Τα φυσικά πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα μπορεί να επηρεασθούν αρνητικά από την παραβίαση πρέπει να ενημερώνονται αμελλητί προκειμένου να μπορούν να λάβουν τις αναγκαίες προφυλάξεις. Η παραβίαση πρέπει να θεωρείται ότι επηρεάζει αρνητικά τα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται εάν μπορεί να έχει ως αποτέλεσμα, για παράδειγμα, κατάχρηση ή υποκλοπή ταυτότητας, σωματική βλάβη, σημαντική προσβολή ή βλάβη της φήμης του. Η γνωστοποίηση πρέπει να περιγράφει τη φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι γνωστοποιήσεις στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την αρχή ελέγχου και τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές (π.χ. αρχές επιβολής του νόμου). Για παράδειγμα, η δυνατότητα των προσώπων στα οποία αναφέρονται τα δεδομένα να μετριάσουν έναν άμεσο κίνδυνο βλάβης απαιτεί την άμεση ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά της συνέχισης της παραβίασης ή άλλων παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί μεγαλύτερη καθυστέρηση.

(68) Για να καθορισθεί κατά πόσον μια παραβίαση δεδομένων προσωπικού χαρακτήρα γνωστοποιείται αμελλητί στην αρχή ελέγχου και στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, πρέπει να εξακριβώνεται κατά πόσον ο υπεύθυνος επεξεργασίας θέσπισε και εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και οργανωτικά μέτρα ώστε να διαπιστώνεται αμέσως κατά πόσον έλαβε χώρα παραβίαση δεδομένων προσωπικού χαρακτήρα και να ενημερώνονται αμέσως η αρχή ελέγχου και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, προτού επέλθει ζημία σε προσωπικά και οικονομικά συμφέροντα, λαμβάνοντας υπόψη ειδικότερα τη φύση και τη σοβαρότητα της παραβίασης δεδομένων προσωπικού χαρακτήρα καθώς και τις συνέπειες και τα δυσμενή αποτελέσματά της για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(69) Κατά τη θέσπιση λεπτομερών κανόνων σχετικά με τον μορφότυπο και τις διαδικασίες που εφαρμόζονται στην γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, πρέπει να λαμβάνονται δεόντως υπόψη οι συνθήκες της παραβίασης, συμπεριλαμβανομένου του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα προστατεύονταν από κατάλληλα τεχνικά μέτρα προστασίας, περιορίζοντας ουσιαστικά το ενδεχόμενο υποκλοπής ταυτότητας ή άλλων μορφών κατάχρησης. Επιπλέον, οι εν λόγω κανόνες και οι διαδικασίες πρέπει να λαμβάνουν υπόψη τα έννομα συμφέροντα των αρχών επιβολής του νόμου σε περιπτώσεις στις οποίες η πρόωρη γνωστοποίηση μπορεί να εμποδίσει χωρίς λόγο τη διερεύνηση των συνθηκών μιας παραβίασης.

(70) Η οδηγία 95/46/ΕΚ προέβλεπε γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις αρχές ελέγχου. Παρότι η υποχρέωση αυτή συνεπάγεται διοικητικό και οικονομικό φόρτο, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, μια τέτοια γενική υποχρέωση κοινοποίησης χωρίς διαφοροποιήσεις πρέπει να καταργηθεί και να αντικατασταθεί με αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται σε εκείνες τις πράξεις επεξεργασίας που ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή του σκοπού τους. Σε αυτές τις περιπτώσεις πρέπει να διενεργείται εκτίμηση επιπτώσεων όσον αφορά την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, πριν από την επεξεργασία, η οποία πρέπει να περιλαμβάνει ειδικότερα τα προβλεπόμενα μέτρα, τις εγγυήσεις και τους μηχανισμούς που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό.

(71) Αυτό πρέπει να ισχύει ειδικότερα για νεοσυσταθέντα αρχεία μεγάλης κλίμακας, στόχος των οποίων είναι η επεξεργασία σημαντικής ποσότητας δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, τα οποία μπορεί να επηρεάζουν μεγάλο αριθμό προσώπων στα οποία αναφέρονται τα δεδομένα.

(72) Υπάρχουν περιπτώσεις στις οποίες ενδέχεται να είναι λογικό και οικονομικό το αντικείμενο μιας εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων να υπερβαίνει ένα μεμονωμένο σχέδιο, για παράδειγμα εάν δημόσιες αρχές ή φορείς σκοπεύουν να εγκαθιδρύσουν μια κοινή εφαρμογή ή πλατφόρμα επεξεργασίας ή εάν περισσότεροι υπεύθυνοι επεξεργασίας σχεδιάζουν να θεσπίσουν μια κοινή εφαρμογή ή ένα περιβάλλον επεξεργασίας σε έναν τομέα ή ένα τμήμα κλάδου ή για μια ευρέως χρησιμοποιούμενη οριζόντια δραστηριότητα.

(73) Οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων πρέπει να διενεργούνται από δημόσια αρχή ή δημόσιο φορέα, εάν μια τέτοια εκτίμηση δεν έχει ήδη διενεργηθεί στο πλαίσιο της θέσπισης της εθνικής νομοθεσίας στην οποία βασίζεται η άσκηση των καθηκόντων της δημόσιας αρχής ή του δημόσιου φορέα και η οποία ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων επεξεργασίας.

(74) Εάν η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων υποδεικνύει ότι οι πράξεις επεξεργασίας συνεπάγονται υψηλό βαθμό συγκεκριμένων κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως τον αποκλεισμό φυσικών προσώπων από το δικαίωμά τους, ή λόγω της χρήσης συγκεκριμένων νέων τεχνολογιών, πρέπει να ζητείται η γνώμη της αρχής ελέγχου, πριν από την έναρξη των πράξεων, για μια ριψοκίνδυνη επεξεργασία η οποία ενδέχεται να μην είναι σύμφωνη προς τον παρόντα κανονισμό, η δε αρχή ελέγχου πρέπει να μπορεί να διατυπώσει προτάσεις για την επανόρθωση της κατάστασης αυτής. Μια τέτοια διαβούλευση πρέπει επίσης να λάβει χώρα κατά την προετοιμασία ενός μέτρου από το εθνικό κοινοβούλιο ή ενός μέτρου που βασίζεται σε τέτοιο νομοθετικό μέτρο το οποίο καθορίζει τη φύση της επεξεργασίας και θεσπίζει κατάλληλες εγγυήσεις.

(75) Εάν η επεξεργασία διενεργείται στον δημόσιο τομέα ή εάν, στον ιδιωτικό τομέα, η επεξεργασία διενεργείται από μεγάλη επιχείρηση ή εάν οι βασικές δραστηριότητές της, ανεξάρτητα από το μέγεθος της επιχείρησης, περιλαμβάνουν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση, πρέπει να ορίζεται ένα πρόσωπο το οποίο συνδράμει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία στην παρακολούθηση της συμμόρφωσης, σε εσωτερικό επίπεδο, προς τον παρόντα κανονισμό. Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με πλήρη ανεξαρτησία.

(76) Οι ενώσεις ή άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, εντός των ορίων του παρόντος κανονισμού, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς.

(77) Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας των δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.

(78) Οι διασυνοριακές ροές δεδομένων προσωπικού χαρακτήρα είναι αναγκαίες για την επέκταση του διεθνούς εμπορίου και της διεθνούς συνεργασίας. Η αύξηση των ροών αυτών δημιούργησε νέες προκλήσεις και ανησυχίες όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση σε τρίτες χώρες ή σε διεθνείς οργανισμούς, το επίπεδο προστασίας των φυσικών προσώπων το οποίο εγγυάται στην Ένωση ο παρών κανονισμός δεν πρέπει να υπονομεύεται. Σε κάθε περίπτωση, οι διαβιβάσεις προς τρίτες χώρες μπορούν να διενεργούνται μόνον σε πλήρη συμμόρφωση προς τον παρόντα κανονισμό.

(79) Ο παρών κανονισμός δεν θίγει τις διεθνείς συμφωνίες που έχουν συναφθεί μεταξύ της Ένωσης και τρίτων χωρών οι οποίες ρυθμίζουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και περιλαμβάνουν κατάλληλες εγγυήσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

(80) Η Επιτροπή μπορεί να αποφασίζει, με ισχύ σε ολόκληρη την Ένωση, ότι ορισμένες τρίτες χώρες, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός παρέχουν επαρκές επίπεδο προστασίας των δεδομένων, εξασφαλίζοντας έτσι ασφάλεια δικαίου και ομοιομορφία σε ολόκληρη την Ένωση όσον αφορά τις τρίτες χώρες ή τους διεθνείς οργανισμούς που θεωρούνται ότι εξασφαλίζουν τέτοιο επίπεδο προστασίας. Στις περιπτώσεις αυτές, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα στις εν λόγω χώρες μπορούν να πραγματοποιούνται χωρίς να απαιτείται η εξασφάλιση οποιασδήποτε περαιτέρω έγκρισης.

(81) Σύμφωνα με τις θεμελιώδεις αρχές της Ένωσης, και ειδικότερα την προστασία των ανθρωπίνων δικαιωμάτων, η Επιτροπή οφείλει, κατά την αξιολόγηση της τρίτης χώρας, να λαμβάνει υπόψη με ποιον τρόπο μια δεδομένη τρίτη χώρα σέβεται το κράτος δικαίου, την πρόσβαση στη δικαιοσύνη, καθώς και τους διεθνείς κανόνες και τα πρότυπα για τα ανθρώπινα δικαιώματα.

(82) Η Επιτροπή μπορεί επίσης να αναγνωρίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας σε μια τρίτη χώρα, ή ένας διεθνής οργανισμός δεν παρέχουν επαρκές επίπεδο προστασίας των δεδομένων. Ως εκ τούτου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στη συγκεκριμένη τρίτη χώρα πρέπει να απαγορεύεται. Στην περίπτωση αυτή, πρέπει να προβλέπονται διαβουλεύσεις μεταξύ της Επιτροπής και των εν λόγω τρίτων χωρών ή διεθνών οργανισμών.

(83) Απουσία απόφασης περί επάρκειας της προστασίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να λάβουν μέτρα για να αντισταθμίσουν την έλλειψη προστασίας των δεδομένων σε μια τρίτη χώρα μέσω κατάλληλων εγγυήσεων για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου ή άλλων κατάλληλων και αναλογικών μέτρων τα οποία δικαιολογούνται υπό το πρίσμα όλων των συνθηκών που περιβάλλουν την πράξη διαβίβασης δεδομένων ή σειρά πράξεων διαβίβασης δεδομένων και εγκρίνονται από αρχή ελέγχου.

(84) Η δυνατότητα του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να χρησιμοποιεί τυποποιημένες ρήτρες προστασίας των δεδομένων, οι οποίες εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, δεν πρέπει να εμποδίζει τη δυνατότητα των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία να περιλαμβάνουν τις τυποποιημένες ρήτρες προστασίας των δεδομένων σε μια ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες εφόσον δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες που εγκρίνονται από την Επιτροπή ή από αρχή ελέγχου, ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα.

(85) Ένας όμιλος εταιρειών πρέπει να μπορεί να κάνει χρήση εγκεκριμένων δεσμευτικών εταιρικών κανόνων για τις διεθνείς διαβιβάσεις του από την Ένωση σε οργανισμούς εντός του ίδιου εταιρικού ομίλου επιχειρήσεων, εφόσον οι εν λόγω εταιρικοί κανόνες περιλαμβάνουν βασικές αρχές και δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας ώστε να διασφαλίζονται κατάλληλες εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα.

(86) Πρέπει να προβλεφθεί η δυνατότητα διαβιβάσεων σε ορισμένες περιπτώσεις στις οποίες το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, στις οποίες η διαβίβαση είναι αναγκαία σε σχέση με σύμβαση ή δικαστική διαδικασία, στις οποίες σημαντικοί λόγοι δημόσιου συμφέροντος που προβλέπονται από το δίκαιο της Ένωσης ή των κρατών μελών απαιτούν κάτι τέτοιο, ή στις οποίες η διαβίβαση πραγματοποιείται από μητρώο το οποίο συστάθηκε διά νόμου και προορίζεται για άντληση πληροφοριών από το κοινό ή πρόσωπα τα οποία έχουν έννομο συμφέρον. Στην τελευταία αυτή περίπτωση, η εν λόγω διαβίβαση δεν πρέπει να αφορά το σύνολο των δεδομένων ή ολόκληρες κατηγορίες δεδομένων που περιέχονται στο μητρώο και όταν το μητρώο προορίζεται για άντληση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πρέπει να πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν μπορούν να είναι αποδέκτες της διαβίβασης.

(87) Οι παρεκκλίσεις αυτές πρέπει να εφαρμόζονται ειδικότερα σε αιτηθείσες διαβιβάσεις δεδομένων που είναι αναγκαίες για την προστασία σημαντικών λόγων δημόσιου συμφέροντος, για παράδειγμα σε περιπτώσεις διεθνών διαβιβάσεων δεδομένων μεταξύ αρχών ανταγωνισμού, φορολογικών ή τελωνειακών αρχών, αρχών χρηματοοικονομικής εποπτείας, μεταξύ υπηρεσιών αρμόδιων για θέματα κοινωνικής ασφάλισης, ή σε αρμόδιες αρχές για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων.

(88) Διαβιβάσεις οι οποίες δεν είναι δυνατόν να χαρακτηρισθούν συχνές ή μαζικές ενδέχεται να επιτρέπονται επίσης για τον σκοπό των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, όταν αυτοί έχουν αξιολογήσει όλες τις συνθήκες που περιβάλλουν τη διαβίβαση των δεδομένων. Όταν η επεξεργασία αφορά ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας, πρέπει να λαμβάνονται υπόψη οι θεμιτές προσδοκίες της κοινωνίας όσον αφορά την αύξηση της γνώσης.

(89) Σε κάθε περίπτωση, εάν η Επιτροπή δεν έλαβε καμία απόφαση σχετικά με το επαρκές επίπεδο προστασίας των δεδομένων σε μια τρίτη χώρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να κάνουν χρήση λύσεων οι οποίες παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα την εγγύηση ότι θα συνεχίσουν να επωφελούνται των θεμελιωδών δικαιωμάτων και ελευθεριών όσον αφορά την επεξεργασία των δεδομένων τους στην Ένωση μετά τη διαβίβαση των εν λόγω δεδομένων.

(90) Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομοθετικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις διαδικασίες επεξεργασίας δεδομένων φυσικών και νομικών προσώπων που τελούν υπό τη δικαιοδοσία των κρατών μελών. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Διαβιβάσεις πρέπει να επιτρέπονται μόνον εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει μεταξύ άλλων εάν η γνωστοποίηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας. Οι προϋποθέσεις υπό τις οποίες συντρέχει σημαντικός λόγος δημόσιου συμφέροντος πρέπει να διευκρινισθούν περαιτέρω από την Επιτροπή σε κατ’ εξουσιοδότηση πράξη.

(91) Η διασυνοριακή διακίνηση δεδομένων προσωπικού χαρακτήρα αυξάνει ενδεχομένως τον κίνδυνο όσον αφορά την ικανότητα των φυσικών προσώπων να ασκούν δικαιώματα προστασίας των δεδομένων ιδίως για να προστατεύονται έναντι της παράνομης χρήσης ή οινοποίησης των συγκεκριμένων πληροφοριών. Ταυτόχρονα, οι αρχές ελέγχου μπορεί να διαπιστώσουν ότι αδυνατούν να δώσουν συνέχεια σε καταγγελίες ή να διενεργήσουν έρευνες σχετικά με δραστηριότητες εκτός των συνόρων τους. Οι προσπάθειές τους να συνεργασθούν στο διασυνοριακό πλαίσιο μπορεί επίσης να παρεμποδίζονται από ανεπαρκείς προληπτικές ή διορθωτικές εξουσίες, μη συνεκτικά νομικά καθεστώτα και πρακτικά εμπόδια, όπως η απουσία πόρων. Επομένως, πρέπει να προωθηθεί στενότερη συνεργασία μεταξύ των αρχών ελέγχου της προστασίας των δεδομένων ώστε να βοηθηθούν να ανταλλάσσουν πληροφορίες και να διενεργούν έρευνες με τους διεθνείς ομολόγους τους.

(92) Η σύσταση αρχών ελέγχου στα κράτη μέλη οι οποίες ασκούν τα καθήκοντά τους με πλήρη ανεξαρτησία αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Τα κράτη μέλη μπορούν να συστήσουν περισσότερες αρχές ελέγχου, ανάλογα με τη συνταγματική, οργανωτική και διοικητική δομή τους.

(93) Εάν ένα κράτος μέλος συστήνει περισσότερες αρχές ελέγχου, πρέπει να θεσπίζει διά νόμου μηχανισμούς ώστε να διασφαλίζεται η ουσιαστική συμμετοχή των εν λόγω αρχών ελέγχου στον μηχανισμό συνεκτικότητας. Το συγκεκριμένο κράτος μέλος πρέπει να ορίζει, ειδικότερα, την αρχή ελέγχου η οποία αποτελεί το ενιαίο σημείο επικοινωνίας για την ουσιαστική συμμετοχή των εν λόγω αρχών στον μηχανισμό, ώστε να διασφαλίζεται ταχεία και εύρυθμη συνεργασία με άλλες αρχές ελέγχου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και την Επιτροπή.

(94) Κάθε αρχή ελέγχου πρέπει να διαθέτει επαρκείς οικονομικούς και ανθρώπινους πόρους, εγκαταστάσεις και υποδομές, οι οποίες είναι αναγκαίες για την αποτελεσματική άσκηση των καθηκόντων της, συμπεριλαμβανομένων των καθηκόντων που σχετίζονται με την αμοιβαία συνδρομή και τη συνεργασία με άλλες αρχές ελέγχου σε ολόκληρη την Ένωση.

(95) Οι γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου πρέπει να θεσπίζονται διά νόμου σε κάθε κράτος μέλος και πρέπει να προβλέπουν, ειδικότερα, ότι τα εν λόγω μέλη διορίζονται είτε από το κοινοβούλιο είτε από την κυβέρνηση του κράτους μέλους, και να περιλαμβάνουν κανόνες για τα προσωπικά προσόντα των μελών και τη θέση τους.

(96) Οι αρχές ελέγχου πρέπει να παρακολουθούν την εφαρμογή των διατάξεων του παρόντος κανονισμού και να συμβάλλουν στη συνεκτική εφαρμογή του σε ολόκληρη την Ένωση προκειμένου να προστατεύονται τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και να διευκολύνεται η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Για τον σκοπό αυτό, οι αρχές ελέγχου πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή.

(97) Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση πραγματοποιείται σε περισσότερα κράτη μέλη, μία και μόνη αρχή ελέγχου πρέπει να είναι αρμόδια τόσο για την παρακολούθηση των δραστηριοτήτων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε ολόκληρη την Ένωση όσο και για τη λήψη των σχετικών αποφάσεων, προκειμένου να αυξάνεται η συνεκτικότητα της εφαρμογής, να παρέχεται ασφάλεια δικαίου και να μειώνεται ο διοικητικός φόρτος για τους εν λόγω υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία.

(98) Η αρμόδια αρχή, η οποία παρέχει αυτή την υπηρεσία μιας στάσης, πρέπει να είναι η αρχή ελέγχου του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν την κύρια εγκατάστασή τους.

(99) Παρότι ο παρών κανονισμός εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων, η αρμοδιότητα των αρχών ελέγχου δεν πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Ωστόσο, η εξαίρεση αυτή πρέπει να περιορίζεται αυστηρά σε αμιγώς δικαιοδοτικές δραστηριότητες στο πλαίσιο δικαστικών υποθέσεων και δεν εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν οι δικαστές σύμφωνα με το εθνικό δίκαιο.

(100) Για τη διασφάλιση της συνεκτικής παρακολούθησης και επιβολής του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι αρχές ελέγχου πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, συμπεριλαμβανομένων εξουσιών διερεύνησης, νομικά δεσμευτικής παρέμβασης, λήψης αποφάσεων και επιβολής κυρώσεων, ιδίως σε περιπτώσεις καταγγελιών από φυσικά πρόσωπα, και συμμετοχής σε νομικές διαδικασίες. Οι εξουσίες διερεύνησης των αρχών ελέγχου όσον αφορά την πρόσβαση σε εγκαταστάσεις πρέπει να ασκούνται σύμφωνα με το δίκαιο της Ένωσης και το εθνικό δίκαιο. Αυτό αφορά ειδικότερα την απαίτηση εξασφάλισης προηγούμενης δικαστικής έγκρισης.

(101) Κάθε αρχή ελέγχου πρέπει να εξετάζει τις καταγγελίες που υποβάλλονται από οποιοδήποτε πρόσωπο στο οποίο αναφέρονται τα δεδομένα και πρέπει να διερευνά την υπόθεση. Η διερεύνηση σε συνέχεια καταγγελίας πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η αρχή ελέγχου οφείλει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω διερεύνηση ή συντονισμό με άλλη αρχή ελέγχου, πρέπει να παρέχεται ενδιάμεση ενημέρωση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

(102) Οι δραστηριότητες ευαισθητοποίησης από τις αρχές ελέγχου οι οποίες απευθύνονται στο κοινό πρέπει να περιλαμβάνουν συγκεκριμένα μέτρα για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, συμπεριλαμβανομένων πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, καθώς και για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

(103) Οι αρχές ελέγχου πρέπει να αλληλοϋποστηρίζονται κατά την άσκηση των καθηκόντων τους, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή του παρόντος κανονισμού στην εσωτερική αγορά.

(104) Κάθε αρχή ελέγχου πρέπει να έχει δικαίωμα συμμετοχής σε κοινές πράξεις μεταξύ αρχών ελέγχου. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα πρέπει να υποχρεούται να απαντά στο αίτημα εντός καθορισμένης προθεσμίας.

(105) Για τη διασφάλιση της συνεκτικής εφαρμογής του παρόντος κανονισμού σε ολόκληρη την Ένωση, πρέπει να θεσπισθεί ένας μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των αρχών ελέγχου και με την Επιτροπή. Ο μηχανισμός αυτός πρέπει να εφαρμόζεται ειδικότερα εάν μια αρχή ελέγχου προτίθεται να θεσπίσει ένα μέτρο όσον αφορά πράξεις επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή σχετίζονται με την παρακολούθηση των εν λόγω προσώπων στα οποία αναφέρονται τα δεδομένα ή οι οποίες μπορεί να επηρεάζουν ουσιαστικά την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα. Πρέπει να εφαρμόζεται επίσης εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν την εξέταση της υπόθεσης στο πλαίσιο του μηχανισμού συνεκτικότητας. Ο εν λόγω μηχανισμός δεν πρέπει να θίγει τυχόν μέτρα τα οποία ενδέχεται να λάβει η Επιτροπή κατά την άσκηση των εξουσιών της βάσει των Συνθηκών.

(106) Κατά την εφαρμογή του μηχανισμού συνεκτικότητας, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων οφείλει να εκδίδει γνώμη, εντός καθορισμένης προθεσμίας, εφόσον αποφασίσει κάτι τέτοιο η απλή πλειοψηφία των μελών της ή εφόσον της ζητηθεί κάτι τέτοιο από οποιαδήποτε αρχή ελέγχου ή από την Επιτροπή.

(107) Για τη διασφάλιση της συμμόρφωσης προς τον παρόντα κανονισμό, η Επιτροπή μπορεί να εκδώσει γνώμη επί της υπόθεσης αυτής ή απόφαση, με την οποία αξιώνει από την αρχή ελέγχου την αναστολή του σχεδίου μέτρου.

(108) Ενδέχεται να υπάρχει επείγουσα ανάγκη λήψης μέτρων για την προστασία των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σημαντικά η άσκηση δικαιώματος του συγκεκριμένου προσώπου. Επομένως, μια αρχή ελέγχου πρέπει να είναι σε θέση να θεσπίζει προσωρινά μέτρα, με προσδιορισμένη διάρκεια ισχύος, κατά την εφαρμογή του μηχανισμού συνεκτικότητας.

(109) Η εφαρμογή του εν λόγω μηχανισμού πρέπει να αποτελεί προϋπόθεση για τη νομική ισχύ και την επιβολή της αντίστοιχης απόφασης από αρχή ελέγχου. Σε άλλες περιπτώσεις διασυνοριακού ενδιαφέροντος, ενδέχεται να παρασχεθεί αμοιβαία συνδρομή και να διεξαχθούν από κοινού έρευνες από τις ενδιαφερόμενες αρχές ελέγχου, σε διμερή ή πολυμερή βάση, χωρίς να ενεργοποιηθεί ο μηχανισμός συνεκτικότητας.

(110) Πρέπει να συσταθεί Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων στο επίπεδο της Ένωσης, η οποία πρέπει να αντικαταστήσει την ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε με την οδηγία 95/46/ΕΚ. Πρέπει να απαρτίζεται από τον προϊστάμενο αρχής ελέγχου κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Η Επιτροπή πρέπει να συμμετέχει στις δραστηριότητές της. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων παρέχοντας συμβουλές στην Επιτροπή και προωθώντας τη συνεργασία των αρχών ελέγχου σε ολόκληρη την Ένωση. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων της.

(111) Κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να έχει δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου οποιουδήποτε κράτους μέλους και δικαίωμα άσκησης δικαστικής προσφυγής, εάν θεωρεί ότι παραβιάζονται τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό ή εάν η αρχή ελέγχου δεν απαντά σε μια καταγγελία ή δεν ενεργεί όταν μια ενέργεια είναι απαραίτητη για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

(112) Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων προσώπων στα οποία αναφέρονται δεδομένα σε σχέση με την προστασία των δεδομένων τους και έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλους πρέπει να δικαιούται να υποβάλλει καταγγελία σε αρχή ελέγχου ή να ασκεί το δικαίωμα δικαστικής προσφυγής για λογαριασμό προσώπων στα οποία αναφέρονται δεδομένα ή να υποβάλλει ίδια καταγγελία, ανεξάρτητα από την καταγγελία προσώπου στο οποίο αναφέρονται τα δεδομένα, εάν θεωρεί ότι υπάρχει παραβίαση δεδομένων προσωπικού χαρακτήρα.

(113) Κάθε φυσικό ή νομικό πρόσωπο πρέπει να έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που τα αφορά. Η διαδικασία κατά αρχής ελέγχου πρέπει να κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

(114) Για την ενίσχυση της δικαστικής προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα, σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου είναι εγκαταστημένη σε κράτος μέλος διαφορετικό από εκείνο στο οποίο διαμένει το συγκεκριμένο πρόσωπο, το πρόσωπο αυτό το τελευταίο μπορεί να ζητήσει από οποιονδήποτε φορέα, οργανισμό ή οργάνωση που αποσκοπεί στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, να κινήσει, για λογαριασμό του, διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους.

(115) Σε περιπτώσεις στις οποίες η αρμόδια αρχή ελέγχου που είναι εγκαταστημένη σε άλλο κράτος μέλος δεν ενεργεί ή λαμβάνει ανεπαρκή μέτρα σε σχέση με μια καταγγελία, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να ζητεί από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία κατά της εν λόγω αρχής ελέγχου στο αρμόδιο δικαστήριο του άλλου κράτους μέλους. Η αρχή ελέγχου στην οποία υποβάλλεται το αίτημα μπορεί να αποφασίζει, με την επιφύλαξη δικαστικού ελέγχου, κατά πόσον ενδείκνυται να δώσει συνέχεια στο αίτημα.

(116) Για διαδικασίες κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, ο ενάγων πρέπει να μπορεί να επιλέγει εάν θα ασκήσει την αγωγή ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διαθέτει εγκατάσταση ή στο κράτος μέλος στο οποίο διαμένει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή η οποία ενεργεί στο πλαίσιο της άσκησης των δημόσιων εξουσιών της.

(117) Εάν υπάρχουν ενδείξεις ότι εκκρεμεί παράλληλη διαδικασία ενώπιον των δικαστηρίων διαφορετικών κρατών μελών, τα δικαστήρια πρέπει να υποχρεούνται να ειδοποιούν το ένα το άλλο. Τα δικαστήρια πρέπει να έχουν τη δυνατότητα αναστολής της εξέτασης μιας υπόθεσης εάν εκκρεμεί παράλληλη υπόθεση σε άλλο κράτος μέλος. Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, προκειμένου να είναι ουσιαστικές, επιτρέπουν την ταχεία λήψη μέτρων για την επανόρθωση ή την αποφυγή παράβασης του παρόντος κανονισμού.

(118) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα παράνομης επεξεργασίας πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, οι οποίοι μπορεί να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδεικνύουν ότι δεν ευθύνονται για τη ζημία, ιδίως δε εάν αποδεικνύουν υπαιτιότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα ή σε περίπτωση ανωτέρας βίας.

(119) Πρέπει να επιβάλλονται ποινές σε κάθε πρόσωπο, ιδιωτικού ή δημόσιου δικαίου το οποίο δεν συμμορφώνεται προς τον παρόντα κανονισμό. Τα κράτη μέλη πρέπει να διασφαλίζουν ότι οι ποινές είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και πρέπει να λαμβάνουν κάθε μέτρο για την επιβολή των ποινών.

(120) Για την ενίσχυση και την εναρμόνιση των διοικητικών κυρώσεων κατά παραβάσεων του παρόντος κανονισμού, κάθε αρχή ελέγχου πρέπει να έχει την εξουσία να επιβάλλει κυρώσεις για διοικητικά παραπτώματα. Ο παρών κανονισμός πρέπει να υποδεικνύει τα παραπτώματα αυτά καθώς και το ανώτατο όριο για τα σχετικά διοικητικά πρόστιμα, τα οποία πρέπει να καθορίζονται σε κάθε μεμονωμένη περίπτωση αναλογικά προς τη συγκεκριμένη κατάσταση, λαμβάνοντας δεόντως υπόψη ειδικότερα τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης. Ο μηχανισμός συνεκτικότητας μπορεί να χρησιμοποιείται επίσης για την αντιμετώπιση αποκλίσεων στην επιβολή διοικητικών κυρώσεων.

(121) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς, ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, πρέπει να πληροί τις προϋποθέσεις της εξαίρεσης από τις απαιτήσεις ορισμένων διατάξεων του παρόντος κανονισμού για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και, ειδικότερα, με το δικαίωμα λήψης ή μετάδοσης πληροφοριών, όπως διασφαλίζεται ειδικότερα στο άρθρο 11 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Αυτό πρέπει να ισχύει ειδικότερα στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στον οπτικοακουστικό τομέα και στα αρχεία ειδήσεων και στις βιβλιοθήκες Τύπου. Επομένως, τα κράτη μέλη πρέπει να θεσπίσουν νομοθετικά μέτρα τα οποία πρέπει να προβλέπουν εξαιρέσεις και παρεκκλίσεις οι οποίες είναι αναγκαίες για την εξισορρόπηση των εν λόγω θεμελιωδών δικαιωμάτων. Οι εν λόγω εξαιρέσεις και παρεκκλίσεις πρέπει να θεσπίζονται από τα κράτη μέλη σχετικά με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα, τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς, τις ανεξάρτητες αρχές ελέγχου και τη συνεργασία και τη συνεκτικότητα. Ωστόσο, αυτό δεν πρέπει να οδηγήσει τα κράτη μέλη να θεσπίσουν εξαιρέσεις από τις λοιπές διατάξεις του παρόντος κανονισμού. Για να ληφθεί υπόψη η σημασία του δικαιώματος της ελευθερίας της έκφρασης σε κάθε δημοκρατική κοινωνία, είναι απαραίτητο να ερμηνεύονται ευρέως οι έννοιες που σχετίζονται με την εν λόγω ελευθερία, όπως η δημοσιογραφία. Επομένως, τα κράτη μέλη πρέπει να ταξινομούν δραστηριότητες ως «δημοσιογραφικές» για τον σκοπό των εξαιρέσεων και των παρεκκλίσεων που πρόκειται να θεσπισθούν βάσει του παρόντος κανονισμού, εάν αντικείμενο των εν λόγω δραστηριοτήτων είναι η γνωστοποίηση στο κοινό πληροφοριών, γνωμών ή ιδεών, ανεξάρτητα από το μέσο που χρησιμοποιείται για τη μετάδοσή τους. Οι δραστηριότητες δεν πρέπει να περιορίζονται στις επιχειρήσεις μέσων ενημέρωσης και μπορούν να πραγματοποιούνται για κερδοσκοπικούς ή μη κερδοσκοπικούς σκοπούς.

(122) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, ως ειδική κατηγορία δεδομένων που χρήζει υψηλότερης προστασίας, μπορεί να δικαιολογείται συχνά μέσω ποικίλλων θεμιτών λόγων προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της εξασφάλισης της συνέχειας της διασυνοριακής υγειονομικής περίθαλψης. Επομένως, ο παρών κανονισμός πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού που αφορούν την υγεία, με την επιφύλαξη ειδικών και κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα θεμελιώδη δικαιώματα και τα δεδομένα προσωπικού χαρακτήρα των φυσικών προσώπων. Αυτό περιλαμβάνει το δικαίωμα των φυσικών προσώπων να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία τους, για παράδειγμα τα δεδομένα των ιατρικών αρχείων τους τα οποία περιέχουν πληροφορίες όπως διαγνώσεις, αποτελέσματα εξετάσεων, αξιολογήσεις από θεράποντες ιατρούς και κάθε παρασχεθείσα θεραπεία ή επέμβαση.

(123) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία μπορεί να είναι απαραίτητη για λόγους δημόσιου συμφέροντος στους τομείς της δημόσιας υγείας, χωρίς τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Στο πλαίσιο αυτό, η «δημόσια υγεία» πρέπει να ερμηνεύεται όπως ορίζεται στον κανονισμό (ΕΚ) αριθ. 1338/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 16ης Δεκεμβρίου 2008 σχετικά με τις κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία, δηλαδή ως όλα τα στοιχεία που συνδέονται με την υγεία, συγκεκριμένα η κατάσταση της υγείας, συμπεριλαμβανομένης της νοσηρότητας και αναπηρίας, οι καθοριστικοί παράγοντες που επιδρούν στην κατάσταση της υγείας, οι ανάγκες υγειονομικής περίθαλψης, οι πόροι που διατίθενται στην υγειονομική περίθαλψη, η παροχή υγειονομικής περίθαλψης και η πρόσβαση από όλους σε αυτήν καθώς και οι δαπάνες και η χρηματοδότηση της υγειονομικής περίθαλψης και οι αιτίες θνησιμότητας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με την υγεία για λόγους δημόσιου συμφέροντος δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από τρίτους, όπως εργοδότες, ασφαλιστικές εταιρείες και τράπεζες.

(124) Οι γενικές αρχές για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να εφαρμόζονται επίσης στο πλαίσιο της απασχόλησης. Επομένως, για τη ρύθμιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, τα κράτη μέλη πρέπει να μπορούν, εντός των ορίων του παρόντος κανονισμού, να θεσπίζουν διά νόμου ειδικούς κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα της απασχόλησης.

(125) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας πρέπει, προκειμένου να είναι σύννομη, να σέβεται επίσης άλλες σχετικές νομοθεσίες, όπως αυτή για τις κλινικές δοκιμές.

(126) Για τους σκοπούς του παρόντος κανονισμού, η επιστημονική έρευνα πρέπει να περιλαμβάνει βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα και, επιπλέον, να λαμβάνει υπόψη τον στόχο της Ένωσης βάσει του άρθρου 179 παράγραφος 1 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης για την επίτευξη ενός Ευρωπαϊκού Χώρου Έρευνας.

(127) Όσον αφορά τις εξουσίες των αρχών ελέγχου να εξασφαλίζουν από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και πρόσβαση στις εγκαταστάσεις του, τα κράτη μέλη μπορούν να θεσπίσουν διά νόμου, εντός των ορίων του παρόντος κανονισμού, ειδικούς κανόνες προκειμένου να διαφυλάσσονται οι υποχρεώσεις επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις απορρήτου, στον βαθμό που αυτό είναι αναγκαίο για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση επαγγελματικού απορρήτου.

(128) Ο παρών κανονισμός σέβεται και δεν θίγει το καθεστώς που έχουν σύμφωνα με το εθνικό δίκαιο οι εκκλησίες και οι θρησκευτικές ενώσεις ή κοινότητες στα κράτη μέλη, όπως αναγνωρίζεται στο άρθρο 17 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ως εκ τούτου, εάν μια εκκλησία σε ένα κράτος μέλος εφαρμόζει, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένο σύστημα κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι συγκεκριμένοι ισχύοντες κανόνες πρέπει να συνεχίσουν να εφαρμόζονται εφόσον εναρμονισθούν με τον παρόντα κανονισμό. Οι εν λόγω εκκλησίες και οι θρησκευτικές ενώσεις πρέπει να υποχρεούνται να προβλέπουν την ίδρυση μιας πλήρως ανεξάρτητης αρχής ελέγχου.

(129) Για την εκπλήρωση των στόχων του παρόντος κανονισμού, και ειδικότερα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και, ιδίως, του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και της διασφάλισης της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης. Ειδικότερα, κατ’ εξουσιοδότηση πράξεις πρέπει να εκδοθούν σε σχέση με τη νομιμότητα της επεξεργασίας· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων σε σχέση με τη συγκατάθεση παιδιού· την επεξεργασία ειδικών κατηγοριών δεδομένων· τον προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τις αμοιβές για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πληροφορίες που παρέχονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα και σε σχέση με το δικαίωμα πρόσβασης· το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» και το δικαίωμα διαγραφής· τα μέτρα που βασίζονται στην κατάρτιση προφίλ· τα κριτήρια και τις απαιτήσεις σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας και με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού· τον εκτελούντα την επεξεργασία· τα κριτήρια και τις απαιτήσεις για την τεκμηρίωση και την ασφάλεια της επεξεργασίας· τα κριτήρια και τις απαιτήσεις για τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα και για την κοινοποίησή της στην αρχή ελέγχου και των περιπτώσεων στις οποίες παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να έχει δυσμενείς συνέπειες για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· τα κριτήρια και τις απαιτήσεις για τις πράξεις που απαιτούν εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων· τα κριτήρια και τις απαιτήσεις για τον καθορισμό υψηλού βαθμού συγκεκριμένων κινδύνων οι οποίοι απαιτούν προηγούμενη διαβούλευση· τον ορισμό και τα καθήκοντα του υπευθύνου προστασίας δεδομένων· τους κώδικες δεοντολογίας· τα κριτήρια και τις απαιτήσεις για τους μηχανισμούς πιστοποίησης· τα κριτήρια και τις απαιτήσεις για τις διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων· τις παρεκκλίσεις όσον αφορά τις διαβιβάσεις· τις διοικητικές κυρώσεις· την επεξεργασία για σκοπούς υγείας· την επεξεργασία στο πλαίσιο της απασχόλησης και την επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας. Είναι ιδιαίτερα σημαντικό η Επιτροπή να πραγματοποιήσει κατάλληλες διαβουλεύσεις κατά το προπαρασκευαστικό της έργο, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων. Κατά την επεξεργασία και την κατάρτιση κατ’ εξουσιοδότηση πράξεων, η Επιτροπή πρέπει να εξασφαλίζει ταυτόχρονη, έγκαιρη και δέουσα διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(130) Για τη διασφάλιση ομοιόμορφων προϋποθέσεων στην εφαρμογή του παρόντος κανονισμού πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή όσον αφορά τον προσδιορισμό τυποποιημένων εντύπων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού· τυποποιημένων διαδικασιών και εντύπων για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας των δεδομένων· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση· των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας· του τυποποιημένου μορφοτύπου και των διαδικασιών για τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των πρότυπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των εντύπων και των διαδικασιών για την προηγούμενη έγκριση και την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επιπέδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινοποιήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας. Οι αρμοδιότητες αυτές πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή[45]. Στο πλαίσιο αυτό, η Επιτροπή πρέπει να εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

(131) Η διαδικασία εξέτασης πρέπει να χρησιμοποιείται για τον προσδιορισμό τυποποιημένων εντύπων σε σχέση με τη συγκατάθεση παιδιού· τυποποιημένων διαδικασιών και εντύπων για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα· τυποποιημένων εντύπων για την ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα· τυποποιημένων εντύπων και διαδικασιών σε σχέση με το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας των δεδομένων· τυποποιημένων εντύπων σε σχέση με την ευθύνη του υπευθύνου επεξεργασίας για την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού και την τεκμηρίωση· των ειδικών απαιτήσεων για την ασφάλεια της επεξεργασίας· του τυποποιημένου μορφοτύπου και των διαδικασιών για την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου και την γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα· των προτύπων και των διαδικασιών για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των προτύπων και των διαδικασιών για την προηγούμενη έγκριση και την προηγούμενη διαβούλευση· των τεχνικών προτύπων και των μηχανισμών για την πιστοποίηση· του επαρκούς επίπεδου προστασίας που παρέχει μια τρίτη χώρα, ή έδαφος ή τομέας επεξεργασίας εντός της τρίτης χώρας, ή ένας διεθνής οργανισμός· των κοινολογήσεων που δεν επιτρέπονται από το δίκαιο της Ένωσης· της αμοιβαίας συνδρομής· των κοινών πράξεων· των αποφάσεων στο πλαίσιο του μηχανισμού συνεκτικότητας, δεδομένου ότι οι πράξεις αυτές έχουν γενικό πεδίο εφαρμογής.

(132) Η Επιτροπή πρέπει να εγκρίνει αμέσως εφαρμοστέες εκτελεστικές πράξεις όταν, σε δεόντως αιτιολογημένες περιπτώσεις που σχετίζονται με τρίτη χώρα, ή έδαφος ή τομέα επεξεργασίας στην εν λόγω τρίτη χώρα ή διεθνή οργανισμό που δεν διασφαλίζουν επαρκές επίπεδο προστασίας και αφορούν θέματα που κοινοποιούνται από αρχές ελέγχου στο πλαίσιο του μηχανισμού συνεκτικότητας, το απαιτούν επιτακτικοί λόγοι επείγοντος.

(133) Δεδομένου ότι οι στόχοι του παρόντος κανονισμού, και ειδικότερα η διασφάλιση ισοδύναμου επιπέδου προστασίας των φυσικών προσώπων και ελεύθερης ροής δεδομένων σε ολόκληρη την Ένωση, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μπορούν όμως, λόγω της κλίμακας ή των αποτελεσμάτων της προβλεπόμενης δράσης, να επιτευχθούν καλύτερα στο επίπεδο της Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, η οποία προβλέπεται στο άρθρο 5 της συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, η οποία προβλέπεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα απαιτούμενα για την επίτευξη των εν λόγω στόχων.

(134) Η οδηγία 95/46/ΕΚ πρέπει να καταργηθεί με τον παρόντα κανονισμό. Ωστόσο, οι αποφάσεις της Επιτροπής και οι εγκρίσεις αρχών ελέγχου που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ πρέπει να παραμείνουν σε ισχύ.

(135) Ο παρών κανονισμός πρέπει να εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως αυτές περιγράφονται στην οδηγία 2002/58/ΕΚ, συμπεριλαμβανομένων των υποχρεώσεων του υπευθύνου επεξεργασίας και των δικαιωμάτων των φυσικών προσώπων. Για την αποσαφήνιση της σχέσης μεταξύ του παρόντος κανονισμού και της οδηγίας 2002/58/ΕΚ, η οδηγία πρέπει να τροποποιηθεί ανάλογα.

(136) Όσον αφορά την Ισλανδία και τη Νορβηγία, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου, όπως προβλέπεται στη συμφωνία που συνήφθη μεταξύ του Συμβουλίου της Ευρωπαϊκής Ένωσης, της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας σχετικά με τη σύνδεση των εν λόγω χωρών προς τη θέση σε ισχύ, την εφαρμογή και την περαιτέρω ανάπτυξη του κεκτημένου Σένγκεν[46].

(137) Όσον αφορά την Ελβετία, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου. όπως προβλέπεται στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν[47].

(138) Όσον αφορά το Λιχτενστάιν, ο παρών κανονισμός αποτελεί ανάπτυξη διατάξεων του κεκτημένου του Σένγκεν, στον βαθμό που εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρχές που συμμετέχουν στην εφαρμογή του εν λόγω κεκτημένου, όπως προβλέπεται στο πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετική Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεντημένου του Σένγκεν[48].

(139) Εν όψει του γεγονότος ότι, όπως υπογράμμισε το Δικαστήριο της Ευρωπαϊκής Ένωσης, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα, αλλά πρέπει να εξετάζεται σε σχέση με τη λειτουργία του στην κοινωνία και να εξισορροπείται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας, ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως κατοχυρώνονται στις Συνθήκες, και ειδικότερα το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου καθώς και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1 Αντικείμενο και στόχοι

1.           Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία αυτών των δεδομένων.

2.           Ο παρών κανονισμός προστατεύει τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3.           Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Άρθρο 2 Καθ’ ύλην πεδίο εφαρμογής

1.           Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

2.           Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α)      στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, ιδίως όσον αφορά την εθνική ασφάλεια·

β)      από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης·

γ)      από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κεφαλαίου 2 της συνθήκης για την Ευρωπαϊκή Ένωση·

δ)      από φυσικό πρόσωπο χωρίς οποιοδήποτε κερδοσκοπικό συμφέρον στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας·

ε)      από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

3.           Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας 2000/31/ΕΚ, ιδίως δε τους κανόνες για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Άρθρο 3 Γεωγραφικό πεδίο εφαρμογής

1.           Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση.

2.           Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με

α)      την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση· ή

β)      την παρακολούθηση της συμπεριφοράς τους.

3.           Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το εθνικό δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

Άρθρο 4 Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

(1) «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, με μέσα τα οποία είναι εύλογα πιθανό να χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή από οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, ιδίως βάσει αριθμού ταυτότητας, δεδομένων θέσης, επιγραμμικού αναγνωριστικού ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόσταση του συγκεκριμένου προσώπου από φυσική, βιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·

(2) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία η οποία αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο·

(3) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, η διαγραφή ή η καταστροφή·

(4) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσπελάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·

(5) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους, τις προϋποθέσεις και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι, οι προϋποθέσεις και ο τρόπος της επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους·

(6) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

(7) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα·

(8) «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα»: κάθε δήλωση βουλήσεως, ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν·

(9) «παραβίαση προσωπικών δεδομένων»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία·

(10) «γενετικά δεδομένα»: όλα τα δεδομένα, οποιουδήποτε τύπου, τα οποία αφορούν τα χαρακτηριστικά φυσικού προσώπου που κληρονομούνται ή αποκτώνται κατά την αρχική προγεννητική ανάπτυξη·

(11) «βιομετρικά δεδομένα»: οποιαδήποτε δεδομένα σχετίζονται με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, τα οποία επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·

(12) «δεδομένα που αφορούν την υγεία»: κάθε πληροφορία που σχετίζεται με τη σωματική ή ψυχική υγεία ενός προσώπου ή με την παροχή υγειονομικής περίθαλψης στο φυσικό πρόσωπο·

(13) «κύρια εγκατάσταση»: όσον αφορά τον υπεύθυνο επεξεργασίας, ο τόπος της εγκατάστασής του στην Ένωση όπου λαμβάνονται οι βασικές αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα· εάν δεν λαμβάνονται αποφάσεις όσον αφορά τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ένωση, κύρια εγκατάσταση είναι ο τόπος στον οποίο εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων υπευθύνου επεξεργασίας σε εγκατάσταση στην Ένωση. Όσον αφορά τον εκτελούντα την επεξεργασία, «κύρια εγκατάσταση» είναι ο τόπος της κεντρικής διοίκησής του στην Ένωση·

(14) «εκπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκαταστημένο στην Ένωση, το οποίο ορίζεται ρητώς από τον υπεύθυνο επεξεργασίας και ενεργεί αντί του υπευθύνου επεξεργασίας, και στο οποίο μπορούν να απευθυνθούν κάθε αρχή ελέγχου και άλλοι φορείς στην Ένωση αντί του υπευθύνου επεξεργασίας, σε σχέση με τις υποχρεώσεις του υπευθύνου επεξεργασίας οι οποίες απορρέουν από τον παρόντα κανονισμό·

(15) «επιχείρηση»: κάθε οντότητα η οποία ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τον νομικό της τύπο, συμπεριλαμβανομένων, κυρίως, των φυσικών και νομικών προσώπων, των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα·

(16) «όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις·

(17) «δεσμευτικοί εταιρικοί κανόνες»: εσωτερικοί κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα τους οποίους εφαρμόζει ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία εγκαταστημένος στο έδαφος κράτους μέλους της Ένωσης για διαβιβάσεις ή σύνολο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός του ομίλου επιχειρήσεων·

(18) «παιδί»: οποιοδήποτε πρόσωπο ηλικίας κάτω των 18 ετών·

(19) «αρχή ελέγχου»: δημόσια αρχή την οποία συστήνει ένα κράτος μέλος σύμφωνα με το άρθρο 46.

ΚΕΦΑΛΑΙΟ II ΑΡΧΕΣ

Άρθρο 5 Αρχές σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

α)      να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα·

β)      να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς·

γ)      να είναι κατάλληλα, συναφή και να περιορίζονται στα ελάχιστα αναγκαία σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία· υποβάλλονται σε επεξεργασία μόνον εάν και εφόσον οι σκοποί δεν μπορούν να επιτευχθούν μέσω επεξεργασίας πληροφοριών οι οποίες δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα·

δ)      να είναι ακριβή και να ενημερώνονται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση·

ε)      να διατηρούνται υπό μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων στα οποία αναφέρονται για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους τα δεδομένα αυτά υποβάλλονται σε επεξεργασία· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερο χρονικό διάστημα, εφόσον θα υποβληθούν σε επεξεργασία μόνον για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας σύμφωνα με τους κανόνες και τις προϋποθέσεις που προβλέπονται στο άρθρο 83 και εφόσον διενεργείται περιοδική επανεξέταση για να αξιολογηθεί η αναγκαιότητα συνέχισης της αποθήκευσης·

στ)    να υποβάλλονται σε επεξεργασία υπό την ευθύνη και την υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας, ο οποίος διασφαλίζει και αποδεικνύει για κάθε πράξη επεξεργασίας τη συμμόρφωση προς τις διατάξεις του παρόντος κανονισμού.

Άρθρο 6 Νομιμότητα της επεξεργασίας

1.           Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε συγκατάθεση στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για έναν ή περισσότερους ειδικούς σκοπούς·

β)      η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι συμβαλλόμενο μέρος ή για την εκτέλεση προσυμβατικών μέτρων ληφθέντων αιτήσει του·

γ)      η επεξεργασία είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως του υπευθύνου της επεξεργασίας·

δ)      η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα·

ε)      η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος δημόσιου συμφέροντος ή για την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας·

στ)    η επεξεργασία είναι απαραίτητη για την επίτευξη του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας, υπό τον όρο ότι δεν προέχουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας, ιδίως εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι παιδί. Αυτό δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

2.           Η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή σκοπούς επιστημονικής έρευνας είναι σύννομη με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83.

3.           Η βάση της επεξεργασίας που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) πρέπει να προβλέπεται:

α)      στο δίκαιο της Ένωσης, ή

β)      στη νομοθεσία του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

Η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος ή να είναι αναγκαία για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο.

4.           Εάν ο σκοπός της περαιτέρω επεξεργασίας δεν είναι συμβατός με εκείνον για τον οποίο συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, η επεξεργασία πρέπει να βασίζεται τουλάχιστον σε έναν από τους λόγους που αναφέρονται στην παράγραφο 1 στοιχεία α) έως ε). Αυτό ισχύει ειδικότερα σε οποιαδήποτε αλλαγή όρων και γενικών προϋποθέσεων μιας σύμβασης.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των προϋποθέσεων που αναφέρονται στην παράγραφο 1 στοιχείο στ) σε διάφορους τομείς και καταστάσεις επεξεργασίας, μεταξύ άλλων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά.

Άρθρο 7 Προϋποθέσεις συγκατάθεσης

1.           Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης όσον αφορά την παροχή της συγκατάθεσης του προσώπου στο οποίο αναφέρονται τα δεδομένα στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για συγκεκριμένους σκοπούς.

2.           Εάν η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα παρέχεται στο πλαίσιο έγγραφης δήλωσης η οποία αφορά και άλλο θέμα, η απαίτηση παροχής συγκατάθεσης πρέπει να είναι διακριτή σε σχέση με το εν λόγω άλλο θέμα.

3.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή. Η απόσυρση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίσθηκε στη συγκατάθεση προ της απόσυρσής της.

4.           Η συγκατάθεση δεν παρέχει νομική βάση για την επεξεργασία, εάν υπάρχει σημαντική ανισορροπία μεταξύ της θέσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας.

Άρθρο 8 Επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού

1.           Για τους σκοπούς του παρόντος κανονισμού, σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω των 13 ετών είναι σύννομη μόνον εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα ή τον κηδεμόνα του παιδιού. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να εξασφαλίσει επαληθεύσιμη συγκατάθεση, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.

2.           Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί κύρους, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων για τις μεθόδους εξασφάλισης της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1. Για τον σκοπό αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για πολύ μικρές, μικρές και μεσαίες επιχειρήσεις.

4.           Η Επιτροπή μπορεί να θεσπίσει πρότυπα έντυπα για ειδικές μεθόδους για την εξασφάλιση της επαληθεύσιμης συγκατάθεσης η οποία αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 9 Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

1.           Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων ή δεδομένων που αφορούν την υγεία ή τη σεξουαλική ζωή ή ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας.

2.           Η παράγραφος 1 δεν εφαρμόζεται εάν:

α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του στην επεξεργασία των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις προϋποθέσεις που προβλέπονται στα άρθρα 7 και 8, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή

β)      η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση ειδικών δικαιωμάτων του υπευθύνου επεξεργασίας στον τομέα του εργατικού δικαίου, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή από το δίκαιο κράτους μέλους προβλέποντας κατάλληλες εγγυήσεις· ή

γ)      η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αδυνατεί, για φυσικούς ή νομικούς λόγους, να παράσχει τη συγκατάθεσή του· ή

δ)      η επεξεργασία διεξάγεται στο πλαίσιο των νόμιμων δραστηριοτήτων, με κατάλληλες εγγυήσεις, ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο, και υπό την προϋπόθεση ότι η επεξεργασία αφορά αποκλειστικά τα μέλη ή τα πρώην μέλη του φορέα ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των προσώπων στα οποία αναφέρονται· ή

ε)      η επεξεργασία αφορά προσωπικά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το πρόσωπο στο οποίο αναφέρονται· ή

στ)    η επεξεργασία είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

ζ)      η επεξεργασία είναι απαραίτητη για την άσκηση καθήκοντος δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

η)      η επεξεργασία δεδομένων που αφορούν την υγεία είναι απαραίτητη για σκοπούς υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 81· ή

θ)      η επεξεργασία είναι απαραίτητη για ιστορικούς ή στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 83· ή

ι)       η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες ή σχετικά μέτρα ασφάλειας διενεργείται υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση προς νομική ή κανονιστική υποχρέωση την οποία υπέχει ο υπεύθυνος επεξεργασίας ή για την εκτέλεση καθήκοντος που ασκείται για σημαντικούς λόγους δημόσιου συμφέροντος, και στον βαθμό που επιτρέπεται από το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις. Πλήρες μητρώο ποινικών καταδικών τηρείται μόνον υπό τον έλεγχο επίσημης αρχής.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων, των προϋποθέσεων και των κατάλληλων εγγυήσεων για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 και των εξαιρέσεων που προβλέπονται στην παράγραφο 2.

Άρθρο 10 Επεξεργασία η οποία δεν επιτρέπει την εξακρίβωση της ταυτότητας

Εάν τα δεδομένα που υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας δεν επιτρέπουν στον υπεύθυνο επεξεργασίας να εξακριβώσει την ταυτότητα ενός φυσικού προσώπου, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να λαμβάνει πρόσθετες πληροφορίες προκειμένου να προσδιορίζει την ταυτότητα του προσώπου στο οποίο αναφέρονται τα δεδομένα για τον αποκλειστικό σκοπό της συμμόρφωσης προς οποιαδήποτε διάταξη του παρόντος κανονισμού.

ΚΕΦΑΛΑΙΟ III ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΠΡΟΣΩΠΟΥ ΣΤΟ ΟΠΟΙΟ ΑΝΑΦΕΡΟΝΤΑΙ ΤΑ ΔΕΔΟΜΕΝΑ

ΤΜΗΜΑ 1 ΔΙΑΦΑΝΕΙΑ ΚΑΙ ΤΡΟΠΟΙ ΑΣΚΗΣΗΣ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ

Άρθρο 11 Διαφανής ενημέρωση και κοινοποίηση

1.           Ο υπεύθυνος επεξεργασίας διαθέτει διαφανείς και εύκολα προσπελάσιμες πολιτικές όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

2.           Ο υπεύθυνος επεξεργασίας θέτει στη διάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα κάθε πληροφορία και γνωστοποίηση σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, προσαρμοσμένη στο συγκεκριμένο πρόσωπο, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.

Άρθρο 12 Διαδικασίες και μηχανισμοί για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Ο υπεύθυνος επεξεργασίας θεσπίζει διαδικασίες για την παροχή των πληροφοριών που αναφέρονται στο άρθρο 14 και για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα που προβλέπονται στο άρθρο 13 και στα άρθρα 15 έως 19. Ο υπεύθυνος επεξεργασίας προβλέπει ειδικότερα μηχανισμούς για τη διευκόλυνση υποβολής του αιτήματος για τις ενέργειες που αναφέρονται στο άρθρο 13 και στα άρθρα 15 έως 19. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα, ο υπεύθυνος επεξεργασίας προβλέπει επίσης μέσα για την υποβολή των αιτημάτων με ηλεκτρονικό τρόπο.

2.           Ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα χωρίς καθυστέρηση, και το αργότερο εντός ενός μηνός από την παραλαβή του αιτήματος, για το κατά πόσον έχει αναληφθεί οποιαδήποτε ενέργεια σύμφωνα με το άρθρο 13 και τα άρθρα 15 έως 19 και παρέχει τις πληροφορίες που ζητήθηκαν. Η προθεσμία αυτή μπορεί να παραταθεί για έναν ακόμη μήνα, εάν περισσότερα πρόσωπα στα οποία αναφέρονται τα δεδομένα ασκήσουν τα δικαιώματά τους και η συνεργασία τους είναι απαραίτητη σε εύλογο βαθμό για την αποφυγή αδικαιολόγητων και δυσανάλογων προσπαθειών εκ μέρους του υπευθύνου επεξεργασίας. Η ενημέρωση παρέχεται εγγράφως. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

3.           Εάν ο υπεύθυνος επεξεργασίας αρνείται να ενεργήσει επί του αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για την άρνηση και για τις δυνατότητες υποβολής καταγγελίας στην αρχή ελέγχου και άσκησης δικαστικής προσφυγής.

4.           Η ενημέρωση και οι ενέργειες που εκτελούνται επί των αιτημάτων που αναφέρονται στην παράγραφο 1 παρέχονται και εκτελούνται ατελώς. Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή κάποιου τέλους για την παροχή της ενημέρωσης ή για την εκτέλεση της ζητούμενης ενέργειας, ή ο υπεύθυνος επεξεργασίας μπορεί να μην εκτελέσει τη ζητούμενη ενέργεια. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων για τα προδήλως υπερβολικά αιτήματα και τα τέλη που αναφέρονται στην παράγραφο 4.

6.           Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα και να προσδιορίσει τυποποιημένες διαδικασίες για την ενημέρωση που προβλέπεται στην παράγραφο 2, συμπεριλαμβανομένου του ηλεκτρονικού μορφοτύπου. Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 13 Δικαιώματα σε σχέση με αποδέκτες

Ο υπεύθυνος επεξεργασίας κοινοποιεί κάθε διόρθωση ή διαγραφή η οποία διενεργείται σύμφωνα με τα άρθρα 16 και 17 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια.

ΤΜΗΜΑ 2 ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΠΡΟΣΒΑΣΗ ΣΤΑ ΔΕΔΟΜΕΝΑ

Άρθρο 14 Ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα που αφορούν ένα πρόσωπο, ο υπεύθυνος επεξεργασίας παρέχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα τουλάχιστον τις ακόλουθες πληροφορίες:

α)      την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, ενδεχομένως, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων·

β)      τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συμβατικών όρων και των γενικών προϋποθέσεων, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο β), και των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ)·

γ)      το χρονικό διάστημα για το οποίο θα αποθηκευθούν τα δεδομένα προσωπικού χαρακτήρα·

δ)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

ε)      το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

στ)    τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα·

ζ)      όπου συντρέχει περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει τα δεδομένα σε τρίτη χώρα ή διεθνή οργανισμό και το επίπεδο προστασίας που παρέχει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός διά παραπομπής σε απόφαση περί επάρκειας της Επιτροπής·

η)      κάθε περαιτέρω απαραίτητη πληροφορία προκειμένου να διασφαλίζεται θεμιτή επεξεργασία έναντι του προσώπου που αφορούν τα δεδομένα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες συλλέγονται τα δεδομένα προσωπικού χαρακτήρα.

2.           Εάν τα δεδομένα προσωπικού χαρακτήρα χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, για το κατά πόσον η χορήγηση δεδομένων προσωπικού χαρακτήρα είναι υποχρεωτική ή εθελοντική, καθώς και για τις ενδεχόμενες συνέπειες της μη χορήγησης τέτοιων δεδομένων.

3.           Εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, ο υπεύθυνος επεξεργασίας ενημερώνει το συγκεκριμένο πρόσωπο, πέραν των πληροφοριών που αναφέρονται στην παράγραφο 1, σχετικά με την πηγή από την οποία προέρχονται τα εν λόγω δεδομένα.

4.           Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3:

α)      κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή

β)      εάν τα δεδομένα προσωπικού χαρακτήρα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται, κατά την καταχώριση ή εντός εύλογης προθεσμίας από τη συλλογή, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα συλλέγονται ή υποβάλλονται άλλως πως σε επεξεργασία, ή, εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά.

5.           Οι παράγραφοι 1 έως 4 δεν εφαρμόζονται εάν:

α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα διαθέτει ήδη τις πληροφορίες που αναφέρονται στις παραγράφους 1, 2 και 3· ή

β)      τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών αποδεικνύεται ανέφικτη ή συνεπάγεται δυσανάλογη προσπάθεια· ή

γ)      τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η καταχώριση ή η γνωστοποίηση προβλέπονται ρητώς διά νόμου· ή

δ)      τα δεδομένα δεν χορηγούνται από το πρόσωπο στο οποίο αναφέρονται και η παροχή των εν λόγω πληροφοριών θίγει τα δικαιώματα και τις ελευθερίες τρίτων, όπως ορίζονται στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους σύμφωνα με το άρθρο 21.

6.           Για την περίπτωση που αναφέρεται στην παράγραφο 5 στοιχείο β), ο υπεύθυνος επεξεργασίας προβλέπει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

7.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων σχετικά με τις κατηγορίες αποδεκτών που αναφέρονται στην παράγραφο 1 στοιχείο στ), της υποχρέωσης ενημέρωσης σχετικά με τις δυνατότητες πρόσβασης που προβλέπονται στην παράγραφο 1 στοιχείο ζ), των κριτηρίων για τις περαιτέρω απαραίτητες πληροφορίες που προβλέπονται στην παράγραφο 1 στοιχείο η) για συγκεκριμένους τομείς και καταστάσεις, και των προϋποθέσεων και κατάλληλων εγγυήσεων για τις εξαιρέσεις που προβλέπονται στην παράγραφο 5 στοιχείο β). Για τον σκοπό αυτό, η Επιτροπή λαμβάνει τα κατάλληλα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

8.           Η Επιτροπή μπορεί να καταρτίσει τυποποιημένα έντυπα για την παροχή των πληροφοριών που αναφέρονται στις παραγράφους 1 έως 3, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων, εφόσον απαιτείται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 15 Δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα

1.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει, ανά πάσα στιγμή, κατόπιν αιτήματος, από τον υπεύθυνο επεξεργασίας επιβεβαίωση σχετικά με το κατά πόσον διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις ακόλουθες πληροφορίες:

α)      τους σκοπούς της επεξεργασίας·

β)      τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα·

γ)      τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως σε αποδέκτες σε τρίτες χώρες·

δ)      το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα·

ε)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα που αφορούν το εν λόγω πρόσωπο ή αντίταξης στην επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα·

στ)    το δικαίωμα υποβολής καταγγελίας στην αρχή ελέγχου και τα στοιχεία επικοινωνίας με την αρχή ελέγχου·

ζ)      τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία και κάθε διαθέσιμης πληροφορίας όσον αφορά την προέλευσή τους·

η)      τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον στην περίπτωση των μέτρων που αναφέρονται στο άρθρο 20.

2.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υποβάλλει το αίτημα σε ηλεκτρονική μορφή, οι πληροφορίες παρέχονται σε ηλεκτρονική μορφή, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητήσει κάτι διαφορετικό.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα του περιεχομένου των δεδομένων αυτών που αναφέρονται στην παράγραφο 1 στοιχείο ζ).

4.           Η Επιτροπή μπορεί να προσδιορίσει τυποποιημένα έντυπα και διαδικασίες για την υποβολή αιτήματος πρόσβασης και τη χορήγηση πρόσβασης στις πληροφορίες που αναφέρονται στην παράγραφο 1, μεταξύ άλλων για την επαλήθευση της ταυτότητας του προσώπου στο οποίο αναφέρονται τα δεδομένα και για τη γνωστοποίηση των δεδομένων προσωπικού χαρακτήρα στο συγκεκριμένο πρόσωπο, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά και τις ανάγκες των διάφορων τομέων και καταστάσεων επεξεργασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

ΤΜΗΜΑ 3

ΔΙΟΡΘΩΣΗ ΚΑΙ ΔΙΑΓΡΑΦΗ

Άρθρο 16 Δικαίωμα διόρθωσης

Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση δεδομένων προσωπικού χαρακτήρα που το αφορούν τα οποία είναι ανακριβή. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων παρέχοντας πρόσθετη διορθωτική δήλωση.

Άρθρο 17 Δικαίωμα των φυσικών προσώπων «να λησμονηθούν» και δικαίωμα διαγραφής

1. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και τη μη περαιτέρω διάδοση των εν λόγω δεδομένων, ιδίως σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία διατέθηκαν από το συγκεκριμένο πρόσωπο κατά την παιδική του ηλικία, εάν συντρέχει ένας από τους ακόλουθους λόγους:

α)      τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία·

β)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α), ή εάν το χρονικό διάστημα αποθήκευσης για το οποίο παρασχέθηκε συγκατάθεση έληξε, και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων·

γ)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19·

δ)      η επεξεργασία των δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό για άλλους λόγους.

2. Εάν ο υπεύθυνος επεξεργασίας που αναφέρεται στην παράγραφο 1 δημοσιοποίησε τα δεδομένα προσωπικού χαρακτήρα, οφείλει να λάβει κάθε εύλογο μέτρο, συμπεριλαμβανομένων τεχνικών μέτρων, σε σχέση με τα δεδομένα για τη δημοσίευση των οποίων αρμόδιος είναι ο υπεύθυνος επεξεργασίας για να ενημερώσει τρίτους οι οποίοι επεξεργάζονται τα εν λόγω δεδομένα ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί να διαγραφούν τυχόν σύνδεσμοι ή αντίγραφα ή αναπαραγωγές των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα. Εάν ο υπεύθυνος επεξεργασίας επέτρεψε τη δημοσίευση δεδομένων προσωπικού χαρακτήρα από τρίτο, ο υπεύθυνος επεξεργασίας θεωρείται υπεύθυνος για τη συγκεκριμένη δημοσίευση.

3. Ο υπεύθυνος επεξεργασίας εκτελεί τη διαγραφή χωρίς καθυστέρηση, εκτός εάν η διατήρηση των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη:

α)      για την άσκηση του δικαιώματος ελευθερίας της έκφρασης σύμφωνα με το άρθρο 80·

β)      για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας σύμφωνα με το άρθρο 81·

γ)      για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς ιστορικής έρευνας σύμφωνα με το άρθρο 83·

δ)      για την τήρηση εκ του νόμου υποχρεώσεως διατήρησης των δεδομένων προσωπικού χαρακτήρα την οποία υπέχει ο υπεύθυνος επεξεργασίας από το δίκαιο της Ένωσης ή από τη νομοθεσία κράτους μέλους στην οποία υπάγεται· η νομοθεσία του κράτους μέλους πρέπει να ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος, να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό στόχο·

ε)      στις περιπτώσεις που αναφέρονται στην παράγραφο 4.

4. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εάν:

α)      η ακρίβειά τους αμφισβητείται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, για χρονικό διάστημα το οποίο επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων·

β)      ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του καθήκοντός του, αλλά πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς·

γ)      η επεξεργασία είναι παράνομη και το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στη διαγραφή τους και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους·

δ)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί τη μεταφορά των δεδομένων προσωπικού χαρακτήρα σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας σύμφωνα με το άρθρο 18 παράγραφος 2.

5. Με εξαίρεση την αποθήκευση, τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 4 μπορούν να υποβληθούν σε επεξεργασία μόνον για αποδεικτικούς σκοπούς ή με τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για σκοπό δημόσιου συμφέροντος.

6. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιορίζεται δυνάμει της παραγράφου 4, ο υπεύθυνος επεξεργασίας ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πριν από την άρση του περιορισμού της επεξεργασίας.

7. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι τηρούνται οι προθεσμίες που θεσπίζονται για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή/και για την περιοδική επανεξέταση της αναγκαιότητας αποθήκευσης των δεδομένων.

8. Εάν η διαγραφή πραγματοποιηθεί, ο υπεύθυνος επεξεργασίας δεν επεξεργάζεται τα εν λόγω δεδομένα προσωπικού χαρακτήρα με κανέναν άλλον τρόπο.

9. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό:

α)      των κριτηρίων και των απαιτήσεων σχετικά με την εφαρμογή της παραγράφου 1 για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων·

β)      των προϋποθέσεων για τη διαγραφή συνδέσμων, αντιγράφων ή αναπαραγωγών δεδομένων προσωπικού χαρακτήρα από υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό, όπως αναφέρεται στην παράγραφο 2·

γ)      των κριτηρίων και των προϋποθέσεων για τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στην παράγραφο 4.

Άρθρο 18 Δικαίωμα στη φορητότητα των δεδομένων

1.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα και με δομημένο και συνήθως χρησιμοποιούμενο μορφότυπο, να εξασφαλίσει από τον υπεύθυνο επεξεργασίας αντίγραφο των δεδομένων που υποβάλλονται σε επεξεργασία, σε ηλεκτρονικό και δομημένο μορφότυπο συνήθους χρήσης ο οποίος επιτρέπει την περαιτέρω χρήση από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

2.           Εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τα δεδομένα προσωπικού χαρακτήρα και η επεξεργασία βασίζεται σε συγκατάθεση ή σε σύμβαση, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να μεταφέρει τα εν λόγω δεδομένα προσωπικού χαρακτήρα και κάθε άλλη πληροφορία που παρέσχε το εν λόγω πρόσωπο -και που διατηρείται από αυτοματοποιημένο σύστημα επεξεργασίας- σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας, σε ηλεκτρονικό μορφότυπο συνήθους χρήσης, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας από τον οποίο αποσύρονται τα δεδομένα προσωπικού χαρακτήρα.

3.           Η Επιτροπή μπορεί να προσδιορίσει τον ηλεκτρονικό μορφότυπο που αναφέρεται στην παράγραφο 1 και τα τεχνικά πρότυπα, τους τρόπους και τις διαδικασίες για τη μεταφορά δεδομένων προσωπικού χαρακτήρα δυνάμει της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

ΤΜΗΜΑ 4

ΔΙΚΑΙΩΜΑ ΑΝΤΙΤΑΞΗΣ ΚΑΙ ΚΑΤΑΡΤΙΣΗ ΠΡΟΦΙΛ

Άρθρο 19 Δικαίωμα αντίταξης

1.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιτάσσεται, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, ανά πάσα στιγμή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχεία δ), ε) και στ), εκτός εάν ο υπεύθυνος επεξεργασίας καταδεικνύει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.           Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς ενεργητικής εμπορικής προώθησης, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αντιταχθεί ατελώς στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση. Το δικαίωμα αυτό πρέπει να παρέχεται ρητώς στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα με κατανοητό τρόπο και πρέπει να διακρίνεται σαφώς από άλλες πληροφορίες.

3.           Εάν η αντίταξη γίνει δεκτή δυνάμει των παραγράφων 1 και 2, ο υπεύθυνος επεξεργασίας δεν χρησιμοποιεί πλέον ούτε επεξεργάζεται άλλως πως τα σχετικά δεδομένα προσωπικού χαρακτήρα.

Άρθρο 20 Μέτρα βασισμένα σε κατάρτιση προφίλ

1. Κάθε φυσικό πρόσωπο δικαιούται να μην υπάγεται σε μέτρο το οποίο παράγει έννομες συνέπειες για το συγκεκριμένο φυσικό πρόσωπο ή που το επηρεάζει σημαντικά, και το οποίο μέτρο βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που σχετίζονται με το εν λόγω φυσικό πρόσωπο ή την ανάλυση ή την πρόβλεψη ειδικότερα των επιδόσεων στην εργασία, της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του.

2. Με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, ένα πρόσωπο μπορεί να υπάγεται σε μέτρο του είδους που αναφέρεται στην παράγραφο 1 μόνον εάν η επεξεργασία:

α)      πραγματοποιείται στο πλαίσιο της σύναψης ή της εκτέλεσης σύμβασης, εφόσον το αίτημα για τη σύναψη ή την εκτέλεσης της σύμβασης το οποίο υποβλήθηκε από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έγινε δεκτό ή εάν παρασχέθηκαν κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του συγκεκριμένου προσώπου, όπως το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης· ή

β)      επιτρέπεται ρητώς από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ)      βασίζεται στη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, με την επιφύλαξη των προϋποθέσεων που προβλέπονται στο άρθρο 7 και κατάλληλων εγγυήσεων.

3. Η αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών που αφορούν ένα φυσικό πρόσωπο δεν βασίζεται μόνον στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9.

4. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2, η ενημέρωση που πρέπει να παρέχεται από τον υπεύθυνο επεξεργασίας βάσει του άρθρου 14 περιλαμβάνει πληροφορίες όσον αφορά την ύπαρξη επεξεργασίας για ένα μέτρο του είδους που αναφέρεται στην παράγραφο 1 και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

5. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τα κατάλληλα μέτρα για τη διασφάλιση των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα που προβλέπονται στην παράγραφο 2.

ΤΜΗΜΑ 5 ΠΕΡΙΟΡΙΣΜΟΙ

Άρθρο 21 Περιορισμοί

1.           Το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στο άρθρο 5 στοιχεία α) έως ε) και στα άρθρα 11 έως 20 και στο άρθρο 32, όταν ένας τέτοιος περιορισμός συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:

α)      της δημόσιας ασφάλειας·

β)      της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων·

γ)      άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων νομισματικών, δημοσιονομικών και φορολογικών θεμάτων και της προστασίας της σταθερότητας και της ακεραιότητας της αγοράς·

δ)      της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα·

ε)      της παρακολούθησης, του ελέγχου ή κανονιστικού καθήκοντος το οποίο συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α), β), γ) και δ)·

στ)    της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και των ελευθεριών τρίτων.

2.           Ειδικότερα, κάθε νομοθετικό μέτρο το οποίο αναφέρεται στην παράγραφο 1 περιέχει συγκεκριμένες διατάξεις όσον αφορά τουλάχιστον  τους στόχους που επιδιώκονται με την επεξεργασία και τον καθορισμό του υπευθύνου επεξεργασίας.

ΚΕΦΑΛΑΙΟ IV

ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΤΜΗΜΑ 1 ΓΕΝΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Άρθρο 22 Ευθύνη του υπευθύνου επεξεργασίας

1. Ο υπεύθυνος επεξεργασίας θεσπίζει πολιτικές και εφαρμόζει κατάλληλα μέτρα ώστε να διασφαλίζει και να μπορεί να αποδείξει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα εκτελείται σύμφωνα με τον παρόντα κανονισμό.

2. Τα μέτρα που προβλέπονται στην παράγραφο 1 περιλαμβάνουν ειδικότερα τα ακόλουθα:

α)      τήρηση της τεκμηρίωσης σύμφωνα με το άρθρο 28·

β)      εφαρμογή των απαιτήσεων ασφάλειας δεδομένων που προβλέπονται στο άρθρο 30·

γ)      διενέργεια εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 33·

δ)      συμμόρφωση προς τις απαιτήσεις περί προηγούμενης έγκρισης από την αρχή ελέγχου ή προηγούμενης διαβούλευσης με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφοι 1 και 2·

ε)      ορισμό υπευθύνου επεξεργασίας δεδομένων δυνάμει του άρθρου 35 παράγραφος 1.

3. Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς οι οποίοι διασφαλίζουν τον έλεγχο της αποτελεσματικότητας των μέτρων που αναφέρονται στις παραγράφους 1 και 2. Ο εν λόγω έλεγχος διενεργείται από ανεξάρτητους εσωτερικούς ή εξωτερικούς ελεγκτές, εφόσον κάτι τέτοιο συνιστά αναλογικό μέτρο.

4. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα προβλεπόμενα στην παράγραφο 1 κατάλληλα μέτρα, πέραν των ήδη προβλεπομένων στην παράγραφο 2, των προβλεπόμενων στην παράγραφο 3 προϋποθέσεων και μηχανισμών ελέγχου και των προβλεπόμενων στην παράγραφο 3 κριτηρίων αναλογικότητας, καθώς επίσης για την εξέταση ειδικών μέτρων για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

Άρθρο 23 Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

1.           Έχοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος εφαρμογής, ο υπεύθυνος επεξεργασίας οφείλει, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά την ίδια την επεξεργασία, να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

2.           Ο υπεύθυνος επεξεργασίας εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνον εκείνα τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι αναγκαία για κάθε συγκεκριμένο σκοπό επεξεργασίας και ότι τα εν λόγω δεδομένα δεν συλλέγονται ούτε διατηρούνται πέραν του ελάχιστου απαραίτητου ορίου για τους σκοπούς αυτούς, από την άποψη τόσο της ποσότητας των δεδομένων όσο και του χρόνου της αποθήκευσής τους. Ειδικότερα, οι εν λόγω μηχανισμοί διασφαλίζουν ότι, εξ ορισμού, δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπων.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον προσδιορισμό τυχόν περαιτέρω κριτηρίων και απαιτήσεων σχετικά με τα κατάλληλα μέτρα και τους μηχανισμούς που αναφέρονται στις παραγράφους 1 και 2, ιδίως για τις απαιτήσεις προστασίας των δεδομένων ήδη από τον σχεδιασμό οι οποίες εφαρμόζονται σε όλους τους τομείς, τα προϊόντα και τις υπηρεσίες.

4.           Η Επιτροπή μπορεί να θεσπίσει τεχνικά πρότυπα για τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 24 Από κοινού υπεύθυνοι επεξεργασίας

Εάν ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από κοινού με άλλους, οι από κοινού υπεύθυνοι επεξεργασίας καθορίζουν τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά τις διαδικασίες και τους μηχανισμούς για την άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, μέσω μεταξύ τους συμφωνίας.

Άρθρο 25 Εκπρόσωποι υπευθύνων επεξεργασίας μη εγκαταστημένων στην Ένωση

1.           Στην περίπτωση που αναφέρεται στο άρθρο 3 παράγραφος 2, ο υπεύθυνος επεξεργασίας ορίζει εκπρόσωπο στην Ένωση.

2.           Η υποχρέωση αυτή δεν ισχύει για:

α)      υπεύθυνο επεξεργασίας εγκαταστημένο σε τρίτη χώρα, εάν η Επιτροπή αποφάσισε ότι η τρίτη χώρα διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων σύμφωνα με το άρθρο 41· ή

β)      επιχείρηση η οποία απασχολεί λιγότερα από 250 άτομα· ή

γ)      δημόσια αρχή ή φορέα· ή

δ)      υπεύθυνο επεξεργασίας ο οποίος προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα τα οποία διαμένουν στην Ένωση.

3.           Ο εκπρόσωπος είναι εγκαταστημένος σε ένα από τα κράτη μέλη στο οποίο διαμένουν τα συγκεκριμένα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε σχέση με την προσφορά αγαθών ή υπηρεσιών σε αυτά, ή των οποίων η συμπεριφορά παρακολουθείται.

4.           Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας δεν θίγει τις αγωγές οι οποίες μπορούν να ασκηθούν κατά του ίδιου του υπευθύνου επεξεργασίας.

Άρθρο 26 Εκτελών την επεξεργασία

1.           Εάν μια πράξη επεξεργασίας πρόκειται να εκτελεσθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας επιλέγει έναν εκτελούντα την επεξεργασία ο οποίος παρέχει επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και διαδικασιών, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα σε σχέση με τα τεχνικά μέτρα ασφάλειας και τα οργανωτικά μέτρα τα οποία διέπουν την επεξεργασία που πρόκειται να εκτελεσθεί, και διασφαλίζει τη συμμόρφωση προς τα εν λόγω μέτρα.

2.           Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη δικαιοπραξία η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, προβλέπει δε ειδικότερα ότι ο εκτελών την επεξεργασία:

α)      ενεργεί μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, ιδίως εάν η διαβίβαση των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται απαγορεύεται·

β)      απασχολεί μόνον υπαλλήλους οι οποίοι έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό νόμιμη υποχρέωση τήρησης εμπιστευτικότητας·

γ)      λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 30·

δ)      προσλαμβάνει άλλον εκτελούντα την επεξεργασία μόνον με την προηγούμενη άδεια του υπευθύνου επεξεργασίας·

ε)      στον βαθμό που αυτό είναι εφικτό, λαμβανομένης υπόψη της φύσης της επεξεργασίας, δημιουργεί, σε συμφωνία με τον υπεύθυνο επεξεργασίας, τις αναγκαίες τεχνικές και οργανωτικές συνθήκες για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που υποβάλλονται από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα με στόχο την άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του·

στ)    συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 30 έως 34·

ζ)      παραδίδει όλα τα αποτελέσματα στον υπεύθυνο επεξεργασίας μετά το πέρας της επεξεργασίας και δεν επεξεργάζεται άλλως πως τα δεδομένα προσωπικού χαρακτήρα·

η)      θέτει στη διάθεση του υπευθύνου επεξεργασίας και της αρχής ελέγχου κάθε απαραίτητη πληροφορία για τον έλεγχο της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο.

3.           Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τεκμηριώνουν εγγράφως τις εντολές του υπευθύνου επεξεργασίας και τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες αναφέρονται στην παράγραφο 2.

4.           Εάν ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα πέραν των οδηγιών του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία και υπάγεται στους κανόνες για τους από κοινού υπευθύνους επεξεργασίας που προβλέπονται στο άρθρο 24.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις αρμοδιότητες, τις υποχρεώσεις και τα καθήκοντα που αφορούν τον εκτελούντα την επεξεργασία σύμφωνα με την παράγραφο 1, και των προϋποθέσεων που επιτρέπουν τη διευκόλυνση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο εσωτερικό ομίλου επιχειρήσεων, ιδίως για τους σκοπούς του ελέγχου και της υποβολής εκθέσεων.

Άρθρο 27 Επεξεργασία υπό την εποπτεία του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία

Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή τη νομοθεσία κράτους μέλους.

Άρθρο 28 Τεκμηρίωση

1. Κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας διατηρεί τεκμηρίωση όλων των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος.

2. Η τεκμηρίωση περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:

α)      το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, ή οποιουδήποτε από κοινού υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, και του εκπροσώπου, εφόσον συντρέχει περίπτωση·

β)      το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας των δεδομένων, εφόσον συντρέχει περίπτωση·

γ)      τους σκοπούς της επεξεργασίας, συμπεριλαμβανομένων των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ)·

δ)      περιγραφή των κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα και των κατηγοριών δεδομένων προσωπικού χαρακτήρα που τα αφορούν·

ε)      τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των υπευθύνων επεξεργασίας στους οποίους κοινοποιούνται δεδομένα προσωπικού χαρακτήρα για τα έννομα συμφέροντα τα οποία επιδιώκουν·

στ)    όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 44 παράγραφος 1 στοιχείο η), της τεκμηρίωσης για τις κατάλληλες εγγυήσεις·

ζ)      γενική αναφορά στις προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων·

η)      την περιγραφή των μηχανισμών που αναφέρονται στο άρθρο 22 παράγραφος 3.

3.           Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας, θέτουν την τεκμηρίωση στη διάθεση της αρχής ελέγχου, κατόπιν αιτήματός της.

4.           Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν εφαρμόζονται στους ακόλουθους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία:

α)      ένα φυσικό πρόσωπο το οποίο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς εμπορικό συμφέρον· ή

β)      μια επιχείρηση ή έναν οργανισμό που απασχολεί λιγότερα από 250 άτομα και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον ως δραστηριότητα παρεπόμενη στις κύριες δραστηριότητές της.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με την τεκμηρίωση που αναφέρεται στην παράγραφο 1, ώστε να λαμβάνονται ειδικότερα υπόψη οι αρμοδιότητες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία και, εφόσον συντρέχει περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας.

6.           Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα για την τεκμηρίωση που αναφέρεται στην παράγραφο 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 29 Συνεργασία με την αρχή ελέγχου

1.           Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, εφόσον συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας συνεργάζονται, κατόπιν αιτήματος, με την αρχή ελέγχου στην άσκηση των καθηκόντων της, ιδίως παρέχοντας τις πληροφορίες που αναφέρονται στο άρθρο 53 παράγραφος 2 στοιχείο α) και παρέχοντας πρόσβαση όπως προβλέπεται στο στοιχείο β) της ίδιας παραγράφου.

2.           Ως απόκριση στην άσκηση των εξουσιών της αρχής ελέγχου βάσει του άρθρου 53 παράγραφος 2, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία απαντούν στην αρχή ελέγχου εντός εύλογης προθεσμίας, η οποία προσδιορίζεται από αυτήν. Η απάντηση περιλαμβάνει περιγραφή των ληφθέντων μέτρων και των επιτευχθέντων αποτελεσμάτων, ως απόκριση στις παρατηρήσεις της αρχής ελέγχου.

ΤΜΗΜΑ 2 ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ

Άρθρο 30 Ασφάλεια επεξεργασίας

1.           Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίσουν επίπεδο προστασίας κατάλληλο προς τους κινδύνους που αντιπροσωπεύει η επεξεργασία και η φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν, λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας και το κόστος της εφαρμογής τους.

2.           Κατόπιν αξιολόγησης των κινδύνων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν τα μέτρα που αναφέρονται στην παράγραφο 1 για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά της τυχαίας ή παράνομης καταστροφής ή της τυχαίας απώλειας, καθώς και για την αποφυγή κάθε παράνομης μορφής επεξεργασίας, ιδίως δε κάθε μη εξουσιοδοτημένης κοινοποίησης, διάδοσης ή πρόσβασης ή αλλοίωσης των δεδομένων προσωπικού χαρακτήρα.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τα τεχνικά και οργανωτικά μέτρα που αναφέρονται στις παραγράφους 1 και 2, συμπεριλαμβανομένου του ορισμού της κατάστασης της τεχνολογίας, για συγκεκριμένους τομείς και σε συγκεκριμένες καταστάσεις επεξεργασίας δεδομένων, λαμβάνοντας ιδίως υπόψη τις εξελίξεις στην τεχνολογία και τις λύσεις για την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό και την προστασία των δεδομένων εξ ορισμού, εκτός εάν τυγχάνει εφαρμογής η παράγραφος 4.

4.           Η Επιτροπή μπορεί να εκδίδει, εάν απαιτείται, εκτελεστικές πράξεις για τον προσδιορισμό των απαιτήσεων που προβλέπονται στις παραγράφους 1 και 2 σε διάφορες καταστάσεις, και ιδίως για:

α)      την αποφυγή κάθε μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα·

β)      την αποφυγή κάθε μη εξουσιοδοτημένης κοινοποίησης, ανάγνωσης, αντιγραφής, τροποποίησης, διαγραφής ή αφαίρεσης δεδομένων προσωπικού χαρακτήρα·

γ)      τη διασφάλιση του ελέγχου της νομιμότητας των πράξεων επεξεργασίας.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 31 Κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου

1.           Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας κοινοποιεί στην αρχή ελέγχου την παραβίαση δεδομένων προσωπικού χαρακτήρα αμελλητί και, ει δυνατόν, το αργότερο εντός 24 ωρών από τη στιγμή που την πληροφορείται. Η κοινοποίηση στην αρχή ελέγχου συνοδεύεται από αιτιολογία στις περιπτώσεις στις οποίες δεν πραγματοποιείται εντός 24 ωρών.

2.           Δυνάμει του άρθρου 26 παράγραφος 2 στοιχείο στ), ο εκτελών την επεξεργασία ειδοποιεί και ενημερώνει τον υπεύθυνο επεξεργασίας αμέσως μετά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα.

3.           Η κοινοποίηση που αναφέρεται στην παράγραφο 1 πρέπει, κατ’ ελάχιστο:

α)      να περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των κατηγοριών και του αριθμού των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα, των κατηγοριών και του πλήθους των σχετικών αρχείων δεδομένων·

β)      να γνωστοποιεί την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να εξασφαλισθούν περισσότερες πληροφορίες·

γ)      να συνιστά μέτρα για τον μετριασμό των ενδεχόμενων δυσμενών συνεπειών της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

δ)      να περιγράφει τις συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

ε)      να περιγράφει τα μέτρα που προτείνονται ή που λήφθηκαν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα.

4.           Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση πρέπει να επιτρέπει στην αρχή ελέγχου να ελέγχει τη συμμόρφωση προς το παρόν άρθρο. Η τεκμηρίωση περιέχει μόνον τις απαραίτητες πληροφορίες για τον συγκεκριμένο σκοπό.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τη διαπίστωση της παραβίασης των δεδομένων προσωπικού χαρακτήρα που αναφέρεται στις παραγράφους 1 και 2 και τις ειδικές συνθήκες υπό τις οποίες ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία υποχρεούνται να κοινοποιήσουν την παραβίαση των δεδομένων προσωπικού χαρακτήρα.

6.           Η Επιτροπή μπορεί να θεσπίσει τον τυποποιημένο μορφότυπο για την εν λόγω γνωστοποίηση στην αρχή ελέγχου, τις εφαρμοστέες διαδικασίες στην απαίτηση κοινοποίησης, καθώς και τη μορφή και τους τρόπους της τεκμηρίωσης που αναφέρεται στην παράγραφο 4, συμπεριλαμβανομένων των προθεσμιών για τη διαγραφή των πληροφοριών που περιέχονται σε αυτήν. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 32 Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

1.           Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανόν να επηρεάσει δυσμενώς την προστασία των δεδομένων προσωπικού χαρακτήρα ή την ιδιωτική ζωή του προσώπου στο οποίο αναφέρονται τα δεδομένα, ο υπεύθυνος επεξεργασίας οφείλει, μετά την κοινοποίηση που αναφέρεται στο άρθρο 31, να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αμελλητί.

2.           Η γνωστοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1, περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον τις πληροφορίες και τις συστάσεις που προβλέπονται στο άρθρο 31 παράγραφος 3 στοιχεία β) και γ).

3.           Η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας αποδεικνύει με τρόπο ικανοποιητικό για την αρχή ελέγχου ότι εφάρμοσε κατάλληλα τεχνολογικά μέτρα προστασίας και ότι τα εν λόγω μέτρα εφαρμόσθηκαν στα δεδομένα τα οποία αφορά η παραβίαση δεδομένων προσωπικού χαρακτήρα. Τα εν λόγω τεχνολογικά μέτρα προστασίας καθιστούν τα δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο δεν διαθέτει εξουσία πρόσβασης σε αυτά.

4.           Με την επιφύλαξη της υποχρέωσης του υπευθύνου επεξεργασίας να γνωστοποιεί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εάν ο υπεύθυνος επεξεργασίας δεν έχει ακόμη ειδοποιήσει το συγκεκριμένο πρόσωπο για την παραβίαση των δεδομένων του προσωπικού χαρακτήρα, η αρχή ελέγχου δύναται, αφού εξετάσει τις ενδεχόμενες δυσμενείς συνέπειες της παραβίασης, να απαιτήσει από τον υπεύθυνο επεξεργασίας να το πράξει.

5.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων όσον αφορά τις συνθήκες υπό τις οποίες η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενής συνέπειες στα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1.

6.           Η Επιτροπή μπορεί να θεσπίσει τον μορφότυπο της κοινοποίησης στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, η οποία αναφέρεται στην παράγραφο 1, και τις εφαρμοστέες διαδικασίες στην εν λόγω κοινοποίηση. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

ΤΜΗΜΑ 3 ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΡΟΗΓΟΥΜΕΝΗ ΕΓΚΡΙΣΗ

Άρθρο 33 Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων

1. Εάν οι πράξεις επεξεργασίας ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2. Οι ακόλουθες πράξεις επεξεργασίας ειδικότερα ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στην παράγραφο 1:

α)      συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών ενός φυσικού προσώπου, για παράδειγμα με στόχο την ανάλυση ή την πρόβλεψη ειδικότερα της οικονομικής κατάστασης, της θέσης, της υγείας, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του φυσικού προσώπου, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία και βάσει της οποίας λαμβάνονται μέτρα τα οποία παράγουν έννομες συνέπειες που αφορούν ή επηρεάζουν σημαντικά το φυσικό πρόσωπο·

β)      πληροφορίες σχετικά με τη σεξουαλική ζωή, την υγεία, τη φυλή και την εθνοτική καταγωγή ή την παροχή υγειονομικής περίθαλψης, επιδημιολογικές έρευνες ή μελέτες για ψυχικές ή λοιμώδεις νόσους, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα σε σχέση με συγκεκριμένα φυσικά πρόσωπα ·

γ)      παρακολούθηση δημόσια προσπελάσιμων χώρων, ιδίως με τη χρήση οπτικοηλεκτρονικών συσκευών (επιτήρηση με βίντεο) σε μεγάλη κλίμακα·

δ)      επεξεργασία δεδομένων προσωπικού χαρακτήρα σε συστήματα αρχειοθέτησης μεγάλης κλίμακας, τα οποία περιέχουν δεδομένα για παιδιά, γενετικά δεδομένα ή βιομετρικά δεδομένα·

ε)      άλλες πράξεις επεξεργασίας για τις οποίες απαιτείται διαβούλευση με την αρχή ελέγχου δυνάμει του άρθρου 34 παράγραφος 2 στοιχείο β).

3.           Η εκτίμηση περιέχει τουλάχιστον γενική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων, εγγυήσεις, μέτρα ασφαλείας και μηχανισμούς, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα και άλλων ενδιαφερόμενων προσώπων.

4.           Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

5.           Εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή ή δημόσιος φορέας και εάν η επεξεργασία απορρέει από νομική υποχρέωση δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) η οποία προβλέπει κανόνες και διαδικασίες για τις πράξεις επεξεργασίας και ρυθμίζεται από το δίκαιο της Ένωσης, οι παράγραφοι 1 έως 4 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη θεωρούν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

6.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των προϋποθέσεων σχετικά με τις πράξεις επεξεργασίας που μπορεί να ενέχουν τους συγκεκριμένους κινδύνους που αναφέρονται στις παραγράφους 1 και 2, καθώς και των απαιτήσεων για την εκτίμηση που αναφέρεται στην παράγραφο 3, συμπεριλαμβανομένων των προϋποθέσεων για επεκτασιμότητα, επαλήθευση και δυνατότητα ελέγχου. Στο πλαίσιο αυτό, η Επιτροπή εξετάζει ειδικά μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις.

7.           Η Επιτροπή μπορεί να προσδιορίζει πρότυπα και διαδικασίες για την εκτέλεση, την επαλήθευση και τον έλεγχο της εκτίμησης που αναφέρεται στην παράγραφο 3. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 34 Προηγούμενη έγκριση και προηγούμενη διαβούλευση

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ανάλογα με την περίπτωση, εξασφαλίζουν έγκριση από την αρχή ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία θεσπίζει συμβατικές ρήτρες, όπως προβλέπεται στο άρθρο 42 παράγραφος 2 στοιχείο δ), ή δεν παρέχει κατάλληλες εγγυήσεις σε νομικά δεσμευτική πράξη, όπως προβλέπεται στο άρθρο 42 παράγραφος 5, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό.

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας, ζητούν τη γνώμη της αρχής ελέγχου πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, όταν:

α)      η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων, η οποία προβλέπεται στο άρθρο 33, υποδεικνύει ότι οι πράξεις επεξεργασίας ενδέχεται, λόγω της φύσης, της έκτασης ή του σκοπού τους, να ενέχουν υψηλό βαθμό συγκεκριμένων κινδύνων· ή

β)      η αρχή ελέγχου θεωρεί απαραίτητη τη διενέργεια προηγούμενης διαβούλευσης για πράξεις επεξεργασίας οι οποίες ενδέχεται να ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες λόγω της φύσης, της έκτασης ή/και των σκοπών τους και προσδιορίζονται σύμφωνα με την παράγραφο 4.

3. Εάν φρονεί ότι η σχεδιαζόμενη επεξεργασία δεν είναι σύμφωνη προς τον παρόντα κανονισμό, και ιδίως εάν οι κίνδυνοι δεν προσδιορίζονται ούτε μετριάζονται επαρκώς, η αρχή ελέγχου απαγορεύει τη σχεδιαζόμενη επεξεργασία και διατυπώνει κατάλληλες προτάσεις για την επανόρθωση της μη συμμόρφωσης.

4. Η αρχή ελέγχου καταρτίζει και δημοσιοποιεί κατάλογο των πράξεων επεξεργασίας οι οποίες υπόκεινται σε προηγούμενη διαβούλευση δυνάμει της παραγράφου 2 στοιχείο β). Η αρχή ελέγχου κοινοποιεί τους εν λόγω καταλόγους στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

5. Εάν ο κατάλογος που προβλέπεται στην παράγραφο 4 περιλαμβάνει δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή με την παρακολούθηση της συμπεριφοράς τους ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, τότε η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 πριν από την έκδοση του καταλόγου.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχουν στην αρχή ελέγχου την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων η οποία προβλέπεται στο άρθρο 33 και, κατόπιν αιτήματος, οποιαδήποτε άλλη πληροφορία η οποία επιτρέπει στην αρχή ελέγχου να αξιολογήσει τη συμμόρφωση της επεξεργασίας και, ιδίως, τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα του προσώπου στο οποίο αυτά αναφέρονται και τις σχετικές εγγυήσεις.

7. Τα κράτη μέλη ζητούν τη γνώμη της αρχής ελέγχου κατά την επεξεργασία νομοθετικού μέτρου το οποίο πρόκειται να θεσπισθεί από το εθνικό κοινοβούλιο ή μέτρου βασισμένου σε ένα τέτοιο νομοθετικό μέτρο, το οποίο ορίζει τη φύση της διαδικασίας, προκειμένου να διασφαλίζεται συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον κανονισμό και, ιδίως, να μετριάζονται οι σχετικοί κίνδυνοι για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τον καθορισμό του υψηλού βαθμού συγκεκριμένου κινδύνου που αναφέρεται στην παράγραφο 2 στοιχείο α).

9. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένα έντυπα και διαδικασίες για τις προηγούμενες εγκρίσεις και διαβουλεύσεις που αναφέρονται στις παραγράφους 1 και 2, καθώς και τυποποιημένα έντυπα και διαδικασίες για την ενημέρωση των αρχών ελέγχου δυνάμει της παραγράφου 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

ΤΜΗΜΑ 4 ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 35 Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α)      η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα· ή

β)      η επεξεργασία διενεργείται από επιχείρηση η οποία απασχολεί τουλάχιστον 250 άτομα· ή

γ)      οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αφορούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, της έκτασης ή/και των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση προσώπων στα οποία αναφέρονται τα δεδομένα.

2.           Στην περίπτωση που αναφέρεται στην παράγραφο 1 στοιχείο β), ένας όμιλος επιχειρήσεων μπορεί να διορίσει έναν μοναδικό υπεύθυνο προστασίας δεδομένων.

3.           Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για περισσότερες από τις οντότητές της (του), λαμβάνοντας υπόψη την οργανωτική δομή της δημόσιας αρχής ή του δημόσιου φορέα.

4.           Σε άλλες περιπτώσεις εκτός από τις αναφερόμενες στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων.

5.           Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν τον υπεύθυνο προστασίας δεδομένων βάσει επαγγελματικών προσόντων και ιδίως πείρας στο δίκαιο και στις πρακτικές προστασίας των δεδομένων και ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 37. Το αναγκαίο επίπεδο πείρας καθορίζεται ειδικότερα ανάλογα με την επεξεργασία δεδομένων που διενεργείται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

6. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι κάθε άλλο επαγγελματικό καθήκον του υπευθύνου προστασίας δεδομένων είναι συμβατό προς τα καθήκοντα και τις αρμοδιότητες του προσώπου ως υπευθύνου προστασίας δεδομένων και δεν συνεπάγονται σύγκρουση συμφερόντων.

7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας των δεδομένων για διάστημα τουλάχιστον δύο ετών. Ο υπεύθυνος προστασίας δεδομένων μπορεί να διορισθεί εκ νέου για περαιτέρω θητείες. Κατά τη διάρκεια της θητείας του, ο υπεύθυνος προστασίας δεδομένων μπορεί να απομακρυνθεί από τη θέση του μόνον εάν δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του.

8. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι υπάλληλος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

9. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποιούν το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στην αρχή ελέγχου και στο κοινό.

10. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα δικαιούνται να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων που τα αφορούν και να ζητούν να ασκήσουν τα δικαιώματα που απορρέουν από τον παρόντα κανονισμό.

11. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που αναφέρονται στην παράγραφο 1 στοιχείο γ), καθώς και των κριτηρίων σχετικά με τα επαγγελματικά προσόντα του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 5.

Άρθρο 36 Θέση του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

2. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων ασκεί τις αρμοδιότητες και τα καθήκοντά του ανεξάρτητα και δεν λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στη διοίκηση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του και παρέχουν υπαλλήλους, εγκαταστάσεις, εξοπλισμό και κάθε άλλο πόρο απαραίτητο για την άσκηση των αρμοδιοτήτων και των καθηκόντων που αναφέρονται στο άρθρο 37.

Άρθρο 37 Καθήκοντα του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αναθέτουν στον υπεύθυνο προστασίας δεδομένων τουλάχιστον τα ακόλουθα καθήκοντα:

α)      να ενημερώνει και να πληροφορεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και να τεκμηριώνει την εν λόγω δραστηριότητα και τις απαντήσεις που λαμβάνει·

β)      να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή των πολιτικών του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων·

γ)      να παρακολουθεί τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού, ιδίως όσον αφορά τις απαιτήσεις που σχετίζονται με την προστασία των δεδομένων ήδη από τον σχεδιασμό, την προστασία των δεδομένων εξ ορισμού, την ασφάλεια των δεδομένων και την ενημέρωση των προσώπων στα οποία αναφέρονται τα δεδομένα και τα αιτήματά τους κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τον παρόντα κανονισμό·

δ)      να διασφαλίζει ότι τηρείται η τεκμηρίωση που προβλέπεται στο άρθρο 28·

ε)      να παρακολουθεί την τεκμηρίωση και τις κοινοποιήσεις των παραβιάσεων των δεδομένων προσωπικού χαρακτήρα δυνάμει των άρθρων 31 και 32·

στ)    να παρακολουθεί τη διενέργεια της εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και την αίτηση περί προηγούμενης έγκρισης ή προηγούμενης διαβούλευσης, εφόσον απαιτείται δυνάμει των άρθρων 33 και 34·

ζ)      να παρακολουθεί την απάντηση της αρχής ελέγχου σε αιτήματα και, στο πλαίσιο της αρμοδιότητας του υπευθύνου προστασίας δεδομένων, να συνεργάζεται με την αρχή ελέγχου κατόπιν αιτήματός της ή με πρωτοβουλία του υπευθύνου προστασίας δεδομένων·

η)      να ενεργεί ως σημείο επικοινωνίας για την αρχή ελέγχου σε ζητήματα που σχετίζονται με την επεξεργασία και να διαβουλεύεται με την αρχή ελέγχου, εφόσον απαιτείται, με δική του πρωτοβουλία.

2. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τα καθήκοντα, την πιστοποίηση, το καθεστώς, τις αρμοδιότητες και τους πόρους του υπευθύνου προστασίας δεδομένων που αναφέρονται στην παράγραφο 1.

ΤΜΗΜΑ 5 ΚΩΔΙΚΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΚΑΙ ΠΙΣΤΟΠΟΙΗΣΗ

Άρθρο 38 Κώδικες δεοντολογίας

1. Τα κράτη μέλη, οι αρχές ελέγχου και η Επιτροπή παροτρύνουν την εκπόνηση κωδίκων δεοντολογίας που αποσκοπούν να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας δεδομένων, ιδίως όσον αφορά:

α)      τη θεμιτή και διαφανή επεξεργασία των δεδομένων·

β)      τη συλλογή δεδομένων·

γ)      την ενημέρωση του κοινού και των προσώπων στα οποία αναφέρονται τα δεδομένα·

δ)      τα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους·

ε)      την ενημέρωση και την προστασία των παιδιών·

στ)    τη διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς·

ζ)      τους μηχανισμούς παρακολούθησης και διασφάλισης της συμμόρφωσης προς τον κώδικα από τους υπευθύνους επεξεργασίας που τον εφαρμόζουν·

η)      εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών για την επίλυση διαφορών μεταξύ υπευθύνων επεξεργασίας και προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα δυνάμει των άρθρων 73 και 75.

2. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία σε ένα κράτος μέλος, οι οποίοι προτίθενται να εκπονήσουν κώδικες δεοντολογίας ή να τροποποιήσουν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας, μπορούν να τους υποβάλουν για γνωμοδότηση στην αρχή ελέγχου του συγκεκριμένου κράτους μέλους. Η αρχή ελέγχου μπορεί να γνωμοδοτήσει σχετικά με το κατά πόσον το σχέδιο κώδικα δεοντολογίας είναι σύμφωνο προς τον παρόντα κανονισμό. Η αρχή ελέγχου ζητεί τη γνώμη των προσώπων στα οποία αναφέρονται τα δεδομένα ή των εκπροσώπων τους για τα εν λόγω σχέδια.

3. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας σε περισσότερα κράτη μέλη μπορούν να υποβάλουν σχέδια κωδίκων δεοντολογίας και τροποποιήσεις ή επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας στην Επιτροπή.

4. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις με τις οποίες αποφασίζει ότι οι κώδικες δεοντολογίας και οι τροποποιήσεις ή οι επεκτάσεις υφιστάμενων κωδίκων δεοντολογίας της Ένωσης που της υποβλήθηκαν δυνάμει της παραγράφου 3 έχουν γενική ισχύ εντός της Ένωσης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

5. Η Επιτροπή διασφαλίζει κατάλληλη δημοσιότητα για τους κώδικες για τους οποίους αποφάσισε ότι έχουν γενική ισχύ σύμφωνα με την παράγραφο 4.

Άρθρο 39 Πιστοποίηση

1.           Τα κράτη μέλη και η Επιτροπή παροτρύνουν, ιδίως σε ευρωπαϊκό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, σφραγίδων και σημάτων προστασίας δεδομένων, επιτρέποντας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων που παρέχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία. Οι μηχανισμοί πιστοποίησης προστασίας δεδομένων συμβάλλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά των διάφορων τομέων και πράξεων επεξεργασίας.

2.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους μηχανισμούς πιστοποίησης προστασίας των δεδομένων που αναφέρονται στην παράγραφο 1, συμπεριλαμβανομένων των προϋποθέσεων σχετικά με τη χορήγηση και την απόσυρση, και των απαιτήσεων για την αναγνώριση στην Ένωση και σε τρίτες χώρες.

3.           Η Επιτροπή μπορεί να θεσπίσει τεχνικά πρότυπα για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων καθώς και μηχανισμούς για την προώθηση και την αναγνώριση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

ΚΕΦΑΛΑΙΟ V ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΕ ΤΡΙΤΕΣ ΧΩΡΕΣ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Άρθρο 40 Γενικές αρχές για διαβιβάσεις

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή έναν διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλον διεθνή οργανισμό.

Άρθρο 41 Διαβιβάσεις με απόφαση περί επάρκειας

1. Μια διαβίβαση μπορεί να πραγματοποιηθεί εφόσον η Επιτροπή αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν επαρκές επίπεδο προστασίας. Μια τέτοια διαβίβαση δεν απαιτεί καμία περαιτέρω έγκριση.

2. Κατά την εξέταση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη τα ακόλουθα στοιχεία:

α)      το κράτος δικαίου, τη σχετική ισχύουσα νομοθεσία, τόσο γενική όσο και τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας τα οποία τηρούνται στη συγκεκριμένη χώρα ή από τον συγκεκριμένο διεθνή οργανισμό, τα ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται·

β)      την ύπαρξη και την αποτελεσματική λειτουργία μίας ή περισσότερων ανεξάρτητων αρχών ελέγχου στην εν λόγω τρίτη χώρα ή στον διεθνή οργανισμό, η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, για την παροχή συνδρομής και ενημέρωσης στα πρόσωπα στα οποία αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων τους και για τη συνεργασία με τις αρχές ελέγχου της Ένωσης και των κρατών μελών· και

γ)      τις διεθνείς δεσμεύσεις που έχουν αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός.

3. Η Επιτροπή μπορεί να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός διασφαλίζουν κατάλληλο επίπεδο προστασίας κατά την έννοια της παραγράφου 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

4. Η εκτελεστική πράξη προσδιορίζει τη γεωγραφική και τομεακή εφαρμογή της καθώς και, όπου συντρέχει περίπτωση, την αρχή ελέγχου που αναφέρεται στην παράγραφο 2 στοιχείο β).

5. Η Επιτροπή μπορεί να αποφασίσει ότι μια τρίτη χώρα, ή ένα έδαφος ή ένας τομέας επεξεργασίας στην εν λόγω τρίτη χώρα, ή ένας διεθνής οργανισμός δεν διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια της παραγράφου 2 του παρόντος άρθρου, ιδίως σε περιπτώσεις στις οποίες η σχετική νομοθεσία, τόσο γενική όσο και τομεακή, η οποία ισχύει στην τρίτη χώρα ή στον διεθνή οργανισμό δεν διασφαλίζει ουσιαστικά δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας, συμπεριλαμβανομένων ουσιαστικών διοικητικών και δικαστικών μέσων προσφυγής για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ιδίως για εκείνα τα πρόσωπα που διαμένουν στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2, ή, σε εξαιρετικά επείγουσες περιπτώσεις για φυσικά πρόσωπα όσον αφορά το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 87 παράγραφος 3.

6. Εάν η Επιτροπή λάβει απόφαση δυνάμει της παραγράφου 5, κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα στην εν λόγω τρίτη χώρα, ή σε έδαφος ή σε τομέα επεξεργασίας στην εν λόγω τρίτη χώρα, ή στον διεθνή οργανισμό απαγορεύεται, με την επιφύλαξη των άρθρων 42 έως 44. Σε εύθετο χρόνο, η Επιτροπή ξεκινά διαβουλεύσεις με την τρίτη χώρα ή τον διεθνή οργανισμό με σκοπό την επανόρθωση της κατάστασης που προκύπτει από την απόφαση που λήφθηκε δυνάμει της παραγράφου 5 του παρόντος άρθρου.

7. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης κατάλογο των τρίτων χωρών, εδαφών και τομέων επεξεργασίας σε μια τρίτη χώρα, και διεθνών οργανισμών όπου αποφασίζει ότι διασφαλίζεται ή δεν διασφαλίζεται επαρκές επίπεδο προστασίας.

8. Οι αποφάσεις που εκδόθηκαν από την Επιτροπή βάσει του άρθρου 25 παράγραφος 6 ή του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την Επιτροπή.

Άρθρο 42 Διαβιβάσεις μέσω κατάλληλων εγγυήσεων

1.           Εάν η Επιτροπή δεν λάβει καμία απόφαση δυνάμει του άρθρου 41, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μόνον εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία παρέχει κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη.

2.           Οι κατάλληλες εγγυήσεις που αναφέρονται στην παράγραφο 1 παρέχονται, ειδικότερα, μέσω:

α)      δεσμευτικών εταιρικών κανόνων σύμφωνα με το άρθρο 43· ή

β)      τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από την Επιτροπή. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2· ή

γ)      τυποποιημένων ρητρών προστασίας δεδομένων που εκδίδονται από αρχή ελέγχου σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57 όταν κηρύσσονται γενικά ισχυρές από την Επιτροπή δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο β)· ή

δ)      συμβατικών ρητρών που συνάπτονται μεταξύ του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και του αποδέκτη των δεδομένων, οι οποίες εγκρίνονται από αρχή ελέγχου σύμφωνα με την παράγραφο 4.

3.           Διαβίβαση η οποία βασίζεται σε τυποποιημένες ρήτρες προστασίας δεδομένων ή δεσμευτικούς εταιρικούς κανόνες, όπως αναφέρεται στην παράγραφο 2 στοιχεία α), β) ή γ), δεν απαιτεί περαιτέρω έγκριση.

4.           Εάν η διαβίβαση βασίζεται σε συμβατικές ρήτρες, όπως αναφέρεται στην παράγραφο 2 στοιχείο δ) του παρόντος άρθρου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση των συμβατικών ρητρών από την αρχή ελέγχου σύμφωνα με το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή άλλα κράτη μέλη, ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

5.           Εάν οι κατάλληλες εγγυήσεις σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα δεν προβλέπονται σε νομικά δεσμευτική πράξη, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εξασφαλίζουν προηγούμενη έγκριση για τη διαβίβαση, ή για μια σειρά διαβιβάσεων, ή για τη συμπερίληψη διατάξεων σε διοικητικές συμφωνίες οι οποίες παρέχουν τη βάση για την εν λόγω διαβίβαση. Η εν λόγω έγκριση της αρχής ελέγχου πρέπει να είναι σύμφωνη προς το άρθρο 34 παράγραφος 1 στοιχείο α). Εάν η διαβίβαση σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες αφορούν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε άλλο κράτος μέλος ή σε άλλα κράτη μέλη ή επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η αρχή ελέγχου εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57. Οι εγκρίσεις αρχής ελέγχου βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ, έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν από την εν λόγω αρχή ελέγχου.

Άρθρο 43 Διαβιβάσεις μέσω δεσμευτικών εταιρικών κανόνων

1. Η αρχή ελέγχου εγκρίνει, σύμφωνα με τον μηχανισμό συνεκτικότητας που προβλέπεται στο άρθρο 58, δεσμευτικούς εταιρικούς κανόνες, υπό τον όρο ότι

α)      είναι νομικά δεσμευτικοί και εφαρμόζονται σε κάθε μέλος και επιβάλλονται από κάθε μέλος στον όμιλο επιχειρήσεων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, περιλαμβανομένων των υπαλλήλων τους·

β)      απονέμουν ρητώς δικαιώματα τα οποία μπορούν να τύχουν δικαστικής προστασίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα·

γ)      πληρούν τις απαιτήσεις που προβλέπονται στην παράγραφο 2.

2.           Οι δεσμευτικοί εταιρικοί κανόνες προσδιορίζουν κατ’ ελάχιστο:

α)      τη δομή και τα στοιχεία επικοινωνίας του ομίλου επιχειρήσεων και των μελών του·

β)      τις διαβιβάσεις ή τις σειρές διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των τύπων επεξεργασίας και των σκοπών της, του τύπου προσώπων στα οποία αναφέρονται τα δεδομένα που επηρεάζονται, και την εν λόγω τρίτη χώρα ή τις τρίτες χώρες·

γ)      τη νομικά δεσμευτική φύση τους, τόσο εσωτερικά όσο και εξωτερικά·

δ)      τις γενικές αρχές προστασίας δεδομένων, ιδίως τον περιορισμό του σκοπού, την ποιότητα των δεδομένων, τη νομική βάση για την επεξεργασία, την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, μέτρα ώστε να διασφαλίζεται η ασφάλεια των δεδομένων, καθώς και τις απαιτήσεις σχετικά με περαιτέρω διαβιβάσεις σε οργανισμούς οι οποίοι δεν δεσμεύονται από τις πολιτικές·

ε)      τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και τα μέσα για την άσκηση των εν λόγω δικαιωμάτων, συμπεριλαμβανομένου του δικαιώματος να μην υπάγονται σε μέτρο βασισμένο στην κατάρτιση προφίλ σύμφωνα με το άρθρο 20, του δικαιώματος υποβολής καταγγελίας ενώπιον της αρμόδιας αρχής ελέγχου και ενώπιον των αρμόδιων δικαστηρίων των κρατών μελών σύμφωνα με το άρθρο 75, της εξασφάλισης επανόρθωσης και, ανάλογα με την περίπτωση, της αποζημίωσης για παραβίαση των δεσμευτικών εταιρικών κανόνων·

στ)    την αποδοχή ευθύνης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία που είναι εγκαταστημένος στο έδαφος κράτους μέλους για τυχόν παραβιάσεις των δεσμευτικών εταιρικών κανόνων από οποιοδήποτε μέλος του ομίλου επιχειρήσεων το οποίο δεν είναι εγκαταστημένο στην Ένωση· ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να εξαιρεθούν από την ευθύνη αυτή, εν όλω ή εν μέρει, μόνον εάν αποδείξουν ότι το συγκεκριμένο μέλος δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας·

ζ)      τον τρόπο παροχής της ενημέρωσης σχετικά με τους δεσμευτικούς εταιρικούς κανόνες, και ιδίως τις διατάξεις που αναφέρονται στα σημεία δ), ε) και στ) της παρούσας παραγράφου, προς τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 11·

η)      τα καθήκοντα του υπευθύνου προστασίας δεδομένων που ορίζεται σύμφωνα με το άρθρο 35, συμπεριλαμβανομένης της παρακολούθησης της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες στον όμιλο επιχειρήσεων, καθώς και της παρακολούθησης της κατάρτισης και του χειρισμού των καταγγελιών·

θ)      τους μηχανισμούς στον όμιλο επιχειρήσεων οι οποίοι στοχεύουν στη διασφάλιση του ελέγχου της συμμόρφωσης προς τους δεσμευτικούς εταιρικούς κανόνες·

ι)       τους μηχανισμούς για την αναφορά και την καταχώριση αλλαγών στις πολιτικές και την αναφορά των εν λόγω αλλαγών στην αρχή ελέγχου·

ια)     τον μηχανισμό συνεργασίας με την αρχή ελέγχου ώστε να διασφαλίζεται συμμόρφωση από κάθε μέλος του ομίλου επιχειρήσεων, ιδίως θέτοντας στη διάθεση της αρχής ελέγχου τα αποτελέσματα των ελέγχων των μέτρων που αναφέρονται στο στοιχείο θ) της παρούσας παραγράφου.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου, ιδίως όσον αφορά τα κριτήρια για την έγκρισή τους, την εφαρμογή της παραγράφου 2 στοιχεία β), δ), ε) και στ) στους δεσμευτικούς εταιρικούς κανόνες που τηρούν οι υπεύθυνοι επεξεργασίας, και των περαιτέρω απαραίτητων απαιτήσεων ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα.

4.           Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ υπευθύνων επεξεργασίας, εκτελούντων την επεξεργασία και αρχών ελέγχου για τους δεσμευτικούς εταιρικούς κανόνες κατά την έννοια του παρόντος άρθρου. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 44 Παρεκκλίσεις

1.           Απουσία απόφασης περί επάρκειας δυνάμει του άρθρου 41 ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 42, μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνον εφόσον:

α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συγκατατέθηκε στη σχεδιαζόμενη διαβίβαση, αφού ενημερώθηκε για τους κινδύνους των εν λόγω διαβιβάσεων λόγω της απουσίας απόφασης περί επάρκειας και κατάλληλων εγγυήσεων· ή

β)      η διαβίβαση είναι απαραίτητη για την εκτέλεση σύμβασης μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας ή για την εφαρμογή προσυμβατικών μέτρων τα οποία λαμβάνονται κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα· ή

γ)      η διαβίβαση είναι απαραίτητη για τη σύναψη ή την εκτέλεση σύμβασης, η οποία συνάφθηκε προς όφελος του προσώπου στο οποίο αναφέρονται τα δεδομένα μεταξύ του υπευθύνου επεξεργασίας και άλλου φυσικού ή νομικού προσώπου· ή

δ)      η διαβίβαση είναι απαραίτητη για σημαντικούς λόγους δημόσιου συμφέροντος· ή

ε)      η διαβίβαση είναι απαραίτητη για την απόδειξη, την άσκηση ή την υπεράσπιση νομικών απαιτήσεων· ή

στ)    η διαβίβαση είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου προσώπου, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν είναι φυσικά ή νομικά ικανό να παράσχει τη συγκατάθεσή του· ή

ζ)      η διαβίβαση πραγματοποιείται από μητρώο το οποίο σύμφωνα με το δίκαιο της Ένωσης ή δίκαιο κράτους μέλους προορίζεται για την παροχή πληροφοριών στο κοινό και είναι ανοικτό για αναζήτηση πληροφοριών είτε γενικά από το ευρύ κοινό είτε από οποιοδήποτε πρόσωπο που μπορεί να αποδείξει έννομο συμφέρον, εφόσον πληρούνται στη συγκεκριμένη περίπτωση οι προϋποθέσεις που προβλέπονται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους για την αναζήτηση πληροφοριών · ή

η)      η διαβίβαση είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκουν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, και δεν μπορεί να χαρακτηρισθεί συχνή ή μαζική, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αξιολόγησαν όλες τις συνθήκες που περιβάλλουν την πράξη διαβίβασης δεδομένων ή τη σειρά πράξεων διαβίβασης δεδομένων και βάσει της αξιολόγησης αυτής παρέχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.

2.           Διαβίβαση η οποία πραγματοποιείται δυνάμει της παραγράφου 1 στοιχείο ζ) δεν περιλαμβάνει το σύνολο των δεδομένων προσωπικού χαρακτήρα ούτε ολόκληρες κατηγορίες δεδομένων προσωπικού χαρακτήρα που περιέχονται στο μητρώο. Όταν το μητρώο προορίζεται για αναζήτηση πληροφοριών από πρόσωπα τα οποία έχουν έννομο συμφέρον, η διαβίβαση πραγματοποιείται μόνον κατόπιν αιτήματος των εν λόγω προσώπων ή μόνον εάν πρόκειται να είναι οι αποδέκτες.

3.           Εάν η επεξεργασία βασίζεται στην παράγραφο 1 στοιχείο η), ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνουν ιδιαίτερα υπόψη τη φύση των δεδομένων, τον σκοπό και τη διάρκεια της σχεδιαζόμενης πράξης (ή των πράξεων) επεξεργασίας, καθώς και την κατάσταση στη χώρα προέλευσης, στην τρίτη χώρα και στη χώρα τελικού προορισμού, καθώς και τις παρεχόμενες κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον απαιτείται.

4.           Η παράγραφος 1 στοιχεία β), γ) και η) δεν εφαρμόζεται σε δραστηριότητες οι οποίες εκτελούνται από δημόσιες αρχές κατά την άσκηση των δημόσιων εξουσιών τους.

5.           Το δημόσιο συμφέρον που αναφέρεται στην παράγραφο 1 στοιχείο δ) πρέπει να αναγνωρίζεται στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

6.           Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τεκμηριώνουν την αξιολόγηση καθώς και τις παρεχόμενες κατάλληλες εγγυήσεις, οι οποίες αναφέρονται στην παράγραφο 1 στοιχείο η) του παρόντος άρθρου, στην τεκμηρίωση που αναφέρεται στο άρθρο 28, και ενημερώνουν την αρχή ελέγχου για τη διαβίβαση.

7.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των «σημαντικών λόγων δημόσιου συμφέροντος» κατά την έννοια της παραγράφου 1 στοιχείο δ) καθώς και των κριτηρίων και των απαιτήσεων σχετικά με τις κατάλληλες εγγυήσεις οι οποίες αναφέρονται στην παράγραφο 1 στοιχείο η).

Άρθρο 45 Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

1.           Σε σχέση με τρίτες χώρες και διεθνείς οργανισμούς, η Επιτροπή και οι αρχές ελέγχου λαμβάνουν κατάλληλα μέτρα για:

α)      την ανάπτυξη αποτελεσματικών μηχανισμών διεθνούς συνεργασίας για τη διευκόλυνση της επιβολής της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·

β)      την παροχή διεθνούς αμοιβαίας συνδρομής στην επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω κοινοποίησης, διαβίβασης καταγγελιών, συνδρομής σε έρευνες και ανταλλαγής πληροφοριών, με την επιφύλαξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών·

γ)      τη συμμετοχή των οικείων ενδιαφερομένων σε συζητήσεις και δραστηριότητες με στόχο την προώθηση της διεθνούς συνεργασίας για την επιβολή της νομοθεσίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα·

δ)      την προώθηση της ανταλλαγής και της τεκμηρίωσης της νομοθεσίας και της πρακτικής για την προστασία των δεδομένων προσωπικού χαρακτήρα.

2.           Για τους σκοπούς της παραγράφου 1, η Επιτροπή λαμβάνει κατάλληλα μέτρα για να προαγάγει τη σχέση με τρίτες χώρες και διεθνούς οργανισμούς, και ιδίως τις αρχές ελέγχου τους, εφόσον η Επιτροπή αποφασίσει ότι παρέχουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 41 παράγραφος 3.

ΚΕΦΑΛΑΙΟ VI

ΑΝΕΞΑΡΤΗΤΕΣ ΑΡΧΕΣ ΕΛΕΓΧΟΥ

ΤΜΗΜΑ 1 ΑΝΕΞΑΡΤΗΤΟ ΚΑΘΕΣΤΩΣ

Άρθρο 46 Αρχή ελέγχου

1.           Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού και συμβάλλουν στη συνεκτική εφαρμογή του σε ολόκληρη την Ένωση, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και τη διευκόλυνση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για τους σκοπούς αυτούς, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή.

2.           Εάν σε ένα κράτος μέλος ιδρυθούν περισσότερες αρχές ελέγχου, το συγκεκριμένο κράτος μέλος ορίζει την αρχή ελέγχου η οποία λειτουργεί ως ενιαίο σημείο επικοινωνίας για την ουσιαστική συμμετοχή των εν λόγω αρχών στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και καθορίζει τον μηχανισμό που διασφαλίζει τη συμμόρφωση των λοιπών αρχών προς τους κανόνες που αφορούν τον μηχανισμό συνεκτικότητας ο οποίος αναφέρεται στο άρθρο 57.

3.           Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει του παρόντος κεφαλαίου, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 47 Ανεξαρτησία

1.           Η αρχή ελέγχου ασκεί τα καθήκοντα και τις εξουσίες που της ανατίθενται με πλήρη ανεξαρτησία.

2.           Κατά την άσκηση των καθηκόντων τους, τα μέλη της αρχής ελέγχου δεν ζητούν ούτε λαμβάνουν οδηγίες από οποιονδήποτε.

3.           Τα μέλη της αρχής ελέγχου απέχουν από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά τους και, κατά τη διάρκεια της θητείας τους, δεν ασκούν κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

4.           Τα μέλη της αρχής ελέγχου συμπεριφέρονται, μετά το πέρας της θητείας τους, με ακεραιότητα και διακριτικότητα όσον αφορά την αποδοχή διορισμών και παροχών.

5.           Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους, τις αναγκαίες εγκαταστάσεις και υποδομές για την ουσιαστική άσκηση των καθηκόντων και των εξουσιών της, συμπεριλαμβανομένων εκείνων που ασκούνται στο πλαίσιο της αμοιβαίας συνδρομής, της συνεργασίας και της συμμετοχής στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

6.           Κάθε κράτος μέλος διασφαλίζει ότι η αρχή ελέγχου διαθέτει δικούς της υπαλλήλους οι οποίοι διορίζονται και διοικούνται από τον προϊστάμενο της αρχής ελέγχου.

7.           Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου υπόκειται σε οικονομικό έλεγχο ο οποίος δεν επηρεάζει την ανεξαρτησία της. Τα κράτη μέλη διασφαλίζουν ότι η αρχή ελέγχου διαθέτει χωριστούς ετήσιους προϋπολογισμούς. Οι προϋπολογισμοί δημοσιοποιούνται.

Άρθρο 48 Γενικές προϋποθέσεις για τα μέλη της αρχής ελέγχου

1.           Τα κράτη μέλη προβλέπουν ότι τα μέλη της αρχής ελέγχου διορίζονται από το κοινοβούλιο ή από την κυβέρνηση του οικείου κράτους μέλους.

2.           Τα μέλη επιλέγονται μεταξύ προσώπων των οποίων η ανεξαρτησία είναι πέραν πάσης αμφιβολίας και των οποίων η πείρα και οι δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων τους, ιδίως στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, είναι αποδεδειγμένες.

3.           Τα καθήκοντα κάθε μέλους παύουν σε περίπτωση λήξης της θητείας, παραίτησης ή υποχρεωτικής συνταξιοδότησης σύμφωνα με την παράγραφο 5.

4.           Ένα μέλος μπορεί να απομακρυνθεί ή να στερηθεί το δικαίωμα στη σύνταξη ή άλλες υποκατάστατες παροχές από αρμόδιο εθνικό δικαστήριο, εάν το μέλος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του ή κριθεί ένοχο για σοβαρό παράπτωμα.

5.           Εάν η θητεία του λήξει ή το μέλος παραιτηθεί, το μέλος συνεχίζει να ασκεί τα καθήκοντά του έως ότου διορισθεί νέο μέλος.

Άρθρο 49 Κανόνες για τη σύσταση της αρχής ελέγχου

Κάθε κράτος μέλος προβλέπει διά νόμου, εντός των ορίων του παρόντος κανονισμού:

α)      τη σύσταση και το καθεστώς της αρχής ελέγχου·

β)      τα προσόντα, την πείρα και τις δεξιότητες που απαιτούνται για την άσκηση των καθηκόντων των μελών της αρχής ελέγχου·

γ)      τους κανόνες και τις διαδικασίες για τον διορισμό των μελών της αρχής ελέγχου, καθώς και τους κανόνες σχετικά με πράξεις ή επαγγέλματα που δεν συμβιβάζονται με τα καθήκοντα της θέσης·

δ)      τη διάρκεια της θητείας των μελών της αρχής ελέγχου, η οποία δεν είναι μικρότερη των τεσσάρων ετών, με εξαίρεση τον πρώτο διορισμό μετά την έναρξη ισχύος του παρόντος κανονισμού, μέρος του οποίου μπορεί να αφορά συντομότερο διάστημα εάν αυτό είναι απαραίτητο για την προστασία της ανεξαρτησίας της αρχής ελέγχου μέσω διαδικασίας τμηματικών διορισμών·

ε)      κατά πόσον τα μέρη της αρχής ελέγχου είναι επιλέξιμα για επαναδιορισμό·

στ)    τους κανονισμούς και τις κοινές προϋποθέσεις που ρυθμίζουν τα καθήκοντα των μελών και των υπαλλήλων της αρχής ελέγχου·

ζ)      τους κανόνες και τις διαδικασίες για την παύση των καθηκόντων των μελών της αρχής ελέγχου, μεταξύ άλλων στην περίπτωση που δεν πληρούν πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων τους ή εάν κριθούν ένοχοι για σοβαρό παράπτωμα.

Άρθρο 50 Επαγγελματικό απόρρητο

Τα μέλη και οι υπάλληλοι της αρχής ελέγχου δεσμεύονται, τόσο κατά τη διάρκεια όσο και μετά τη λήξη της θητείας τους, από το επαγγελματικό απόρρητο όσον αφορά τυχόν εμπιστευτικές πληροφορίες οι οποίες περιήλθαν σε γνώση τους κατά την άσκηση των επίσημων καθηκόντων τους.

ΤΜΗΜΑ 2 ΚΑΘΗΚΟΝΤΑ ΚΑΙ ΕΞΟΥΣΙΕΣ

Άρθρο 51 Αρμοδιότητα

1. Κάθε αρχή ελέγχου ασκεί, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, τις εξουσίες που της απονέμονται σύμφωνα με τον παρόντα κανονισμό.

2. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία σε μια εγκατάσταση στην Ένωση, και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκαταστημένος σε περισσότερα κράτη μέλη, η αρχή ελέγχου της κύριας εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια για τον έλεγχο των δραστηριοτήτων επεξεργασίας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε όλα τα κράτη μέλη, με την επιφύλαξη των διατάξεων του κεφαλαίου VII του παρόντος κανονισμού.

3. Η αρχή ελέγχου δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας δικαστηρίων τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους ιδιότητας.

Άρθρο 52 Καθήκοντα

1.           Η αρχή ελέγχου:

α)      παρακολουθεί και διασφαλίζει την εφαρμογή του παρόντος κανονισμού·

β)      εξετάζει τις καταγγελίες που υποβάλλονται από κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή από ένωση που εκπροσωπεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σύμφωνα με το άρθρο 73, ερευνά, στο μέτρο που ενδείκνυται, την υπόθεση και ενημερώνει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή την ένωση για την πρόοδο και για την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη αρχή ελέγχου·

γ)      ανταλλάσσει πληροφορίες με άλλες αρχές ελέγχου και παρέχει αμοιβαία συνδρομή σε άλλες αρχές ελέγχου και διασφαλίζει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού·

δ)      διενεργεί έρευνες ιδία πρωτοβουλία ή βάσει καταγγελίας ή κατόπιν αιτήματος άλλης αρχής ελέγχου και ενημερώνει το ενδιαφερόμενο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, εφόσον το πρόσωπο στο οποίο αναφέρονται τα δεδομένα υπέβαλε καταγγελία στη συγκεκριμένη αρχή ελέγχου, για την έκβαση των διερευνήσεων εντός εύλογου χρονικού διαστήματος·

ε)      παρακολουθεί τις σχετικές εξελίξεις, στον βαθμό που έχουν αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε τις εξελίξεις των τεχνολογιών πληροφοριών και επικοινωνιών και των εμπορικών πρακτικών·

στ)    παρέχει τη γνώμη της, κατόπιν αιτήματος οργάνων και φορέων των κρατών μελών, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

ζ)      εγκρίνει και συμμετέχει σε διαβουλεύσεις σχετικά με τις πράξεις επεξεργασίας που αναφέρονται στο άρθρο 34·

η)      εκδίδει γνώμη σχετικά με τα σχέδια κωδίκων δεοντολογίας δυνάμει του άρθρου 38 παράγραφος 2·

θ)      εγκρίνει δεσμευτικούς εταιρικούς κανόνες δυνάμει του άρθρου 43·

ι)       συμμετέχει στις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

2.           Κάθε αρχή ελέγχου προωθεί την ενημέρωση του κοινού σχετικά με τους κινδύνους, τους κανόνες, τις εγγυήσεις και τα δικαιώματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά.

3.           Κατόπιν αιτήματος, η αρχή ελέγχου συμβουλεύει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα κατά την άσκηση των δικαιωμάτων του που απορρέουν από τον παρόντα κανονισμό και, εφόσον συντρέχει περίπτωση, συνεργάζεται με τις αρχές ελέγχου σε άλλα κράτη μέλη για τον σκοπό αυτό.

4.           Για τις καταγγελίες που αναφέρονται στην παράγραφο 1 στοιχείο β), η αρχή ελέγχου παρέχει ένα έντυπο υποβολής καταγγελίας, το οποίο μπορεί να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείονται άλλοι τρόποι επικοινωνίας.

5.           Η αρχή ελέγχου ασκεί τα καθήκοντά της χωρίς επιβάρυνση για το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.

6.           Εάν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η αρχή ελέγχου μπορεί να επιβάλλει την καταβολή κάποιου τέλους ή να μην προβεί στην ενέργεια που ζητεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Η αρχή ελέγχου φέρει το βάρος απόδειξης του προδήλως υπερβολικού χαρακτήρα του αιτήματος.

Άρθρο 53 Εξουσίες

1.           Κάθε αρχή ελέγχου έχει την εξουσία:

α)      να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα τον επεξεργασία για εικαζόμενη παραβίαση των διατάξεων που ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, εφόσον συντρέχει περίπτωση, να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να επανορθώσει την εν λόγω παραβίαση, με συγκεκριμένο τρόπο, με σκοπό τη βελτίωση της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα·

β)      να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνονται προς τα αιτήματα του προσώπου στο οποίο αναφέρονται τα δεδομένα για την άσκηση των δικαιωμάτων που προβλέπονται στον παρόντα κανονισμό·

γ)      να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση στον εκπρόσωπο, να παράσχουν κάθε πληροφορία η οποία έχει σημασία για την εκτέλεση των καθηκόντων της·

δ)      να διασφαλίζει τη συμμόρφωση προς τις προηγούμενες εγκρίσεις και τις προηγούμενες διαβουλεύσεις που αναφέρονται στο άρθρο 34·

ε)      να προειδοποιεί ή να εφιστά την προσοχή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία·

στ)    να δίνει εντολή διόρθωσης, διαγραφής ή καταστροφής όλων των δεδομένων όταν υποβλήθηκαν σε επεξεργασία κατά παράβαση των διατάξεων του παρόντος κανονισμού, και εντολή κοινοποίησης των ενεργειών αυτών σε τρίτους των οποίων τα δεδομένα γνωστοποιήθηκαν·

ζ)      να επιβάλλει προσωρινή ή οριστική απαγόρευση της επεξεργασίας·

η)      να αναστέλλει τις ροές δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό·

θ)      να εκδίδει γνώμες για κάθε ζήτημα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα·

ι)       να ενημερώνει το εθνικό κοινοβούλιο, την κυβέρνηση ή άλλους πολιτικούς οργανισμούς, καθώς και το κοινό για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα.

2.           Κάθε αρχή ελέγχου διαθέτει εξουσία διεξαγωγής έρευνας ώστε να εξασφαλίζει από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία:

α)      πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την άσκηση των καθηκόντων της·

β)      πρόσβαση στις εγκαταστάσεις του, συμπεριλαμβανομένου του εξοπλισμού και των μέσων επεξεργασίας δεδομένων, εάν υπάρχουν εύλογες υπόνοιες ότι διεξάγεται σε αυτές δραστηριότητα κατά παράβαση του παρόντος κανονισμού.

Οι εξουσίες που αναφέρονται στο στοιχείο β) ασκούνται σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο των κρατών μελών.

3.           Κάθε αρχή ελέγχου έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και να συμμετέχει σε νομικές διαδικασίες, ιδίως δυνάμει του άρθρου 74 παράγραφος 4 και του άρθρου 75 παράγραφος 2.

4.           Κάθε αρχή ελέγχου έχει την εξουσία να επιβάλλει κυρώσεις για διοικητικά παραπτώματα, και ιδίως εκείνα που αναφέρονται στο άρθρο 79 παράγραφοι 4, 5 και 6.

Άρθρο 54 Έκθεση δραστηριοτήτων

Κάθε αρχή ελέγχου οφείλει να εκπονεί ετήσια έκθεση για τις δραστηριότητές της. Η έκθεση υποβάλλεται στο εθνικό κοινοβούλιο και καθίσταται διαθέσιμη στο κοινό, στην Επιτροπή και στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

ΚΕΦΑΛΑΙΟ VII

ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΣΥΝΕΚΤΙΚΟΤΗΤΑ

ΤΜΗΜΑ 1 ΣΥΝΕΡΓΑΣΙΑ

Άρθρο 55 Αμοιβαία συνδρομή

1.           Οι αρχές ελέγχου παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή για τη θέση σε ισχύ και την εφαρμογή του παρόντος κανονισμού με συνεκτικό τρόπο, θεσπίζουν δε μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ειδικότερα, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, όπως αιτήματα περί προηγούμενης έγκρισης και προηγούμενης διαβούλευσης, ελέγχου και άμεσης ενημέρωσης για την κίνηση υποθέσεων και τις επακόλουθες εξελίξεις εάν πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ενδέχεται να επηρεάζονται από πράξεις επεξεργασίας.

2.           Κάθε αρχή ελέγχου λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει στο αίτημα άλλης αρχής ελέγχου χωρίς καθυστέρηση και το αργότερο έναν μήνα μετά την παραλαβή του αιτήματος. Τα εν λόγω μέτρα μπορεί να περιλαμβάνουν, ειδικότερα, τη διαβίβαση σχετικών πληροφοριών σχετικά με την πορεία μιας έρευνας ή τα μέτρα επιβολής για την παύση ή την απαγόρευση πράξεων επεξεργασίας που αντίκεινται στον παρόντα κανονισμό.

3.           Το αίτημα παροχής συνδρομής περιέχει όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένων του σκοπού του αιτήματος και των λόγων υποβολής του αιτήματος. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνον σε σχέση με το θέμα για το οποίο ζητήθηκαν.

4.           Αρχή ελέγχου στην οποία υποβάλλεται αίτημα παροχής συνδρομής δεν μπορεί να αρνηθεί να συμμορφωθεί προς αυτό, παρά μόνον εάν:

α)      δεν είναι αρμόδια για τον χειρισμό του αιτήματος· ή

β)      η συμμόρφωση προς το αίτημα δεν συμβιβάζεται με τις διατάξεις του παρόντος κανονισμού.

5.           Η αρχή ελέγχου στην οποία υποβλήθηκε το αίτημα ενημερώνει την αρχή ελέγχου που υπέβαλε το αίτημα για τα αποτελέσματα ή, ανάλογα με την περίπτωση, για την πρόοδο ή για τα μέτρα που λήφθηκαν για την ικανοποίηση του αιτήματος της αρχής που υπέβαλε το αίτημα.

6.           Οι αρχές ελέγχου παρέχουν τις πληροφορίες που ζητούνται από άλλες αρχές ελέγχου με ηλεκτρονικά μέσα και εντός της συντομότερης δυνατής προθεσμίας, χρησιμοποιώντας έναν τυποποιημένο μορφότυπο.

7.           Κανένα τέλος δεν επιβάλλεται για οποιαδήποτε ενέργεια λαμβάνεται σε συνέχεια αιτήματος αμοιβαίας συνδρομής.

8.           Εάν η αρχή ελέγχου δεν ενεργήσει εντός προθεσμίας ενός μηνός στο αίτημα άλλης αρχής ελέγχου, η αρχή ελέγχου που υπέβαλε το αίτημα είναι αρμόδια να λάβει προσωρινά μέτρα στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 51 παράγραφος 1, και υποβάλλει το θέμα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 57.

9.           Η αρχή ελέγχου προσδιορίζει την περίοδο ισχύος του εν λόγω προσωρινού μέτρου, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Η αρχή ελέγχου κοινοποιεί αμελλητί τα εν λόγω μέτρα, παρέχοντας πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

10.         Η Επιτροπή μπορεί να προσδιορίσει τον μορφότυπο και τις διαδικασίες της εγκατάστασης την αμοιβαία συνδρομή που αναφέρεται στο παρόν άρθρο και τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ αρχών ελέγχου και μεταξύ αρχών ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ιδίως δε τον τυποποιημένο μορφότυπο που αναφέρεται στην παράγραφο 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

Άρθρο 56 Κοινές πράξεις αρχών ελέγχου

1. Για να εντείνουν τη συνεργασία και την αμοιβαία συνδρομή, οι αρχές ελέγχου εκτελούν κοινά καθήκοντα έρευνας, κοινά μέτρα επιβολής και άλλες κοινές πράξεις στις οποίες συμμετέχουν ορισμένα μέλη ή υπάλληλοι από αρχές ελέγχου άλλων κρατών μελών.

2. Σε περιπτώσεις στις οποίες πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ενδέχεται να επηρεάζονται από πράξεις επεξεργασίας, μια αρχή ελέγχου από καθένα από τα εν λόγω κράτη μέλη δικαιούται να συμμετέχει στα κοινά καθήκοντα έρευνας ή στις κοινές πράξεις, ανάλογα με την περίπτωση. Η αρμόδια αρχή ελέγχου καλεί τις αρχές ελέγχου των εν λόγω κρατών μελών να λάβουν μέρος στα αντίστοιχα καθήκοντα έρευνας ή στις αντίστοιχες κοινές πράξεις και απαντά αμελλητί στο αίτημα αρχής ελέγχου να συμμετάσχει στις πράξεις.

3. Κάθε αρχή ελέγχου μπορεί, ως αρχή ελέγχου υποδοχής, σε συμφωνία με το εθνικό της δίκαιο, και με την έγκριση της αρχής ελέγχου απόσπασης, να απονέμει εκτελεστικές εξουσίες, συμπεριλαμβανομένων καθηκόντων έρευνας, στα μέλη ή στους υπαλλήλους της αρχής ελέγχου απόσπασης που συμμετέχουν σε κοινές πράξεις ή, εφόσον το επιτρέπει το δίκαιο της αρχής ελέγχου υποδοχής, να επιτρέπει στα μέλη ή στους υπαλλήλους της αρχής ελέγχου απόσπασης να ασκούν τις εκτελεστικές εξουσίες τους σύμφωνα με το δίκαιο της αρχής ελέγχου απόσπασης. Οι εν λόγω εκτελεστικές εξουσίες μπορούν να ασκούνται μόνον υπό την καθοδήγηση και, κατά κανόνα, παρουσία μελών ή υπαλλήλων της αρχής ελέγχου υποδοχής. Τα μέλη ή οι υπάλληλοι της αρχής ελέγχου απόσπασης υπάγονται στο εθνικό δίκαιο της αρχής ελέγχου υποδοχής. Η αρχή ελέγχου υποδοχής αναλαμβάνει την ευθύνη για τις πράξεις τους.

4. Οι αρχές ελέγχου θεσπίζουν τις πρακτικές πτυχές συγκεκριμένων δράσεων συνεργασίας.

5. Εάν μια αρχή ελέγχου δεν συμμορφώνεται εντός προθεσμίας ενός μηνός προς την υποχρέωση που προβλέπεται στην παράγραφο 2, οι λοιπές αρχές ελέγχου είναι αρμόδιες να θεσπίσουν προσωρινό μέτρο στο έδαφος του κράτους μέλους στο οποίο υπάγεται σύμφωνα με το άρθρο 51 παράγραφος 1.

6. Η αρχή ελέγχου προσδιορίζει την περίοδο ισχύος του προσωρινού μέτρου που αναφέρεται στην παράγραφο 5, η οποία δεν μπορεί να υπερβαίνει τους τρεις μήνες. Η αρχή ελέγχου κοινοποιεί αμελλητί τα εν λόγω μέτρα, παρέχοντας πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή και υποβάλλει το θέμα στον μηχανισμό που αναφέρεται στο άρθρο 57.

ΤΜΗΜΑ 2 ΣΥΝΕΚΤΙΚΟΤΗΤΑ

Άρθρο 57 Μηχανισμός συνεκτικότητας

Για τους σκοπούς που περιγράφονται στο άρθρο 46 παράγραφος 1, οι αρχές ελέγχου συνεργάζονται μεταξύ τους και με την Επιτροπή μέσω του μηχανισμού συνεκτικότητας ο οποίος προβλέπεται στο παρόν τμήμα.

Άρθρο 58 Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1. Προτού μια αρχή ελέγχου θεσπίσει ένα μέτρο το οποίο αναφέρεται στην παράγραφο 2, η εν λόγω αρχή ελέγχου κοινοποιεί το σχέδιο μέτρου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2. Η υποχρέωση που προβλέπεται στην παράγραφο 1 εφαρμόζεται σε μέτρο το οποίο προορίζεται να έχει έννομες συνέπειες και το οποίο:

α)      σχετίζεται με δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε πρόσωπα στα οποία αναφέρονται τα δεδομένα σε περισσότερα κράτη μέλη ή με την παρακολούθηση της συμπεριφοράς τους· ή

β)      μπορεί να επηρεάζει σημαντικά την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην Ένωση· ή

γ)      αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται σε προηγούμενη διαβούλευση δυνάμει του άρθρου 34 παράγραφος 5· ή

δ)      αποσκοπεί στον καθορισμό των τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 2 στοιχείο γ)· ή

ε)      αποσκοπεί στην έγκριση των συμβατικών ρητρών που αναφέρονται στο άρθρο 42 παράγραφος 2 στοιχείο δ)· ή

στ)    αποσκοπεί στην έγκριση δεσμευτικών εταιρικών κανόνων κατά την έννοια του άρθρου 43.

3. Κάθε αρχή ελέγχου ή το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων μπορεί να ζητήσει την εξέταση οποιουδήποτε θέματος στο πλαίσιο του μηχανισμού συνεκτικότητας, ιδίως εάν μια αρχή ελέγχου δεν υποβάλλει ένα σχέδιο μέτρου το οποίο αναφέρεται στην παράγραφο 2 ή δεν συμμορφώνεται προς τις υποχρεώσεις αμοιβαίας συνδρομής σύμφωνα με το άρθρο 55 ή κοινών πράξεων σύμφωνα με το άρθρο 56.

4. Για τη διασφάλιση της ορθής και συνεκτικής εφαρμογής του παρόντος κανονισμού, η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε θέματος στο πλαίσιο του μηχανισμού συνεκτικότητας.

5. Οι αρχές ελέγχου και η Επιτροπή κοινοποιούν ηλεκτρονικά κάθε σχετική πληροφορία, συμπεριλαμβανομένης, ανάλογα με την περίπτωση, της σύνοψης των πραγματικών περιστατικών, του σχεδίου μέτρου και των λόγων για τους οποίους η εφαρμογή του εν λόγω μέτρου είναι αναγκαία, χρησιμοποιώντας τυποποιημένο μορφότυπο.

6. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει πάραυτα με ηλεκτρονικό τρόπο τα μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και την Επιτροπή για κάθε σχετική πληροφορία που του κοινοποιείται, χρησιμοποιώντας τυποποιημένο μορφότυπο. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων παρέχει μεταφράσεις των σχετικών πληροφοριών, εφόσον απαιτείται.

7. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη επί του θέματος, εφόσον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποφασίσει κάτι τέτοιο με απλή πλειοψηφία των μελών της ή εάν οποιαδήποτε αρχή ελέγχου ή η Επιτροπή ζητήσουν κάτι τέτοιο εντός μίας εβδομάδας από την παροχή των σχετικών πληροφοριών σύμφωνα με την παράγραφο 5. Η γνώμη εκδίδεται εντός προθεσμίας ενός μηνός με απλή πλειοψηφία των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει, αμελλητί, την αρχή ελέγχου που αναφέρεται, ανάλογα με την περίπτωση, στις παραγράφους 1 και 3, την Επιτροπή και την αρμόδια αρχή ελέγχου βάσει του άρθρου 51 για τη γνώμη, και τη δημοσιοποιεί.

8. Η αρχή ελέγχου που αναφέρεται στην παράγραφο 1 και η αρμόδια αρχή ελέγχου βάσει του άρθρου 51 λαμβάνουν υπόψη τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την ενημέρωσή τους σχετικά με τη γνώμη από τον πρόεδρο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ανακοινώνουν ηλεκτρονικά σε αυτόν και στην Επιτροπή κατά πόσον διατηρούν ή τροποποιούν το σχέδιο μέτρου και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο μέτρου, χρησιμοποιώντας τυποποιημένο μορφότυπο.

Άρθρο 59 Γνώμη της Επιτροπής

1.           Εντός δέκα εβδομάδων από την έγερση θέματος βάσει του άρθρου 58, ή το αργότερο εντός έξι εβδομάδων στην περίπτωση του άρθρου 61, η Επιτροπή μπορεί να εκδώσει γνώμη προκειμένου να διασφαλίζεται η ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού, σε σχέση με θέματα που εγέρθηκαν δυνάμει του άρθρου 58 ή του άρθρου 61.

2.           Εάν η Επιτροπή εκδώσει γνώμη σύμφωνα με την παράγραφο 1, η ενδιαφερόμενη αρχή ελέγχου οφείλει να λάβει στον μέγιστο βαθμό υπόψη τη γνώμη της Επιτροπής και να ενημερώσει την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων κατά πόσον προτίθεται να διατηρήσει ή να τροποποιήσει το σχέδιο μέτρου.

3.           Κατά τη διάρκεια της περιόδου που αναφέρεται στην παράγραφο 1, η αρχή ελέγχου δεν μπορεί να εγκρίνει το σχέδιο μέτρου.

4.           Εάν η ενδιαφερόμενη αρχή ελέγχου προτίθεται να μην εφαρμόσει τη γνώμη της Επιτροπής, ενημερώνει σχετικά την Επιτροπή και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εντός της προθεσμίας που αναφέρεται στην παράγραφο 1 παρέχοντας αιτιολόγηση. Στην περίπτωση αυτή, το σχέδιο μέτρου δεν εγκρίνεται για έναν ακόμη μήνα.

Άρθρο 60 Αναστολή σχεδίου μέτρου

1. Εντός προθεσμίας ενός μηνός από την κοινοποίηση που αναφέρεται στο άρθρο 59 παράγραφος 4, και εφόσον η Επιτροπή έχει σοβαρές αμφιβολίες για το κατά πόσον το σχέδιο μέτρου θα διασφαλίσει την ορθή εφαρμογή του παρόντος κανονισμού ή θα έχει, αντιθέτως, ως αποτέλεσμα τη μη συνεκτική εφαρμογή του, η Επιτροπή μπορεί να εκδώσει αιτιολογημένη απόφαση με την οποία απαιτεί από την αρχή ελέγχου να αναστείλει την έγκριση του σχεδίου μέτρου, λαμβάνοντας υπόψη τη γνώμη που εξέδωσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 58 παράγραφος 7 ή του άρθρου 61 παράγραφος 2, εάν αυτό κρίνεται απαραίτητο προκειμένου:

α)      να επιτευχθεί συμβιβασμός των αποκλινουσών θέσεων της αρχής ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εάν αυτό φαίνεται ακόμη εφικτό· ή

β)       να θεσπισθεί ένα μέτρο δυνάμει του άρθρου 62 παράγραφος 1 στοιχείο α).

2. Η Επιτροπή προσδιορίζει τη διάρκεια της αναστολής η οποία δεν υπερβαίνει τους 12 μήνες.

3. Κατά τη διάρκεια της περιόδου που αναφέρεται στην παράγραφο 2, η αρχή ελέγχου δεν μπορεί να εγκρίνει το σχέδιο μέτρου.

Άρθρο 61 Επείγουσα διαδικασία

1.           Σε εξαιρετικές περιπτώσεις, όταν μια αρχή ελέγχου θεωρεί ότι υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα, ιδίως όταν υπάρχει κίνδυνος να παρεμποδισθεί σοβαρά η άσκηση δικαιώματος των προσώπων αυτών μέσω της μεταβολής της υφιστάμενης κατάστασης, για να αποφευχθούν σημαντικά προβλήματα ή για άλλους λόγους, δύναται, κατά παρέκκλιση από τη διαδικασία που αναφέρεται στο άρθρο 58, να εγκρίνει χωρίς καθυστέρηση προσωρινά μέτρα με ορισμένη διάρκεια ισχύος. Η αρχή ελέγχου οφείλει να κοινοποιήσει τα εν λόγω μέτρα πάραυτα με πλήρη αιτιολογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στην Επιτροπή.

2.           Εάν μια αρχή ελέγχου λάβει ένα μέτρο δυνάμει της παραγράφου 1 και θεωρεί ότι πρέπει να ληφθούν επειγόντως οριστικά μέτρα, μπορεί να ζητήσει επείγουσα γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, παρέχοντας τους λόγους για το αίτημα έκδοσης γνώμης, καθώς και για την επείγουσα ανάγκη λήψης οριστικών μέτρων.

3.           Κάθε αρχή ελέγχου μπορεί να ζητήσει επείγουσα γνώμη, όταν η αρμόδια αρχή ελέγχου δεν λάβει τα κατάλληλα μέτρα σε μια κατάσταση στην οποία υπάρχει επείγουσα ανάγκη λήψης μέτρων για να προστατευθούν τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα, παρέχοντας τους λόγους για το αίτημα έκδοσης γνώμης, καθώς και για την επείγουσα ανάγκη λήψης μέτρων.

4.           Κατά παρέκκλιση από το άρθρο 58 παράγραφος 7, η επείγουσα γνώμη που αναφέρεται στις παραγράφους 2 και 3 του παρόντος άρθρου εκδίδεται εντός δύο εβδομάδων με απλή πλειοψηφία των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Άρθρο 62 Εκτελεστικές πράξεις

1. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις προκειμένου:

α)      να αποφασίζει για την ορθή εφαρμογή του παρόντος κανονισμού σύμφωνα με τους στόχους και τις απαιτήσεις του σε σχέση με θέματα που κοινοποιούνται από τις αρχές ελέγχου δυνάμει του άρθρου 58 ή του άρθρου 61, σε σχέση με θέμα για το οποίο εκδόθηκε αιτιολογημένη απόφαση δυνάμει του άρθρου 60 παράγραφος 1, ή σε σχέση με θέμα για το οποίο μια αρχή ελέγχου δεν υποβάλει σχέδιο μέτρου και η εν λόγω αρχή ελέγχου δήλωσε ότι δεν προτίθεται να εφαρμόσει τη γνώμη της Επιτροπής η οποία εγκρίθηκε δυνάμει του άρθρου 59·

β)      να αποφασίζει, εντός της προθεσμίας που αναφέρεται στο άρθρο 59 παράγραφος 1, κατά πόσον αποδίδει γενική ισχύ σε σχέδια τυποποιημένων ρητρών προστασίας δεδομένων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχείο δ)·

γ)      να προσδιορίζει τον μορφότυπο και τις διαδικασίες για την εφαρμογή του μηχανισμού συνεκτικότητας που αναφέρεται στο παρόν τμήμα·

δ)      να προσδιορίζει τις ρυθμίσεις για την ανταλλαγή πληροφοριών με ηλεκτρονικά μέσα μεταξύ αρχών ελέγχου και μεταξύ αρχών ελέγχου και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, και ιδίως τον τυποποιημένο μορφότυπο που αναφέρεται στο άρθρο 58 παράγραφοι 5, 6 και 8.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 87 παράγραφος 2.

2. Για δεόντως αιτιολογημένους επιτακτικούς και επείγοντες λόγους που σχετίζονται με τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα στις περιπτώσεις που αναφέρονται στην παράγραφο 1 στοιχείο α), η Επιτροπή εκδίδει αμέσως εφαρμοστέες εκτελεστικές πράξεις σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 87 παράγραφος 3. Οι πράξεις αυτές παραμένουν σε ισχύ για μέγιστο διάστημα 12 μηνών.

3. Η απουσία μέτρου ή η έκδοση μέτρου στο πλαίσιο του παρόντος τμήματος δεν θίγει κανένα άλλο μέτρο που μπορεί να λάβει η Επιτροπή βάσει των Συνθηκών.

Άρθρο 63 Εκτέλεση

1.           Για τους σκοπούς του παρόντος κανονισμού, εκτελεστό μέτρο της αρχής ελέγχου ενός κράτους μέλους εκτελείται σε όλα τα ενδιαφερόμενα κράτη μέλη.

2.           Εάν μια αρχή ελέγχου δεν υποβάλει σχέδιο μέτρου στον μηχανισμό συνεκτικότητας κατά παράβαση του άρθρου 58 παράγραφοι 1 έως 5, το μέτρο της αρχής ελέγχου δεν είναι νομικά ισχυρό ούτε εκτελεστό.

ΤΜΗΜΑ 3 ΕΥΡΩΠΑΪΚο συμβουλιο ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 64 Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

1.           Με τον παρόντα κανονισμό συστήνεται Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

2.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων απαρτίζεται από τον προϊστάμενο μίας αρχής ελέγχου κάθε κράτους μέλους και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

3.           Εάν σε ένα κράτος μέλος υπάρχουν περισσότερες αρχές ελέγχου επιφορτισμένες με την παρακολούθηση της εφαρμογής των διατάξεων βάσει του παρόντος κανονισμού, οι αρχές ελέγχου ορίζουν τον προϊστάμενο μίας εκ των εν λόγω αρχών ως κοινό εκπρόσωπο.

4.           Η Επιτροπή δικαιούται να συμμετέχει στις δραστηριότητες και στις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και ορίζει έναν εκπρόσωπο. Ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ενημερώνει, χωρίς καθυστέρηση, την Επιτροπή για όλες τις δραστηριότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Άρθρο 65 Ανεξαρτησία

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του δυνάμει των άρθρων 66 και 67.

2.           Με την επιφύλαξη των αιτημάτων της Επιτροπής που αναφέρονται στο άρθρο 67 παράγραφος 1 στοιχείο β) και στο άρθρο 66 παράγραφος 2, κατά την άσκηση των καθηκόντων του το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δεν ζητεί ούτε λαμβάνει οδηγίες από οποιονδήποτε.

Άρθρο 66 Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διασφαλίζει τη συνεκτική εφαρμογή του παρόντος κανονισμού. Για τον σκοπό αυτό, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, με δική του πρωτοβουλία ή κατόπιν αιτήματος της Επιτροπής, ειδικότερα:

α)      συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, συμπεριλαμβανομένης κάθε προτεινόμενης τροποποίησης του παρόντος κανονισμού·

β)      εξετάζει, με δική του πρωτοβουλία ή κατόπιν αιτήματος ενός εκ των μελών του ή κατόπιν αιτήματος της Επιτροπής, κάθε ζήτημα το οποίο αφορά την εφαρμογή του παρόντος κανονισμού και εκδίδει κατευθυντήρες γραμμές, συστάσεις και βέλτιστες πρακτικές οι οποίες απευθύνονται στις αρχές ελέγχου, με σκοπό να παροτρύνει τη συνεκτική εφαρμογή του παρόντος κανονισμού·

γ)      εξετάζει την πρακτική εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο στοιχείο β) και υποβάλλει τακτικά έκθεση στην Επιτροπή επ’ αυτών·

δ)      εκδίδει γνώμες για σχέδια αποφάσεων των αρχών ελέγχου δυνάμει του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 57·

ε)      προωθεί τη συνεργασία και την αποτελεσματική διμερή και πολυμερή ανταλλαγή πληροφοριών και πρακτικών μεταξύ των αρχών ελέγχου·

στ)    προωθεί κοινά προγράμματα κατάρτισης και διευκολύνει τις ανταλλαγές υπαλλήλων μεταξύ αρχών ελέγχου και, κατά περίπτωση, με τις αρχές ελέγχου τρίτων χωρών ή διεθνών οργανισμών·

ζ)      προωθεί την ανταλλαγή γνώσεων και τεκμηρίωσης σχετικά με τη νομοθεσία και την πρακτική στον τομέα της προστασίας των δεδομένων με τις αρχές ελέγχου της προστασίας των δεδομένων ανά τον κόσμο.

2.           Όταν η Επιτροπή ζητεί τη συμβουλή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, μπορεί να τάσσει προθεσμία εντός της οποίας το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πρέπει να παράσχει την εν λόγω συμβουλή, λαμβάνοντας υπόψη τον επείγοντα χαρακτήρα του θέματος.

3.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαβιβάζει τις γνώμες, τις κατευθυντήρες γραμμές, τις συστάσεις και τις βέλτιστες πρακτικές που εκδίδει στην Επιτροπή και στην επιτροπή που αναφέρεται στο άρθρο 87, και τις δημοσιοποιεί.

4.           Η Επιτροπή ενημερώνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων για τα μέτρα που λαμβάνει σε συνέχεια των γνωμών, των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 67 Εκθέσεις

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενημερώνει τακτικά και εγκαίρως την Επιτροπή για την έκβαση των δραστηριοτήτων της. Εκπονεί ετήσια έκθεση για την κατάσταση όσον αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ένωση και σε τρίτες χώρες.

Η έκθεση περιλαμβάνει εξέταση της πρακτικής εφαρμογής των κατευθυντήριων γραμμών, των συστάσεων και των βέλτιστων πρακτικών που αναφέρονται στο άρθρο 66 παράγραφος 1 στοιχείο γ).

2.           Η έκθεση δημοσιοποιείται και διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο και στην Επιτροπή.

Άρθρο 68 Διαδικασία

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων αποφασίζει με απλή πλειοψηφία των μελών του.

2.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εγκρίνει τον εσωτερικό κανονισμό του και οργανώνει τις λειτουργικές ρυθμίσεις του. Ειδικότερα, προβλέπει τη συνέχιση της άσκησης των καθηκόντων όταν η θητεία ενός μέλους λήγει ή ένα μέλος παραιτείται, τη σύσταση υποομάδων για συγκεκριμένα ζητήματα ή τομείς, και τις διαδικασίες του σε σχέση με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

Άρθρο 69 Πρόεδρος

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκλέγει έναν πρόεδρο και δύο αναπληρωτές προέδρους μεταξύ των μελών του. Ένας αναπληρωτής πρόεδρος είναι ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, εκτός εάν έχει εκλεγεί πρόεδρος.

2.           Η διάρκεια της θητείας του προέδρου και των αναπληρωτών προέδρων είναι πέντε έτη και είναι ανανεώσιμη.

Άρθρο 70 Καθήκοντα του προέδρου

1.           Τα καθήκοντα του προέδρου είναι τα ακόλουθα:

α)      να συγκαλεί τις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και να καταρτίζει την ημερήσια διάταξή τους·

β)      να διασφαλίζει την έγκαιρη άσκηση των καθηκόντων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, ιδίως σε σχέση με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 57.

2.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καθορίζει τον καταμερισμό των καθηκόντων μεταξύ του προέδρου και των αναπληρωτών προέδρων στον εσωτερικό κανονισμό της.

Άρθρο 71 Γραμματεία

1.           Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διαθέτει γραμματεία. Τη γραμματεία παρέχει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

2.           Η γραμματεία παρέχει αναλυτική, διοικητική και υλικοτεχνική στήριξη στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων υπό τη διεύθυνση του προέδρου.

3.           Η γραμματεία είναι ειδικότερα υπεύθυνη για τα ακόλουθα:

α)      τις καθημερινές εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων·

β)      την επικοινωνία μεταξύ των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, του προέδρου του και της Επιτροπής, καθώς και την επικοινωνία με άλλα όργανα και με το κοινό·

γ)      τη χρήση ηλεκτρονικών μέσων για την εσωτερική και την εξωτερική επικοινωνία·

δ)      τη μετάφραση σχετικών πληροφοριών·

ε)      την προετοιμασία και τη συνέχεια που δίνεται στις συνεδριάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων·

στ)    την προετοιμασία, την κατάρτιση και τη δημοσίευση γνωμών και άλλων κειμένων που εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Άρθρο 72 Εμπιστευτικότητα

1. Οι εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων είναι εμπιστευτικές.

2. Τα έγγραφα που υποβάλλονται σε μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εμπειρογνώμονες και εκπροσώπους τρίτων είναι εμπιστευτικά, εκτός εάν παρασχεθεί πρόσβαση στα εν λόγω έγγραφα σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 1049/2001 ή εάν το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τα δημοσιοποιήσει άλλως πως.

3. Τα μέλη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, καθώς και οι εμπειρογνώμονες και οι εκπρόσωποι τρίτων, υποχρεούνται να σέβονται τις υποχρεώσεις εμπιστευτικότητας που προβλέπονται στο παρόν άρθρο. Ο πρόεδρος διασφαλίζει ότι οι εμπειρογνώμονες και οι εκπρόσωποι τρίτων ενημερώνονται για τις απαιτήσεις εμπιστευτικότητας που τους επιβάλλονται.

ΚΕΦΑΛΑΙΟ VIII

ΠΡΟΣΦΥΓΕΣ, ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 73 Δικαίωμα υποβολής καταγγελίας σε αρχή ελέγχου

1.           Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου σε οποιοδήποτε κράτος μέλος, εάν θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό.

2.           Κάθε φορέας, οργανισμός ή οργάνωση που στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα όσον αφορά την προστασία των δεδομένων τους προσωπικού χαρακτήρα και έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους για λογαριασμό ενός ή περισσότερων εκ των εν λόγω προσώπων, εφόσον θεωρεί ότι τα δικαιώματά του/τους τα οποία απορρέουν από τον παρόντα κανονισμό παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

3.           Ανεξάρτητα από την καταγγελία του ενδιαφερομένου προσώπου, κάθε φορέας, οργανισμός ή οργάνωση που αναφέρεται στην παράγραφο 2 δικαιούται να υποβάλει καταγγελία σε αρχή ελέγχου οποιουδήποτε κράτους μέλους, εάν θεωρεί ότι υπήρξε παραβίαση δεδομένων προσωπικού χαρακτήρα.

Άρθρο 74 Δικαίωμα δικαστικής προσφυγής κατά αρχής ελέγχου

1.           Κάθε φυσικό ή νομικό πρόσωπο έχει δικαίωμα δικαστικής προσφυγής κατά αποφάσεων αρχής ελέγχου που το αφορούν.

2.           Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δικαίωμα δικαστικής προσφυγής, υποχρεώνοντας την αρχή ελέγχου να ενεργήσει επί καταγγελίας, απουσία απόφασης απαραίτητης για την προστασία των δικαιωμάτων του ή εάν η αρχή ελέγχου δεν το ενημερώσει εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας δυνάμει του άρθρου 52 παράγραφος 1 στοιχείο β).

3.           Η διαδικασία κατά αρχής ελέγχου κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκαταστημένη η αρχή ελέγχου.

4.           Το πρόσωπο στο οποίο αναφέροντα τα δεδομένα, το οποίο επηρεάζεται από απόφαση αρχής ελέγχου κράτους μέλους διαφορετικού από εκείνο στο οποίο έχει τη συνήθη διαμονή του, μπορεί να ζητήσει από την αρχή ελέγχου του κράτους μέλους στο οποίο έχει τη συνήθη διαμονή του να κινήσει διαδικασία για λογαριασμό του κατά της αρμόδιας αρχής ελέγχου του άλλου κράτους μέλους.

5.           Τα κράτη μέλη εκτελούν τις οριστικές αποφάσεις των δικαστηρίων οι οποίες αναφέρονται στο παρόν άρθρο.

Άρθρο 75 Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

1.           Με την επιφύλαξη οποιασδήποτε διαθέσιμης διοικητικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε αρχή ελέγχου που αναφέρεται στο άρθρο 73, κάθε φυσικό πρόσωπο έχει δικαίωμα δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάσθηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν κατά παράβαση του παρόντος κανονισμού.

2.           Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.

3.           Εάν εκκρεμεί διαδικασία στο πλαίσιο του μηχανισμού συνεκτικότητας που αναφέρεται στο άρθρο 58, η οποία αφορά το ίδιο μέτρο, την ίδια απόφαση ή την ίδια πρακτική, το δικαστήριο μπορεί να αναστείλει τη διαδικασία που κινήθηκε ενώπιόν του, εκτός εάν ο επείγων χαρακτήρας της υπόθεσης για την προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν επιτρέπει την αναμονή της έκβασης της διαδικασίας στο πλαίσιο του μηχανισμού συνεκτικότητας.

4.           Τα κράτη μέλη εκτελούν τις οριστικές αποφάσεις των δικαστηρίων οι οποίες αναφέρονται στο παρόν άρθρο.

Άρθρο 76 Κοινοί κανόνες για τις δικαστικές διαδικασίες

1.           Κάθε φορέας, οργανισμός ή οργάνωση που αναφέρεται στο άρθρο 73 παράγραφος 2 έχει δικαίωμα να ασκεί τα δικαιώματα που αναφέρονται στα άρθρα 74 και 75 για λογαριασμό ενός ή περισσότερων προσώπων στα οποία αναφέρονται τα δεδομένα.

2.           Κάθε αρχή ελέγχου έχει δικαίωμα να παρίσταται και να ασκεί αγωγή ενώπιον δικαστηρίου, προκειμένου να επιβάλει την τήρηση των διατάξεων του παρόντος κανονισμού ή να διασφαλίσει τη συνεκτικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

3.           Εάν αρμόδιο δικαστήριο σε ένα κράτος μέλος έχει βάσιμους λόγους να πιστεύει ότι διεξάγεται παράλληλη διαδικασία σε άλλο κράτος μέλος, επικοινωνεί με το αρμόδιο δικαστήριο του άλλου κράτους μέλους για να επιβεβαιώσει την ύπαρξη μιας τέτοιας παράλληλης διαδικασίας.

4.           Εάν η εν λόγω παράλληλη διαδικασία σε άλλο κράτος μέλος αφορά το ίδιο μέτρο, την ίδια απόφαση ή την ίδια πρακτική, το δικαστήριο μπορεί να αναστείλει τη διαδικασία.

5.           Τα κράτη μέλη διασφαλίζουν ότι οι προσφυγές ενώπιον δικαστηρίων, οι οποίες είναι διαθέσιμες βάσει του εθνικού δικαίου, επιτρέπουν την ταχεία λήψη μέτρων, συμπεριλαμβανομένων των προσωρινών, με σκοπό την παύση κάθε εικαζόμενης παραβίασης και την αποφυγή περαιτέρω βλάβης των σχετικών συμφερόντων.

Άρθρο 77 Δικαίωμα αποζημίωσης και ευθύνη

1.           Κάθε πρόσωπο το οποίο υπέστη ζημία ως αποτέλεσμα παράνομης πράξης επεξεργασίας ή πράξης ασυμβίβαστης προς τον παρόντα κανονισμό δικαιούται αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.           Εάν στην επεξεργασία εμπλέκονται περισσότεροι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται αλληλεγγύως και εις ολόκληρον για το συνολικό ποσό της ζημίας.

3.           Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορούν να απαλλαγούν από την ευθύνη αυτή, εν όλω ή εν μέρει, εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξουν ότι δεν ευθύνονται για το γενεσιουργό γεγονός της ζημίας.

Άρθρο 78 Ποινικές κυρώσεις

1.           Τα κράτη μέλη θεσπίζουν τους κανόνες για τις ποινικές κυρώσεις που εφαρμόζονται στις παραβάσεις των διατάξεων του παρόντος κανονισμού και λαμβάνουν κάθε απαραίτητο μέτρο προκειμένου να διασφαλίζεται η εφαρμογή τους, μεταξύ άλλων σε περίπτωση που ο υπεύθυνος επεξεργασίας δεν συμμορφώθηκε προς την υποχρέωσή του να ορίσει εκπρόσωπο. Οι προβλεπόμενες ποινικές κυρώσεις πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

2.           Εάν ο υπεύθυνος επεξεργασίας έχει ορίσει εκπρόσωπο, οι ενδεχόμενες ποινικές κυρώσεις εφαρμόζονται στον εκπρόσωπο, με την επιφύλαξη τυχόν κυρώσεων οι οποίες μπορεί να επιβληθούν κατά του υπευθύνου επεξεργασίας.

3.           Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 79 Διοικητικές κυρώσεις

1. Κάθε αρχή ελέγχου εξουσιοδοτείται να επιβάλει διοικητικές κυρώσεις σύμφωνα με το παρόν άρθρο.

2. Η διοικητική κύρωση είναι σε κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. Το ύψος του διοικητικού προστίμου καθορίζεται λαμβάνοντας δεόντως υπόψη τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, τον δόλο ή την αμέλεια που προκάλεσε την παράβαση, τον βαθμό ευθύνης του φυσικού ή νομικού προσώπου και τις προηγούμενες παραβάσεις του εν λόγω προσώπου, τα τεχνικά και οργανωτικά μέτρα και τις διαδικασίες που εφαρμόζονται δυνάμει του άρθρου 23 και τον βαθμό συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παραβίασης.

3. Σε περίπτωση πρώτης και άνευ δόλου παράβασης του παρόντος κανονισμού, μπορεί να παρασχεθεί έγγραφη προειδοποίηση και να μην επιβληθεί καμία κύρωση, εάν:

α)      ένα φυσικό πρόσωπο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς εμπορικό συμφέρον· ή

β)      μια επιχείρηση ή ένας οργανισμός που απασχολεί λιγότερα από 250 άτομα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνον ως δραστηριότητα παρεπόμενη στις κύριες δραστηριότητές της.

4. Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 250 000 ευρώ, ή σε περίπτωση επιχείρησης, έως 0,5 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή από αμέλεια:

α)      δεν προβλέπει τους μηχανισμούς για την υποβολή αιτημάτων από τα πρόσωπα στα οποία αναφέρονται τα δεδομένα ή δεν απαντά αμέσως ή δεν απαντά σύμφωνα με τον απαιτούμενο μορφότυπο στα πρόσωπα στα οποία αναφέρονται τα δεδομένα δυνάμει του άρθρου 12 παράγραφοι 1 και 2·

β)      επιβάλλει τέλος για την παροχή ενημέρωσης ή απαντήσεων στα αιτήματα των προσώπων στα οποία αναφέρονται τα δεδομένα κατά παράβαση του άρθρου 12 παράγραφος 4.

5. Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 500 000 ευρώ, ή σε περίπτωση επιχείρησης, έως 1 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή αμέλεια:

α)      δεν παρέχει ενημέρωση ή παρέχει ελλιπή ενημέρωση ή δεν παρέχει ενημέρωση με επαρκώς διαφανή τρόπο στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα δυνάμει του άρθρου 11, του άρθρου 12 παράγραφος 3 και του άρθρου 14·

β)      δεν παρέχει πρόσβαση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή δεν διορθώνει δεδομένα προσωπικού χαρακτήρα δυνάμει των άρθρων 15 και 16 ή δεν κοινοποιεί τις σχετικές πληροφορίες στον αποδέκτη δυνάμει του άρθρου 13·

γ)      δεν συμμορφώνεται προς το δικαίωμα των προσώπων στα οποία αναφέρονται τα δεδομένα να λησμονηθούν ή το δικαίωμα διαγραφής ή δεν θεσπίζει μηχανισμούς ώστε να διασφαλίζεται η τήρηση προθεσμιών ή δεν λαμβάνει όλα τα απαραίτητα μέτρα για να ενημερώσει τρίτους ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ζητεί να διαγραφεί κάθε σύνδεσμος, ή αντίγραφο ή αναπαραγωγή των δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 17·

δ)      δεν παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονικό μορφότυπο ή εμποδίζει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μεταφέρει τα δεδομένα προσωπικού χαρακτήρα σε άλλη εφαρμογή κατά παράβαση του άρθρου 18·

ε)      δεν καθορίζει ή δεν καθορίζει επαρκώς τις αντίστοιχες αρμοδιότητες με τους από κοινού υπευθύνους επεξεργασίας δυνάμει του άρθρου 24·

στ)    δεν τηρεί ή δεν τηρεί επαρκώς την τεκμηρίωση δυνάμει του άρθρου 28, του άρθρου 31 παράγραφος 4 και του άρθρου 44 παράγραφος 3·

ζ)      δεν συμμορφώνεται, στις περιπτώσεις στις οποίες δεν πρόκειται για ειδικές κατηγορίες δεδομένων, δυνάμει των άρθρων 80, 82 και 83 προς τους κανόνες που αφορούν την ελευθερία της έκφρασης ή προς τους κανόνες σχετικά με την επεξεργασία στο πλαίσιο της απασχόλησης ή προς τις προϋποθέσεις σχετικά με την επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και σκοπούς επιστημονικής έρευνας.

6. Η αρχή ελέγχου επιβάλλει πρόστιμο ύψους έως 1 000 000 ευρώ ή σε περίπτωση επιχείρησης, έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της, σε οποιονδήποτε που από δόλο ή αμέλεια:

α)      επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς ή με ανεπαρκή νομική βάση για την επεξεργασία ή δεν συμμορφώνεται προς τις προϋποθέσεις της συγκατάθεσης δυνάμει των άρθρων 6, 7 και 8·

β)      επεξεργάζεται ειδικές κατηγορίες δεδομένων κατά παράβαση των άρθρων 9 και 81·

γ)      δεν σέβεται το δικαίωμα αντίταξης ή τις απαιτήσεις που προβλέπονται στο άρθρο 19 ·

δ)      δεν συμμορφώνεται προς τις προϋποθέσεις που αφορούν τα μέτρα που βασίζονται σε κατάρτιση προφίλ δυνάμει του άρθρου 20·

ε)      δεν θεσπίζει εσωτερικές πολιτικές ή δεν εφαρμόζει κατάλληλα μέτρα για τη διασφάλιση και την απόδειξη συμμόρφωσης δυνάμει των άρθρων 22, 23 και 30·

στ)    δεν ορίζει εκπρόσωπο δυνάμει του άρθρου 25·

ζ)      επεξεργάζεται ή δίνει εντολή για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά παράβαση των υποχρεώσεων που αφορούν την επεξεργασία για λογαριασμό υπευθύνου επεξεργασίας δυνάμει των άρθρων 26 και 27·

η)      δεν ειδοποιεί ούτε ενημερώνει για παραβίαση δεδομένων προσωπικού χαρακτήρα ή δεν ενημερώνει εμπρόθεσμα ή πλήρως για παραβίαση δεδομένων την αρχή ελέγχου ή το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δυνάμει των άρθρων 31 και 32·

θ)      δεν διενεργεί εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα χωρίς προηγούμενη έγκριση της αρχής ελέγχου ή προηγούμενη διαβούλευση με την αρχή ελέγχου δυνάμει των άρθρων 33 και 34·

ι)       δεν ορίζει υπεύθυνο προστασίας δεδομένων ούτε διασφαλίζει τις προϋποθέσεις για την άσκηση των καθηκόντων δυνάμει των άρθρων 35, 36 και 37·

ια)     κάνει κατάχρηση σφραγίδας ή σήματος προστασίας δεδομένων κατά την έννοια του άρθρου 39·

ιβ)     διενεργεί ή δίνει εντολή για τη διενέργεια διαβίβασης δεδομένων σε τρίτη χώρα ή σε διεθνή οργανισμό, η οποία δεν επιτρέπεται βάσει απόφασης περί επάρκειας ή με κατάλληλες εγγυήσεις ή μέσω παρέκκλισης δυνάμει των άρθρων 40 έως 44·

ιγ)     δεν συμμορφώνεται προς εντολή ή προς προσωρινή ή οριστική απαγόρευση της επεξεργασίας ή προς αναστολή της ροής δεδομένων που επιβάλλει η αρχή ελέγχου δυνάμει του άρθρου 53 παράγραφος 1·

ιδ)     δεν συμμορφώνεται προς τις υποχρεώσεις παροχής συνδρομής ή απάντησης ή παροχής σχετικών πληροφοριών ή πρόσβασης σε εγκαταστάσεις στην αρχή ελέγχου δυνάμει του άρθρου 28 παράγραφος 3, του άρθρου 29, του άρθρου 34 παράγραφος 6 και του άρθρου 53 παράγραφος 2·

ιε)     δεν συμμορφώνεται προς τους κανόνες για την προστασία του επαγγελματικού απορρήτου δυνάμει του άρθρου 84.

7. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για την επικαιροποίηση των ποσών των διοικητικών προστίμων που αναφέρονται στις παραγράφους 4, 5 και 6, λαμβάνοντας υπόψη τα κριτήρια που αναφέρονται στην παράγραφο 2.

ΚΕΦΑΛΑΙΟ IX

ΔΙΑΤΑΞΕΙΣ ΠΟΥ ΑΦΟΡΟΥΝ ΕΙΔΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 80 Επεξεργασία δεδομένων προσωπικού χαρακτήρα και ελευθερία έκφρασης

1.           Τα κράτη μέλη προβλέπουν, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται αποκλειστικά για δημοσιογραφικούς σκοπούς ή για σκοπούς καλλιτεχνικής ή λογοτεχνικής έκφρασης, εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις σχετικά με τις γενικές αρχές που περιέχονται στο κεφάλαιο II, με τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα που περιέχονται στο κεφάλαιο III, με τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία που περιέχονται στο κεφάλαιο IV, με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς που περιέχονται στο κεφάλαιο V, με τις ανεξάρτητες αρχές ελέγχου που περιέχονται στο κεφάλαιο VI και με τη συνεργασία και τη συνεκτικότητα που περιέχονται στο κεφάλαιο VII, για να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τους κανόνες που διέπουν την ελευθερία έκφρασης.

2.           Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

Άρθρο 81 Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία

1.           Εντός των ορίων του παρόντος κανονισμού και σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχείο η), η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να βασίζεται στο δίκαιο της Ένωσης ή σε δίκαιο κράτους μέλους το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των έννομων συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα και να είναι απαραίτητη για:

α)      σκοπούς προληπτικής ή επαγγελματικής ιατρικής, ιατρικής διάγνωσης, παροχής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών υπηρεσιών και εφόσον τα εν λόγω δεδομένα υποβάλλονται σε επεξεργασία από επαγγελματία του τομέα της υγείας, με την επιφύλαξη της υποχρέωσης τήρησης επαγγελματικού απορρήτου, ή άλλο πρόσωπο το οποίο υπέχει επίσης αντίστοιχη υποχρέωση εμπιστευτικότητας βάσει του δικαίου κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς· ή

β)      λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία κατά σοβαρών διασυνοριακών απειλών της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας, μεταξύ άλλων, για φαρμακευτικά προϊόντα ή ιατρικές συσκευές· ή

γ)      άλλους λόγους δημόσιου συμφέροντος σε τομείς όπως η κοινωνική προστασία, ιδίως με σκοπό να διασφαλίζεται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό απαιτήσεων σχετικά με παροχές και υπηρεσίες στο σύστημα ασφάλισης υγείας.

2.           Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία η οποία είναι απαραίτητη για ιστορικούς και στατιστικούς σκοπούς ή για σκοπούς επιστημονικής έρευνας, όπως τα μητρώα ασθενών που συστήνονται για τη βελτίωση των διαγνώσεων και τη διαφοροποίηση μεταξύ παρόμοιων τύπων ασθενειών και την εκπόνηση μελετών για θεραπείες, υπόκειται στις προϋποθέσεις και στις εγγυήσεις που αναφέρονται στο άρθρο 83.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό άλλων λόγων δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας όπως αναφέρεται στην παράγραφο 1 στοιχείο β) καθώς και των κριτηρίων και των απαιτήσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στην παράγραφο 1.

Άρθρο 82 Επεξεργασία στο πλαίσιο της απασχόλησης

1.           Εντός των ορίων του παρόντος κανονισμού, τα κράτη μέλη μπορούν να θεσπίζουν διά νόμου ειδικούς κανόνες που ρυθμίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης της εργασίας, υγείας και ασφάλειας στην εργασία, και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση, και για σκοπούς καταγγελίας της σχέσης απασχόλησης.

2.           Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

3.           Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με τις εγγυήσεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στην παράγραφο 1.

Άρθρο 83 Επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας

1. Εντός των ορίων του παρόντος κανονισμού, δεδομένα προσωπικού χαρακτήρα μπορούν να υποβληθούν σε επεξεργασία για ιστορικούς και στατιστικούς σκοπούς και για σκοπούς επιστημονικής έρευνας μόνον εάν:

α)      οι σκοποί αυτοί δεν μπορούν να εκπληρωθούν άλλως πως μέσω της επεξεργασίας δεδομένων τα οποία δεν επιτρέπουν ή δεν επιτρέπουν πλέον την ταυτοποίηση του προσώπου στα οποία αναφέρονται·

β)      τα δεδομένα που επιτρέπουν την απόδοση πληροφοριών σε πρόσωπο στο οποίο αναφέρονται, κατονομαζόμενο ή του οποίου η ταυτότητα μπορεί να εξακριβωθεί, τηρούνται χωριστά από τις λοιπές πληροφορίες εφόσον οι σκοποί αυτοί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο.

2. Φορείς οι οποίοι διεξάγουν ιστορική, στατιστική ή επιστημονική έρευνα μπορούν να δημοσιεύουν ή να δημοσιοποιούν άλλως πως δεδομένα προσωπικού χαρακτήρα μόνον εάν:

α)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέσχε τη συγκατάθεσή του, σύμφωνα με τις προϋποθέσεις που προβλέπονται στο άρθρο 7·

β)      η δημοσίευση δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για την παρουσίαση πορισμάτων έρευνας ή για τη διευκόλυνση έρευνας στον βαθμό που τα συμφέροντα ή τα θεμελιώδη δικαιώματα ή οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν υπερισχύουν των εν λόγω συμφερόντων·

γ)      το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δημοσιοποίησε τα δεδομένα.

3. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 86 για τον περαιτέρω προσδιορισμό των κριτηρίων και των απαιτήσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς που αναφέρονται στις παραγράφους 1 και 2, καθώς και τυχόν απαραίτητων περιορισμών στα δικαιώματα ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και πρόσβασης από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, αναφέροντας λεπτομερώς τις προϋποθέσεις και τις εγγυήσεις για τα δικαιώματα του εν λόγω προσώπου υπό τις συνθήκες αυτές.

Άρθρο 84 Υποχρεώσεις τήρησης απορρήτου

1. Εντός των ορίων του παρόντος κανονισμού, τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών έρευνας των αρχών ελέγχου, οι οποίες προβλέπονται στο άρθρο 53 παράγραφος 2, σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του εθνικού δικαίου ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό για τον συμβιβασμό του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνον σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν από ή εξασφάλισαν στο πλαίσιο δραστηριότητας η οποία καλύπτεται από την εν λόγω υποχρέωση απορρήτου.

2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, το αργότερο έως την ημερομηνία που καθορίζεται στο άρθρο 91 παράγραφος 2 και, χωρίς καθυστέρηση, κάθε επακόλουθη τροποποίησή τους.

Άρθρο 85 Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

1.           Εάν σε ένα κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, πλήρες σύνολο κανόνων οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονισθούν με τις διατάξεις του παρόντος κανονισμού.

2.           Οι εκκλησίες και οι θρησκευτικές ενώσεις οι οποίες εφαρμόζουν πλήρες σύνολο κανόνων σύμφωνα με την παράγραφο 1 προβλέπουν την ίδρυση ανεξάρτητης αρχής ελέγχου σύμφωνα με το κεφάλαιο VI του παρόντος κανονισμού.

ΚΕΦΑΛΑΙΟ X

ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΕΙΣ ΚΑΙ ΕΚΤΕΛΕΣΤΙΚΕΣ ΠΡΑΞΕΙΣ

Άρθρο 86 Άσκηση της εξουσιοδότησης

1.           Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τις προϋποθέσεις που ορίζονται στο παρόν άρθρο.

2.           Η εξουσιοδότηση που αναφέρεται στο άρθρο 6 παράγραφος 5, στο άρθρο 8 παράγραφος 3, στο άρθρο 9 παράγραφος 3, στο άρθρο 12 παράγραφος 5, στο άρθρο 14 παράγραφος 7, στο άρθρο 15 παράγραφος 3, στο άρθρο 17 παράγραφος 9, στο άρθρο 20 παράγραφος 6, στο άρθρο 22 παράγραφος 4, στο άρθρο 23 παράγραφος 3, στο άρθρο 26 παράγραφος 5, στο άρθρο 28 παράγραφος 5, στο άρθρο στο άρθρο 30 παράγραφος 3, στο άρθρο 31 παράγραφος 5, στο άρθρο 32 παράγραφος 5, στο άρθρο 33 παράγραφος 6, στο άρθρο 34 παράγραφος 8, στο άρθρο 35 παράγραφος 11, στο άρθρο 37 παράγραφος 2, στο άρθρο 39 παράγραφος 2, στο άρθρο 43 παράγραφος 3, στο άρθρο 44 παράγραφος 7, στο άρθρο 79 παράγραφος 6, στο άρθρο 81 παράγραφος 3, στο άρθρο 82 παράγραφος 3 και στο άρθρο 83 παράγραφος 3 ανατίθεται στην Επιτροπή για αόριστη χρονική περίοδο από την ημερομηνία έναρξης ισχύος του παρόντος κανονισμού.

3.           Η εξουσιοδότηση που αναφέρεται στο άρθρο 6 παράγραφος 5, στο άρθρο 8 παράγραφος 3, στο άρθρο 9 παράγραφος 3, στο άρθρο 12 παράγραφος 5, στο άρθρο 14 παράγραφος 7, στο άρθρο 15 παράγραφος 3, στο άρθρο 17 παράγραφος 9, στο άρθρο 20 παράγραφος 6, στο άρθρο 22 παράγραφος 4, στο άρθρο 23 παράγραφος 3, στο άρθρο 26 παράγραφος 5, στο άρθρο 28 παράγραφος 5, στο άρθρο 30 παράγραφος 3, στο άρθρο 31 παράγραφος 5, στο άρθρο 32 παράγραφος 5, στο άρθρο 33 παράγραφος 6, στο άρθρο 34 παράγραφος 8, στο άρθρο 35 παράγραφος 11, στο άρθρο 37 παράγραφος 2, στο άρθρο 39 παράγραφος 2, στο άρθρο 43 παράγραφος 3, στο άρθρο 44 παράγραφος 7, στο άρθρο 79 παράγραφος 6, στο άρθρο 81 παράγραφος 3, στο άρθρο 82 παράγραφος 3 και στο άρθρο 83 παράγραφος 3 μπορεί να ανακληθεί οποτεδήποτε από το Ευρωπαϊκό Κοινοβούλιο ή από το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Αρχίζει να ισχύει την επόμενη ημέρα από τη δημοσίευση της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν θίγει το κύρος των ήδη εν ισχύι κατ’ εξουσιοδότηση πράξεων.

4.           Μόλις εκδώσει κατ’ εξουσιοδότηση πράξη, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5.           Κάθε κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 6 παράγραφος 5, του άρθρου 8 παράγραφος 3, του άρθρου 9 παράγραφος 3, του άρθρου 12 παράγραφος 5, του άρθρου 14 παράγραφος 7, του άρθρου 15 παράγραφος 3, του άρθρου 17 παράγραφος 9, του άρθρου 20 παράγραφος 6, του άρθρου 22 παράγραφος 4, του άρθρου 23 παράγραφος 3, του άρθρου 26 παράγραφος 5, του άρθρου 28 παράγραφος 5, του άρθρου 30 παράγραφος 3, του άρθρου 31 παράγραφος 5, του άρθρου 32 παράγραφος 5, του άρθρου 33 παράγραφος 6, του άρθρου 34 παράγραφος 8, του άρθρου 35 παράγραφος 11, του άρθρου 37 παράγραφος 2, του άρθρου 39 παράγραφος 2, του άρθρου 43 παράγραφος 3, του άρθρου 44 παράγραφος 7, του άρθρου 79 παράγραφος 6, του άρθρου 81 παράγραφος 3, του άρθρου 82 παράγραφος 3 και του άρθρου 83 παράγραφος 3 τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο εντός δύο μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ή εάν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο μήνες κατόπιν πρωτοβουλίας του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Άρθρο 87 Διαδικασία επιτροπής

1.           Η Επιτροπή επικουρείται από επιτροπή. Η εν λόγω επιτροπή είναι επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.

2.           Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.

3.           Οσάκις γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 8 του κανονισμού (ΕΕ) αριθ. 182/2011, σε συνδυασμό με το άρθρο 5.

ΚΕΦΑΛΑΙΟ XI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 88 Κατάργηση της οδηγίας 95/46/ΕΚ

1.           Η οδηγία 95/46/ΕΚ καταργείται.

2.           Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που συστάθηκε με το άρθρο 29 της οδηγίας 95/46/ΕΚ θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.

Άρθρο 89 Σχέση με την οδηγία 2002/58/ΕΚ και τροποποίησή της

1.           Ο παρών κανονισμός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ.

2.           Το άρθρο 1 παράγραφος 2 της οδηγίας 2002/58/ΕΚ διαγράφεται.

Άρθρο 90 Αξιολόγηση

Η Επιτροπή υποβάλλει εκθέσεις σχετικά με την αξιολόγηση και την αναθεώρηση του παρόντος κανονισμού στο Ευρωπαϊκό Κοινοβούλιο και στην Επιτροπή ανά τακτά χρονικά διαστήματα. Η πρώτη έκθεση υποβάλλεται το αργότερο τέσσερα έτη μετά την έναρξη ισχύος του παρόντος κανονισμού. Οι επακόλουθες εκθέσεις υποβάλλονται στη συνέχεια κάθε τέσσερα έτη. Η Επιτροπή υποβάλλει, εφόσον απαιτείται, κατάλληλες προτάσεις με σκοπό την τροποποίηση του παρόντος κανονισμού και την εναρμόνιση άλλων νομικών πράξεων, ιδίως λαμβάνοντας υπόψη τις εξελίξεις στην τεχνολογία των πληροφοριών και υπό το πρίσμα της προόδου στην κοινωνία της πληροφορίας. Οι εκθέσεις δημοσιοποιούνται.

Άρθρο 91 Έναρξη ισχύος και εφαρμογή

1.           Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.           Τίθεται σε εφαρμογή [δύο έτη μετά την ημερομηνία που αναφέρεται στην παράγραφο 1].

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 25.1.2012

Για το Ευρωπαϊκό Κοινοβούλιο                     Για το Συμβούλιο

Ο Πρόεδρος                                                   Ο Πρόεδρος

ΝΟΜΟΘΕΤΙΚΟ ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ

1.           ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

              1.1.    Ονομασία της πρότασης/πρωτοβουλίας

              1.2.    Σχετικός(οί) τομέας(είς) πολιτικής που αφορά(ούν) τη δομή ΔΒΔ/ΠΒΔ

              1.3.    Χαρακτήρας της πρότασης/πρωτοβουλίας

              1.4.    Στόχος(οι)

              1.5.    Αιτιολόγηση της πρότασης/πρωτοβουλίας

              1.6.    Διάρκεια και δημοσιονομικές επιπτώσεις

              1.7.    Προβλεπόμενος(οι) τρόπος(οι) διαχείρισης

2.           ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ

              2.1.    Διατάξεις για την παρακολούθηση και την υποβολή εκθέσεων

              2.2.    Σύστημα διαχείρισης και ελέγχου

              2.3.    Μέτρα για την πρόληψη περιπτώσεων απάτης και παρατυπίας

3.           ΕΚΤΙΜΩΜΕΝΟΣ ΔΗΜΟΣΙΟΝΟΜΙΚΟΣ ΑΝΤΙΚΤΥΠΟΣ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

              3.1.    Τομέας(είς) του πολυετούς δημοσιονομικού πλαισίου και γραμμή(ές) των δαπανών του προϋπολογισμού που επηρεάζονται

              3.2.    Εκτιμώμενος αντίκτυπος στις δαπάνες

              3.2.1. Συνοπτική παρουσίαση του εκτιμώμενου αντικτύπου στις δαπάνες

              3.2.2. Εκτιμώμενος αντίκτυπος στις επιχειρησιακές πιστώσεις

              3.2.3. Εκτιμώμενος αντίκτυπος στις πιστώσεις διοικητικού χαρακτήρα

              3.2.4. Συμβατότητα με το ισχύον πολυετές δημοσιονομικό πλαίσιο

              3.2.5. Συμμετοχή τρίτων στη χρηματοδότηση

              3.3.    Εκτιμώμενος αντίκτυπος στα έσοδα

ΝΟΜΟΘΕΤΙΚΟ ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ

1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ

Το παρόν δημοσιονομικό δελτίο περιγράφει αναλυτικότερα τις απαιτήσεις όσον αφορά τις διοικητικές δαπάνες, προκειμένου να εφαρμοσθεί στην πράξη η μεταρρύθμιση της προστασίας των δεδομένων, όπως εξηγείται στην αντίστοιχη εκτίμηση επιπτώσεων. Η μεταρρύθμιση περιλαμβάνει δύο νομοθετικές προτάσεις, έναν γενικό κανονισμό για την προστασία των δεδομένων και μια οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων. Το παρόν δημοσιονομικό δελτίο καλύπτει τις δημοσιονομικές επιπτώσεις αμφοτέρων των πράξεων.

Σύμφωνα με τον καταμερισμό των καθηκόντων, πόρους χρειάζονται η Επιτροπή και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ).

Όσον αφορά την Επιτροπή, οι αναγκαίοι πόροι περιλαμβάνονται ήδη στην προτεινόμενη δημοσιονομική προοπτική 2014-2020. Η προστασία των δεδομένων είναι ένας από τους στόχους του προγράμματος για τα θεμελιώδη δικαιώματα και την ιθαγένεια, το οποίο θα στηρίξει επίσης μέτρα για την πρακτική εφαρμογή του νομικού πλαισίου. Οι διοικητικές πιστώσεις, συμπεριλαμβανομένων των αναγκών σε προσωπικό, περιλαμβάνονται στον διοικητικό προϋπολογισμό της ΓΔ JUST.

Όσον αφορά τον ΕΕΠΔ, οι αναγκαίοι πόροι θα πρέπει να ληφθούν υπόψη στους αντίστοιχους ετήσιους προϋπολογισμούς του ΕΕΠΔ. Οι πόροι αναλύονται στο παράρτημα του παρόντος δημοσιονομικού δελτίου. Για να παρασχεθούν οι πόροι που απαιτούνται για τα νέα καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, τη γραμματεία της οποίας θα παράσχει ο ΕΕΠΔ, θα απαιτηθεί αναπρογραμματισμός του τομέα 5 της δημοσιονομικής προοπτικής 2014-2020.

1.1. Ονομασία της πρότασης/πρωτοβουλίας

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων).

Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

1.2. Σχετικός(οί) τομέας(είς) πολιτικής που αφορά(ούν) τη δομή ΔΒΔ/ΠΒΔ[49]

Δικαιοσύνη – Προστασία δεδομένων προσωπικού χαρακτήρα

Οι δημοσιονομικές επιπτώσεις αφορούν την Επιτροπή και τον ΕΕΠΔ. Οι επιπτώσεις στον προϋπολογισμό της Επιτροπής περιγράφονται αναλυτικά στους πίνακες του παρόντος δημοσιονομικού δελτίου. Οι επιχειρησιακές δαπάνες εντάσσονται στο πρόγραμμα για τα θεμελιώδη δικαιώματα και την ιθαγένεια και έχουν ήδη ληφθεί υπόψη στο δημοσιονομικό δελτίο του εν λόγω προγράμματος, όπως και οι διοικητικές δαπάνες έχουν ληφθεί υπόψη στο πλαίσιο του χρηματοδοτικού κονδυλίου για τη ΓΔ Δικαιοσύνης. Τα στοιχεία που αφορούν τον ΕΕΠΔ παρατίθενται στο παράρτημα.

1.3. Χαρακτήρας της πρότασης/πρωτοβουλίας

¨ Η πρόταση/πρωτοβουλία αφορά νέα δράση

¨ Η πρόταση/πρωτοβουλία αφορά νέα δράση μετά από πιλοτικό έργο/προπαρασκευαστική δράση[50]

þ Η πρόταση/πρωτοβουλία αφορά την παράταση υφιστάμενης δράσης

¨ Η πρόταση/πρωτοβουλία αφορά δράση αναπροσανατολισμένη προς νέα δράση

1.4. Στόχοι 1.4.1. Ο(οι) πολυετής(-είς) στρατηγικός(-οί) στόχος(-οι) της Επιτροπής που αφορά η πρόταση/πρωτοβουλία

Στόχος της μεταρρύθμισης είναι η ολοκλήρωση της επίτευξης των αρχικών στόχων, λαμβάνοντας υπόψη τις νέες εξελίξεις και προκλήσεις, δηλαδή:

- αύξηση της αποτελεσματικότητας του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και έλεγχος των δεδομένων από τα φυσικά πρόσωπα στα οποία αναφέρονται, ιδίως στο πλαίσιο των τεχνολογικών εξελίξεων και της αυξημένης παγκοσμιοποίησης·

- βελτίωση της διάστασης της εσωτερικής αγοράς της προστασίας των δεδομένων, μειώνοντας τον κατακερματισμό, ενισχύοντας τη συνεκτικότητα και απλουστεύοντας το κανονιστικό περιβάλλον, καταργώντας με τον τρόπο αυτό το περιττό κόστος και μειώνοντας τον διοικητικό φόρτο.

Επιπλέον, η έναρξη ισχύος της συνθήκης της Λισαβόνας –και ιδίως η θέσπιση μιας νέας νομικής βάσης (άρθρο 16 ΣΛΕΕ)– παρέχει τη δυνατότητα επίτευξης ενός νέου στόχου, δηλαδή

- θέσπιση συνολικού πλαισίου προστασίας των δεδομένων το οποίο καλύπτει όλους τους τομείς.

1.4.2. Ειδικός(οί) στόχος(οι) και σχετική(ές) δραστηριότητα(ες) ΔΒΔ/ΠΒΔ

Ειδικός στόχος αριθ. 1

Διασφάλιση συνεκτικής επιβολής των κανόνων για την προστασία των δεδομένων

Ειδικός στόχος αριθ. 2

Εξορθολογισμός του ισχύοντος συστήματος διακυβέρνησης προκειμένου να διασφαλίζεται συνεκτικότερη επιβολή

Σχετική (ές) δραστηριότητα (ες) ΔΒΔ/ΠΒΔ

[…]

1.4.3. Αναμενόμενο(α) αποτέλεσμα(τα) και αντίκτυπος

Να προσδιορισθούν τα αποτελέσματα που αναμένεται να έχει η πρόταση/πρωτοβουλία όσον αφορά τους στοχοθετημένους(ες) δικαιούχους/ομάδες.

Όσον αφορά τους υπευθύνους επεξεργασίας δεδομένων, τόσο οι δημόσιες όσο και οι ιδιωτικές οντότητες θα επωφεληθούν αυξημένης ασφάλειας δικαίου από την εναρμόνιση και την αποσαφήνιση των κανόνων και των διαδικασιών της ΕΕ για την προστασία των δεδομένων, οι οποίες δημιουργούν ίσους όρους ανταγωνισμού και εξασφαλίζουν συνεκτική επιβολή των κανόνων για την προστασία των δεδομένων, καθώς και σημαντική μείωση του διοικητικού φόρτου.

Τα φυσικά πρόσωπα θα ασκούν καλύτερο έλεγχο στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και θα μπορούν να εμπιστεύονται το ψηφιακό περιβάλλον διατηρώντας την προστασία τους ακόμη και όταν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υποβάλλονται σε επεξεργασία στο εξωτερικό. Θα ενισχυθεί επίσης η λογοδοσία εκείνων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Ένα συνολικό σύστημα προστασίας των δεδομένων θα καλύπτει επίσης τους τομείς της αστυνομίας και της δικαιοσύνης, ακόμη και πέραν του πρώην τρίτου πυλώνα.

1.4.4. Δείκτες αποτελεσμάτων και αντικτύπου

Να προσδιορισθούν οι δείκτες για την παρακολούθηση της υλοποίησης της πρότασης/πρωτοβουλίας.

(πρβλ. εκτίμηση επιπτώσεων, τμήμα 8)

Οι δείκτες θα αξιολογούνται περιοδικά και θα περιλαμβάνουν τα ακόλουθα στοιχεία:

•        χρόνος και κόστος συμμόρφωσης των υπευθύνων επεξεργασίας δεδομένων προς τη νομοθεσία «άλλων κρατών μελών»,

•        πόροι που διατίθενται σε αρχές προστασίας δεδομένων,

•        ορισμός υπευθύνων επεξεργασίας δεδομένων σε δημόσιους και ιδιωτικούς οργανισμούς,

•        χρήση εκτίμησης επιπτώσεων σχετικά με την προστασία δεδομένων,

•        αριθμός καταγγελιών από πρόσωπα στα οποία αναφέρονται τα δεδομένα και αποζημίωση που έλαβαν τα πρόσωπα αυτά,

•        αριθμός υποθέσεων που είχαν ως αποτέλεσμα τη δίωξη υπευθύνων επεξεργασίας,

•        πρόστιμα επιβληθέντα σε υπευθύνους επεξεργασίας δεδομένων που κρίθηκαν ένοχοι για παραβιάσεις της προστασίας των δεδομένων.

1.5. Αιτιολόγηση της πρότασης/πρωτοβουλίας 1.5.1. Βραχυπρόθεσμη ή μακροπρόθεσμη κάλυψη αναγκών

Οι παρούσες αποκλίσεις στην εφαρμογή, στην ερμηνεία και στην επιβολή της οδηγίας από τα κράτη μέλη παρεμποδίζουν τη λειτουργία της εσωτερικής αγοράς και τη συνεργασία μεταξύ δημόσιων αρχών σε σχέση με τις πολιτικές της ΕΕ. Αυτό αντίκειται στον θεμελιώδη στόχο της οδηγίας όσον αφορά τη διευκόλυνση της ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Η ραγδαία ανάπτυξη νέων τεχνολογιών και η παγκοσμιοποίηση εντείνουν περαιτέρω το πρόβλημα.

Τα φυσικά πρόσωπα απολαύουν διαφορετικών δικαιωμάτων προστασίας δεδομένων, λόγω του κατακερματισμού και της μη συνεκτικής εφαρμογής και επιβολής στα διαφορετικά κράτη μέλη. Επιπλέον, συχνά τα φυσικά πρόσωπα δεν γνωρίζουν ούτε ελέγχουν τι συμβαίνει στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, ως εκ τούτου, δεν ασκούν ουσιαστικά τα δικαιώματά τους.

1.5.2. Προστιθέμενη αξία της συμμετοχής της ΕΕ

Τα κράτη μέλη δεν μπορούν να περιορίσουν μόνα τους τα προβλήματα της παρούσας κατάστασης. Αυτό ισχύει ιδίως για τα προβλήματα εκείνα που προκύπτουν από τον κατακερματισμό των εθνικών νομοθεσιών εφαρμογής του κανονιστικού πλαισίου της ΕΕ για την προστασία των δεδομένων. Συνεπώς, υπάρχουν ισχυρά επιχειρήματα για την ανάπτυξη ενός νομικού πλαισίου σχετικά με την προστασία των δεδομένων σε επίπεδο ΕΕ. Υπάρχει ιδιαίτερη ανάγκη θέσπισης ενός εναρμονισμένου και συνεκτικού πλαισίου το οποίο θα επιτρέπει την ομαλή διασυνοριακή διαβίβαση δεδομένων προσωπικού χαρακτήρα στην ΕΕ εξασφαλίζοντας παράλληλα πραγματική προστασία για όλα τα φυσικά πρόσωπα σε ολόκληρη την ΕΕ.

1.5.3. Διδάγματα που αποκομίστηκαν από ανάλογες εμπειρίες του παρελθόντος

Οι παρούσες προτάσεις βασίζονται στις εμπειρίες από την οδηγία 95/46/ΕΚ και στα προβλήματα που ανέκυψαν λόγω της κατακερματισμένης μεταφοράς στο εθνικό δίκαιο και εφαρμογής της εν λόγω οδηγίας, τα οποία την εμπόδισαν να επιτύχει τους στόχους της, δηλαδή ένα υψηλό επίπεδο προστασίας των δεδομένων και μια ενιαία αγορά για την προστασία των δεδομένων.

1.5.4. Συνέπεια και ενδεχόμενη συνέργεια με άλλα συναφή μέσα

Στόχος της παρούσας δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων είναι η οικοδόμηση ενός ισχυρού, συνεκτικού και σύγχρονου πλαισίου προστασίας των δεδομένων σε επίπεδο ΕΕ – τεχνολογικά ουδέτερου και ανθεκτικού στον χρόνο για τις επόμενες δεκαετίες. Θα ωφελήσει τα φυσικά πρόσωπα –ενισχύοντας τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων, ιδίως στο ψηφιακό περιβάλλον– και θα απλουστεύσει το νομικό περιβάλλον για τις επιχειρήσεις και τον δημόσιο τομέα, παροτρύνοντας με τον τρόπο αυτό την ανάπτυξη της ψηφιακής οικονομίας σε ολόκληρη την εσωτερική αγορά της ΕΕ και εκτός αυτής, σύμφωνα με τους στόχους της στρατηγικής «Ευρώπη 2020».

Τα βασικά έγγραφα της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων είναι:

–        ένας κανονισμός για την αντικατάσταση της οδηγίας 95/46/ΕΚ·

–        μια οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Οι νομοθετικές αυτές προτάσεις συνοδεύονται από έκθεση σχετικά με την εφαρμογή από τα κράτη μέλη της βασικής επί του παρόντος πράξης για την προστασία των δεδομένων στην ΕΕ στους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, της απόφασης-πλαισίου 2008/977/ΔΕΥ.

1.6. Διάρκεια και δημοσιονομικές επιπτώσεις

¨ Πρόταση /πρωτοβουλία περιορισμένης διάρκειας

1. ¨  Πρόταση /πρωτοβουλία από την [ΗΗ/ΜΜ]ΕΕΕΕ έως την [ΗΗ/ΜΜ]ΕΕΕΕ

2. ¨  Δημοσιονομικός αντίκτυπος από το ΕΕΕΕ έως το ΕΕΕΕ

þ Πρόταση /πρωτοβουλία απεριόριστης διάρκειας

1. Εκτέλεση με περίοδο έναρξης από το 2014 έως το 2016,

2. και στη συνέχεια λειτουργία με κανονικό ρυθμό.

1.7. Προβλεπόμενος(οι) τρόπος(οι) διαχείρισης[51]

þ Κεντρική άμεση διαχείριση από την Επιτροπή

¨ Κεντρική έμμεση διαχείριση με ανάθεση καθηκόντων εκτέλεσης σε:

3. ¨  εκτελεστικούς οργανισμούς

4. ¨  οργανισμούς που έχει συστήσει η Ένωση [52]

5. ¨  εθνικούς δημόσιους οργανισμούς/ οργανισμούς με αποστολή δημόσιας υπηρεσίας

3. ¨  πρόσωπα επιφορτισμένα με την εκτέλεση συγκεκριμένων δράσεων δυνάμει του τίτλου V της συνθήκης για την Ευρωπαϊκή Ένωση, όπως προσδιορίζονται στην αντίστοιχη βασική πράξη κατά την έννοια του άρθρου 49 του δημοσιονομικού κανονισμού

¨ Επιμερισμένη διαχείριση με τα κράτη μέλη

¨ Αποκεντρωμένη διαχείριση με τρίτες χώρες

¨ Από κοινού διαχείριση με διεθνείς οργανισμούς (να προσδιορισθεί)

Εάν αναφέρονται περισσότεροι τρόποι διαχείρισης, παρακαλείσθε να τους διευκρινίσετε στο τμήμα «Παρατηρήσεις».

Παρατηρήσεις

//

2. ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ 2.1. Διατάξεις για την παρακολούθηση και την υποβολή εκθέσεων

Να προσδιορισθούν η συχνότητα και οι όροι

Η πρώτη αξιολόγηση θα πραγματοποιηθεί τέσσερα έτη μετά την έναρξη ισχύος των νομικών πράξεων. Οι νομικές πράξεις περιέχουν ρητή ρήτρα αναθεώρησης, σύμφωνα με την οποία η Επιτροπή θα αξιολογήσει την εφαρμογή τους. Η Επιτροπή θα υποβάλει ακολούθως έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο σχετικά με την αξιολόγησή της. Περαιτέρω αξιολογήσεις θα διενεργούνται κάθε τέσσερα έτη. Θα εφαρμοσθεί η μέθοδος αξιολόγησης της Επιτροπής. Οι αξιολογήσεις θα διενεργηθούν με τη βοήθεια στοχοθετημένων μελετών σχετικά με την εφαρμογή των νομικών πράξεων, ερωτηματολογίων προς τις εθνικές αρχές προστασίας δεδομένων, συζητήσεων με εμπειρογνώμονες, συνόδων εργασίας, ερευνών του Ευρωβαρομέτρου και ούτω καθεξής.

2.2. Σύστημα διαχείρισης και ελέγχου 2.2.1. Κίνδυνος(-οι) που έχει(-ουν) επισημανθεί

Διενεργήθηκε εκτίμηση επιπτώσεων για τη μεταρρύθμιση του πλαισίου προστασίας των δεδομένων στην ΕΕ, η οποία συνοδεύει τις προτάσεις για τον κανονισμό και την οδηγία.

Η νέα νομική πράξη θα θεσπίσει έναν μηχανισμό συνεκτικότητας, διασφαλίζοντας ότι οι ανεξάρτητες αρχές ελέγχου στα κράτη μέλη εφαρμόζουν το πλαίσιο με συνεκτικό και συνεπή τρόπο. Ο μηχανισμός θα εφαρμόζεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, απαρτιζόμενη από τους προϊσταμένους των εθνικών αρχών ελέγχου και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, η οποία θα αντικαταστήσει την παρούσα ομάδα εργασίας του άρθρου 29. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα παράσχει τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Σε περίπτωση αποκλινουσών αποφάσεων αρχών κρατών μελών, ζητείται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να εκδώσει γνώμη επί του θέματος. Εάν η διαδικασία αυτή αποτύχει ή εάν μια αρχή ελέγχου αρνείται να συμμορφωθεί προς τη γνώμη, η Επιτροπή μπορεί, για να διασφαλίσει την ορθή και συνεκτική εφαρμογή του παρόντος κανονισμού, να εκδώσει γνώμη ή, εάν απαιτείται, να εκδώσει απόφαση, εάν έχει σοβαρές αμφιβολίες για το κατά πόσον το σχέδιο μέτρου διασφαλίζει την ορθή εφαρμογή του παρόντος κανονισμού ή έχει ως αποτέλεσμα τη μη συνεκτική εφαρμογή του.

Ο μηχανισμός συνεκτικότητας απαιτεί πρόσθετους πόρους για τον ΕΕΠΔ (12 ΙΠΑ και κατάλληλες διοικητικές και επιχειρησιακές πιστώσεις, π.χ. για συστήματα και πράξεις ΤΠ) για την παροχή της γραμματείας, και για την Επιτροπή (5 ΙΠΑ και σχετικές διοικητικές και επιχειρησιακές πιστώσεις) για τον χειρισμό των υποθέσεων συνεκτικότητας.

2.2.2. Προβλεπόμενη(-ες) μέθοδος(-οι) ελέγχου

Οι υφιστάμενες μέθοδοι ελέγχου που εφαρμόζονται από τον ΕΕΠΔ και από την Επιτροπή θα καλύψουν τις πρόσθετες πιστώσεις.

2.3. Μέτρα για την πρόληψη περιπτώσεων απάτης και παρατυπίας

Να προσδιορισθούν υπάρχοντα ή προβλεπόμενα μέτρα πρόληψης και προστασίας.

Τα υφιστάμενα μέτρα πρόληψης που εφαρμόζονται από τον ΕΕΠΔ και από την Επιτροπή θα καλύψουν τις πρόσθετες πιστώσεις.

3. ΕΚΤΙΜΩΜΕΝΟΣ ΔΗΜΟΣΙΟΝΟΜΙΚΟΣ ΑΝΤΙΚΤΥΠΟΣ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ 3.1. Τομέας(είς) του πολυετούς δημοσιονομικού πλαισίου και γραμμή(ές) των δαπανών του προϋπολογισμού που επηρεάζονται

1. Υφιστάμενες γραμμές προϋπολογισμού για δαπάνες

Κατά σειρά των τομέων του πολυετούς δημοσιονομικού πλαισίου και γραμμών του προϋπολογισμού.

Τομέας του πολυετούς δημοσιονομικού πλαισίου || Γραμμή προϋπολογισμού || Είδος δαπανών || Συνεισφορά

Αριθμός [Περιγραφή ………………………...……….] || ΔΠ/ΜΔΠ ([53]) || χωρών ΕΖΕΣ[54] || υποψήφιων χωρών[55] || τρίτων χωρών || κατά την έννοια του άρθρου 18 παράγραφος 1 στοιχείο αα του δημοσιονομικού κανονισμού

|| || || || || ||

 

3.2. Εκτιμώμενος αντίκτυπος στις δαπάνες 3.2.1. Συνοπτική παρουσίαση του εκτιμώμενου αντικτύπου στις δαπάνες

εκατ. ευρώ (3 δεκαδικά ψηφία)

Τομέας του πολυετούς δημοσιονομικού πλαισίου: || Αριθμός ||

|| || || Έτος N[56]= 2014 || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6) || ΣΥΝΟΛΟ

Ÿ Επιχειρησιακές πιστώσεις || || || || || || || ||

Γραμμή προϋπολογισμού || Αναλήψεις υποχρεώσεων || (1) || || || || || || || ||

Πληρωμές || (2) || || || || || || || ||

Γραμμή προϋπολογισμού || Αναλήψεις υποχρεώσεων || (1α) || || || || || || || ||

Πληρωμές || (2α) || || || || || || || ||

Πιστώσεις διοικητικού χαρακτήρα χρηματοδοτούμενες από το κονδύλιο ειδικών προγραμμάτων [57] || || || || || || || ||

Γραμμή προϋπολογισμού || || (3) || || || || || || || ||

ΣΥΝΟΛΟ πιστώσεων για τη ΓΔ || Αναλήψεις υποχρεώσεων || =1+1α +311 || || || || || || || ||

Πληρωμές || =2+2α+3 || || || || || || || ||

Ÿ ΣΥΝΟΛΟ επιχειρησιακών πιστώσεων || Αναλήψεις υποχρεώσεων || (4) || || || || || || || ||

Πληρωμές || (5) || || || || || || || ||

Ÿ ΣΥΝΟΛΟ πιστώσεων διοικητικού χαρακτήρα χρηματοδοτούμενων από το κονδύλιο ειδικών προγραμμάτων || (6) || || || || || || || ||

ΣΥΝΟΛΟ πιστώσεων του ΤΟΜΕΑ 3 του πολυετούς δημοσιονομικού πλαισίου || Αναλήψεις υποχρεώσεων || =4+ 6 || || || || || || || ||

Πληρωμές || =5+ 6 || || || || || || || ||

Εάν η πρόταση/πρωτοβουλία επηρεάζει περισσότερους του ενός τομείς:

Ÿ ΣΥΝΟΛΟ επιχειρησιακών πιστώσεων || Αναλήψεις υποχρεώσεων || (4) || || || || || || || ||

Πληρωμές || (5) || || || || || || || ||

Ÿ ΣΥΝΟΛΟ πιστώσεων διοικητικού χαρακτήρα χρηματοδοτούμενων από το κονδύλιο ειδικών προγραμμάτων || (6) || || || || || || || ||

ΣΥΝΟΛΟ πιστώσεων στους ΤΟΜΕΙΣ 1 έως 4 του πολυετούς δημοσιονομικού πλαισίου (ποσό αναφοράς) || Αναλήψεις υποχρεώσεων || =4+ 6 || || || || || || || ||

Πληρωμές || =5+ 6 || || || || || || || ||

Τομέας πολυετούς δημοσιονομικού πλαισίου: || 5 || «Διοικητικές δαπάνες»

εκατ. ευρώ (3 δεκαδικά ψηφία)

|| || || Έτος N= 2014 || Έτος 2015 || Έτος 2016 || Έτος 2017 || Έτος 2018 || Έτος 2019 || Έτος 2020 || ΣΥΝΟΛΟ

ΓΔ: JUST ||

Ÿ Ανθρώπινοι πόροι || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Άλλες διοικητικές δαπάνες || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

ΣΥΝΟΛΟ ΓΔ JUST || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

ΣΥΝΟΛΟ πιστώσεων στον ΤΟΜΕΑ 5 του πολυετούς δημοσιονομικού πλαισίου || (Σύνολο αναλήψεων υποχρεώσεων = Σύνολο πληρωμών) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

εκατ. ευρώ (3 δεκαδικά ψηφία)

|| || || Έτος N[58] || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6) || ΣΥΝΟΛΟ

ΣΥΝΟΛΟ πιστώσεων στους ΤΟΜΕΙΣ 1 έως 5 του πολυετούς δημοσιονομικού πλαισίου || Αναλήψεις υποχρεώσεων || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Πληρωμές || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Εκτιμώμενος αντίκτυπος στις επιχειρησιακές πιστώσεις

6. þ Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση ανθρώπινων πόρων

Ένα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα είναι επίσης ένας από τους στόχους του προγράμματος για τα θεμελιώδη δικαιώματα και την ιθαγένεια.

7. ¨ Η πρόταση/πρωτοβουλία απαιτεί τη χρήση ανθρωπίνων πόρων, όπως εξηγείται κατωτέρω:

Πιστώσεις αναλήψεως υποχρεώσεων σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Αναγράφονται οι στόχοι και οι υλοποιήσεις ò || || || Έτος N=2014 || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6) || ΣΥΝΟΛΟ

ΥΛΟΠΟΙΗΣΗ

Είδος υλοποίησης[59] || Μέσο κόστος υλοποίησης || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Συνολικός αριθμός υλοποιήσεων || Σύνολο κόστους

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 1 ||

- Υλοποίηση || Αρχεία[60] || || || || || || || || || || || || || || || || ||

Υποσύνολο για τον ειδικό στόχο αριθ. 1 || || || || || || || || || || || || || || || ||

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 2 ||

- Υλοποίηση || Περιπτώσεις[61] || || || || || || || || || || || || || || || || ||

Υποσύνολο για τον ειδικό στόχο αριθ. 2 || || || || || || || || || || || || || || || ||

ΣΥΝΟΛΟ ΚΟΣΤΟΥΣ || || || || || || || || || || || || || || || ||

3.2.3. Εκτιμώμενος αντίκτυπος στις πιστώσεις διοικητικού χαρακτήρα 3.2.3.1. Συνοπτική παρουσίαση

8. ¨  Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση πιστώσεων διοικητικής λειτουργίας

9. þ  Η πρόταση/πρωτοβουλία συνεπάγεται τη χρησιμοποίηση πιστώσεων διοικητικής λειτουργίας, όπως εξηγείται κατωτέρω:

σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

|| Έτος N [62] 2014 || Έτος 2015 || Έτος 2016 || Έτος 2017 || Έτος 2018 || Έτος 2019 || Έτος 2020 || ΣΥΝΟΛΟ

ΤΟΜΕΑΣ 5 του πολυετούς δημοσιονομικού πλαισίου || || || || || || || ||

Ανθρώπινοι πόροι || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Άλλες διοικητικές δαπάνες || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Υποσύνολο ΤΟΜΕΑ 5 του πολυετούς δημοσιονομικού πλαισίου || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Εκτός του ΤΟΜΕΑ 5[63] του πολυετούς δημοσιονομικού πλαισίου || || || || || || || ||

Ανθρώπινοι πόροι || || || || || || || ||

Άλλες δαπάνες διοικητικού χαρακτήρα || || || || || || || ||

Υποσύνολο εκτός του ΤΟΜΕΑ 5 του πολυετούς δημοσιονομικού πλαισίου || || || || || || || ||

ΣΥΝΟΛΟ || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Κατ’ εκτίμηση απαιτούμενοι ανθρώπινοι πόροι

10. ¨         Η πρόταση/πρωτοβουλία δεν συνεπάγεται τη χρησιμοποίηση ανθρώπινων πόρων

11. þ         Η πρόταση/πρωτοβουλία συνεπάγεται τη χρησιμοποίηση ανθρώπινων πόρων, όπως εξηγείται κατωτέρω:

Εκτίμηση που εκφράζεται σε μονάδες ισοδυνάμων πλήρους απασχόλησης (ή το πολύ με ένα δεκαδικό ψηφίο)

|| Έτος 2014 || Έτος 2015 || Έτος 2016 || Έτος 2017 || Έτος 2018 || Έτος 2019 || Έτος 2020

Ÿ Θέσεις απασχόλησης του πίνακα προσωπικού (θέσεις μόνιμων και έκτακτων υπαλλήλων)

XX 01 01 01 (Έδρα και γραφεία αντιπροσωπείας της Επιτροπής) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (Αντιπροσωπείες) || || || || || || ||

Ÿ Εξωτερικό προσωπικό (σε μονάδες ισοδυνάμων πλήρους απασχόλησης: FTE)[64]

XX 01 02 01 (ΣΥ, ΠΠ, ΑΕΕ από το «συνολικό κονδύλιο») || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (ΣΥ, ΠΥ, ΝΕΑ, ΤΥ και ΑΕΕ στις Αντιπροσωπείες) || || || || || || ||

XX 01 04 εε [65] || - στην έδρα[66] || || || || || || ||

- σε αντιπροσωπείες || || || || || || ||

XX 01 05 02 (ΣΥ, ΠΠ, ΑΕΕ - Έμμεση έρευνα) || || || || || || ||

10 01 05 02 (ΣΥ, ΠΠ, ΑΕΕ - Άμεση έρευνα) || || || || || || ||

Άλλη γραμμή του προϋπολογισμού (να προσδιορισθεί) || || || || || || ||

ΣΥΝΟΛΟ || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX είναι ο τομέας πολιτικής ή ο σχετικός τίτλος του προϋπολογισμού.

Με τη μεταρρύθμιση, η Επιτροπή θα κληθεί να εκτελεί νέα καθήκοντα στον τομέα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, επιπλέον αυτών που εκτελεί επί του παρόντος. Τα πρόσθετα καθήκοντα αφορούν κυρίως την εφαρμογή του νέου μηχανισμού συνεκτικότητας, ο οποίος θα διασφαλίζει τη συνεκτική εφαρμογή της εναρμονισμένης νομοθεσίας για την προστασία των δεδομένων, την αξιολόγηση της επάρκειας τρίτων χωρών, για την οποία η Επιτροπή θα είναι μόνη αρμόδια, και την εκπόνηση εκτελεστικών μέτρων και κατ’ εξουσιοδότηση πράξεων. Τα λοιπά καθήκοντα που εκτελούνται επί του παρόντος από την Επιτροπή (π.χ. ανάπτυξη πολιτικής, παρακολούθηση της μεταφοράς της νομοθεσίας στο εθνικό δίκαιο, ευαισθητοποίηση, καταγγελίες κ.λπ.) θα συνεχίσουν να εκτελούνται.

Οι ανάγκες σε ανθρώπινους πόρους θα καλυφθούν από υπαλλήλους της ΓΔ, οι οποίοι έχουν ήδη ορισθεί για τη διαχείριση της δράσης ή/και για αναδιάταξη εντός της ΓΔ, σε συνδυασμό, εφόσον απαιτηθεί, με πρόσθετα κονδύλια τα οποία μπορεί να χορηγηθούν στη διαχειρίστρια ΓΔ στο πλαίσιο της ετήσιας διαδικασίας κατανομής λαμβανομένων υπόψη των δημοσιονομικών περιορισμών.

Περιγραφή των προς εκτέλεση καθηκόντων:

Μόνιμοι και έκτακτοι υπάλληλοι || Υπάλληλοι αρμόδιοι για τον χειρισμό υποθέσεων, οι οποίοι εφαρμόζουν τον μηχανισμό συνεκτικότητας προστασίας των δεδομένων, ώστε να διασφαλίζεται η ενιαία εφαρμογή των κανόνων της ΕΕ για την προστασία των δεδομένων. Τα καθήκοντα περιλαμβάνουν διερεύνηση και έρευνα περιπτώσεων που υποβάλλονται για τη λήψη απόφασης από τις αρχές κρατών μελών, διαπραγμάτευση με τα κράτη μέλη και προετοιμασία των αποφάσεων της Επιτροπής. Βάσει πρόσφατων εμπειριών, 5 έως 10 περιπτώσεις ετησίως ενδέχεται να απαιτούν την εφαρμογή του μηχανισμού συνεκτικότητας. Ο χειρισμός αιτημάτων έκδοσης απόφασης περί επάρκειας απαιτεί άμεση αλληλεπίδραση με τη χώρα που υποβάλλει το αίτημα, ενδεχομένως τη διαχείριση μελετών εμπειρογνωμόνων σχετικά με τις συνθήκες που επικρατούν στη χώρα, αξιολόγηση των συνθηκών, προετοιμασία των σχετικών αποφάσεων της Επιτροπής και της διαδικασίας, συμπεριλαμβανομένης της επιτροπής που επικουρεί την Επιτροπή και τυχόν οργάνων εμπειρογνωμόνων, ανάλογα με την περίπτωση. Βάσει πρόσφατων εμπειριών, ενδέχεται να προκύπτουν ετησίως έως 4 αιτήματα έκδοσης απόφασης περί επάρκειας. Η διαδικασία θέσπισης εκτελεστικών μέτρων περιλαμβάνει προπαρασκευαστικά μέτρα, όπως σημειώματα-ερωτηματολόγια, έρευνα και δημόσια διαβούλευση, καθώς και την κατάρτιση της σχετικής πράξης και τη διαχείριση της διαδικασίας διαπραγματεύσεων στις σχετικές επιτροπές και άλλες ομάδες, καθώς και επαφές με τους ενδιαφερομένους γενικά. Στους διάφορους τομείς που απαιτούν πιο συγκεκριμένη καθοδήγηση, ενδέχεται να εξετάζονται έως τρία εκτελεστικά μέτρα ετησίως, ενώ η διαδικασία μπορεί να διαρκεί έως 24 μήνες, ανάλογα με την ένταση των διαβουλεύσεων.

Εξωτερικό προσωπικό || Διοικητική και γραμματειακή υποστήριξη.

3.2.4. Συμβατότητα με το ισχύον πολυετές δημοσιονομικό πλαίσιο

12. ¨         Η πρόταση /πρωτοβουλία είναι συμβατή με το επόμενο πολυετές δημοσιονομικό πλαίσιο.

13. þ         Η πρόταση απαιτεί επαναπρογραμματισμό του σχετικού τομέα του πολυετούς δημοσιονομικού πλαισίου.

Στον πίνακα που ακολουθεί παρατίθενται τα ποσά των δημοσιονομικών πόρων που χρειάζεται ετησίως ο ΕΕΠΔ για τα νέα καθήκοντά του όσον αφορά την παροχή της γραμματείας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και τις σχετικές διαδικασίες και τα εργαλεία κατά την επόμενη δημοσιονομική προοπτική, επιπλέον εκείνων που περιλαμβάνονται ήδη στον προγραμματισμό.

Έτος || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Σύνολο

Προσωπικό κ.λπ. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Λειτουργίες || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Σύνολο || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

14. ¨         Η πρόταση /πρωτοβουλία απαιτεί τη χρησιμοποίηση του μέσου ευελιξίας ή την αναθεώρηση του πολυετούς δημοσιονομικού πλαισίου[67].

3.2.5. Συμμετοχή τρίτων στη χρηματοδότηση

15. þ Η πρόταση /πρωτοβουλία δεν προβλέπει συγχρηματοδότηση από τρίτα μέρη

16. Η πρόταση /πρωτοβουλία προβλέπει τη χρηματοδότηση που εκτιμάται κατωτέρω:

Πιστώσεις σε εκατομμύρια ευρώ (με 3 δεκαδικά ψηφία)

|| Έτος N || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6) || Σύνολο

Να προσδιορισθεί ο φορέας συγχρηματοδότησης || || || || || || || ||

ΣΥΝΟΛΟ συγχρηματοδοτούμενων πιστώσεων || || || || || || || ||

3.3. Εκτιμώμενος αντίκτυπος στα έσοδα

17. þ         Η πρόταση /πρωτοβουλία δεν έχει δημοσιονομικές επιπτώσεις στα έσοδα.

18. ¨         Η πρόταση/πρωτοβουλία έχει τον δημοσιονομικό αντίκτυπο που περιγράφεται κατωτέρω:

· ¨         στους ιδίους πόρους

· ¨         στα διάφορα έσοδα

σε εκατ. ευρώ (με 3 δεκαδικά ψηφία)

Γραμμή εσόδων του προϋπολογισμού: || Διαθέσιμες πιστώσεις για το τρέχον οικονομικό έτος || Αντίκτυπος της πρότασης /πρωτοβουλίας [68]

Έτος N || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6)

|| || || || || || || ||

Για τα διάφορα έσοδα με ειδικό προορισμό να προσδιοριστεί(ούν) η(οι) γραμμή(ές) δαπανών του προϋπολογισμού που έχει(ουν) επηρεαστεί.

Να προσδιοριστεί η μέθοδος υπολογισμού του αντικτύπου στα έσοδα.

Παράρτημα του νομοθετικού δημοσιονομικού δελτίου που συνοδεύει την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Εφαρμοσθείσα μεθοδολογία και βασικές παραδοχές

Το κόστος που σχετίζεται με τα νέα καθήκοντα τα οποία θα εκτελούνται από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), το οποίο απορρέει από τις δύο προτάσεις, εκτιμήθηκε για τις δαπάνες προσωπικού βάσει του κόστους με το οποίο επιβαρύνεται η Επιτροπή επί του παρόντος για παρόμοια καθήκοντα.

Ο ΕΕΠΔ θα φιλοξενεί τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η οποία αντικαθιστά την ομάδα εργασίας του άρθρου 29. Βάσει του παρόντος φόρτου εργασίας της Επιτροπής για το συγκεκριμένο καθήκον, αυτό σημαίνει ότι απαιτούνται 3 πρόσθετα ΙΠΑ μαζί με τις αντίστοιχες διοικητικές και επιχειρησιακές δαπάνες. Ο συγκεκριμένος φόρτος εργασίας θα ξεκινήσει από την έναρξη ισχύος του κανονισμού.

Επιπλέον, ο ΕΕΠΔ θα διαδραματίζει ρόλο στον μηχανισμό συνεκτικότητας, ο οποίος αναμένεται να απαιτήσει 5 ΙΠΑ, καθώς και στην ανάπτυξη και στη θέση σε λειτουργία ενός κοινού εργαλείου ΤΠ για τις εθνικές αρχές προστασίας δεδομένων, η οποία θα απαιτήσει 2 πρόσθετους υπαλλήλους.

Ο υπολογισμός της αύξησης του αναγκαίου προϋπολογισμού του προσωπικού για την πρώτη επταετία παρουσιάζεται αναλυτικότερα στον πίνακα που ακολουθεί. Ο δεύτερος πίνακας παρουσιάζει τον απαιτούμενο επιχειρησιακό προϋπολογισμό. Αυτός θα αντικατοπτρίζεται στον προϋπολογισμό της ΕΕ στο τμήμα IX ΕΕΠΔ.

Είδος δαπάνης || Υπολογισμός || Ποσό (σε χιλιάδες)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Σύνολο

Μισθοί και επιδόματα || || || || || || || || ||

- προέδρου Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

- εκ των οποίων μόνιμοι και έκτακτοι υπάλληλοι || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

- εκ των οποίων ΑΕΕ || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

- εκ των οποίων συμβασιούχοι υπάλληλοι || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Δαπάνες που σχετίζονται με τις προσλήψεις || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Δαπάνες για αποστολές || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Άλλες δαπάνες, κατάρτιση || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Σύνολο διοικητικής δαπάνης || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Περιγραφή των προς εκτέλεση καθηκόντων:

Μόνιμοι και έκτακτοι υπάλληλοι || Αρμόδιοι υπάλληλοι υπεύθυνοι για τη γραμματεία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Εκτός από την υλικοτεχνική στήριξη, συμπεριλαμβανομένων δημοσιονομικών και συμβατικών θεμάτων, αυτό περιλαμβάνει την προετοιμασία της ημερήσιας διάταξης συνεδριάσεων και τις προσκλήσεις εμπειρογνωμόνων, την έρευνα σε θέματα που περιλαμβάνονται στην ημερήσια διάταξη της ομάδας, τη διαχείριση των εγγράφων που σχετίζονται με τις εργασίες της ομάδας, συμπεριλαμβανομένων των σχετικών απαιτήσεων προστασίας δεδομένων, εμπιστευτικότητας και πρόσβασης του κοινού. Λαμβάνοντας υπόψη όλες τις υποομάδες και τις ομάδες εμπειρογνωμόνων, ενδέχεται να πρέπει να διοργανώνονται ετησίως έως 50 συνεδριάσεις και διαδικασίες λήψης αποφάσεων. Υπάλληλοι αρμόδιοι για τον χειρισμό υποθέσεων, οι οποίοι εφαρμόζουν τον μηχανισμό συνεκτικότητας προστασίας των δεδομένων, ώστε να διασφαλίζεται η ενιαία εφαρμογή των κανόνων της ΕΕ για την προστασία των δεδομένων. Τα καθήκοντα περιλαμβάνουν διερεύνηση και έρευνα περιπτώσεων που υποβάλλονται για τη λήψη απόφασης από τις αρχές κρατών μελών, διαπραγμάτευση με τα κράτη μέλη και προετοιμασία των αποφάσεων της Επιτροπής. Βάσει πρόσφατων εμπειριών, 5 έως 10 περιπτώσεις ετησίως ενδέχεται να απαιτούν την εφαρμογή του μηχανισμού συνεκτικότητας. Το εργαλείο ΤΠ θα απλουστεύσει την επιχειρησιακή αλληλεπίδραση μεταξύ των εθνικών αρχών προστασίας δεδομένων και των υπευθύνων επεξεργασίας δεδομένων οι οποίοι υποχρεούνται να ανταλλάσσουν πληροφορίες με τις δημόσιες αρχές. Οι αρμόδιοι υπάλληλοι θα διασφαλίζουν τον έλεγχο ποιότητας, τη διαχείριση των έργων και τη δημοσιονομική παρακολούθηση των διαδικασιών ΤΠ σχετικά με τη μηχανική των απαιτήσεων, την υλοποίηση και τη θέση σε λειτουργία των συστημάτων.

Εξωτερικό προσωπικό || Διοικητική και γραμματειακή υποστήριξη.

Δαπάνες για τον ΕΕΠΔ σχετικές με συγκεκριμένα καθήκοντα

Αναγράφονται οι στόχοι και οι υλοποιήσεις ò || || || Έτος N=2014 || Έτος N+1 || Έτος N+2 || Έτος N+3 || Να εισαχθούν όσα έτη χρειάζονται, ώστε να αντικατοπτρίζεται η διάρκεια του αντίκτυπου (πρβλ. σημείο 1.6) || ΣΥΝΟΛΟ

ΥΛΟΠΟΙΗΣΗ

Είδος υλοποίησης[69] || Μέσο κόστος υλοποίησης || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Αριθμός υλοποιήσεων || Κόστος || Συνολικός αριθμός υλοποιήσεων || Σύνολο κόστους

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 1[70] || Γραμματεία Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων

- Υλοποίηση || Περιπτώσεις[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3.200

Υποσύνολο για τον ειδικό στόχο αριθ. 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 2 || Μηχανισμός συνεκτικότητας

- Υλοποίηση || Αρχεία[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2.950

Υποσύνολο για τον ειδικό στόχο αριθ. 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

ΕΙΔΙΚΟΣ ΣΤΟΧΟΣ αριθ. 3 || Κοινό εργαλείο ΤΠ για αρχές προστασίας δεδομένων (ΕΕΠΔ)

- Υλοποίηση || Περιπτώσεις[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4.100

Υποσύνολο για τον ειδικό στόχο αριθ. 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

ΣΥΝΟΛΟ ΚΟΣΤΟΥΣ || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               «Safeguarding Privacy in a Connected World – A European Data Protection Framework for the 21st Century» (Προστασία της ιδιωτικής ζωής σε έναν συνδεδεμένο κόσμο – Ένα ευρωπαϊκό πλαίσιο προστασίας των δεδομένων για τον 21ο αιώνα) COM(2012) 9 τελικό.

[2]               COM(2012) 10 τελικό.

[3]               Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281 της 23.11.1995, σ. 31.

[4]               Απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, ΕΕ L 350 της 30.12.2008, σ. 60 (η «απόφαση-πλαίσιο»).

[5]               COM(2010)245 τελικό.

[6]               COM(2010)2020 τελικό.

[7]               «Το Πρόγραμμα της Στοκχόλμης – Μια ανοικτή και ασφαλής Ευρώπη που εξυπηρετεί και προστατεύει τους πολίτες», ΕΕ C 115 της 4.5.2010, σ. 1.

[8]               Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου σχετικά με την ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο – Ένας χώρος ελευθερίας, ασφάλειας και δικαιοσύνης στην υπηρεσία των πολιτών – Πρόγραμμα της Στοκχόλμης, εγκρίθηκε στις 25 Νοεμβρίου 2009 (P7_TA(2009)0090).

[9]               COM(2010)171 τελικό.

[10]             COM(2010)609 τελικό.

[11]             Έκτακτο Ευρωβαρόμετρο (EB) 359, Data Protection and Electronic Identity in the EU (Προστασία των δεδομένων και ηλεκτρονική ταυτότητα στην ΕΕ) (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Οι μη εμπιστευτικές απαντήσεις είναι διαθέσιμες στον δικτυακό τόπο της Επιτροπής στη διεύθυνση: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Οι μη εμπιστευτικές απαντήσεις είναι διαθέσιμες στον δικτυακό τόπο της Επιτροπής στη διεύθυνση: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών, ο οποίος ασχολείται με ζητήματα ασφάλειας που σχετίζονται με δίκτυα επικοινωνιών και συστήματα πληροφοριών.

[18]             Βλ. http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Έκτακτο Ευρωβαρόμετρο (EB) 359, Data Protection and Electronic Identity in the EU (Προστασία των δεδομένων και ηλεκτρονική ταυτότητα στην ΕΕ) (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Βλ. Study on the economic benefits of privacy enhancing technologies (Μελέτη για τα οικονομικά οφέλη των τεχνολογιών βελτίωσης της προστασίας της ιδιωτικής ζωής) και Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments (Συγκριτική μελέτη διαφορετικών προσεγγίσεων των νέων προκλήσεων για την ιδιωτική ζωή, ιδίως εν όψει των τεχνολογικών εξελίξεων), Ιανουάριος 2010             (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Η ομάδα εργασίας συστάθηκε το 1996 (βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ) με συμβουλευτικό καθεστώς και απαρτίζεται από εκπροσώπους των εθνικών αρχών ελέγχου προστασίας δεδομένων, τον Ευρωπαίο Επόπτη Προστασίας των Δεδομένων (ΕΕΠΔ) και την Επιτροπή. Για περισσότερες πληροφορίες σχετικά με τις δραστηριότητές της, βλ. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Βλ. ειδικότερα τις ακόλουθες γνώμες: σχετικά με το μέλλον της προστασίας της ιδιωτικής ζωής (2009, WP 168)· σχετικά με τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία» (1/2010, WP 169)· σχετικά με την επιγραμμική συμπεριφορική διαφήμιση (2/2010, WP 171)· σχετικά με την αρχή της λογοδοσίας (3/2010, WP 173)· σχετικά με το εφαρμοστέο δίκαιο (8/2010, WP 179)· σχετικά με τον ορισμό της συγκατάθεσης (15/2011, WP 187). Κατόπιν αιτήματος της Επιτροπής, εξέδωσε επίσης τα τρία ακόλουθα συμβουλευτικά έγγραφα: για τις κοινοποιήσεις, για τα ευαίσθητα δεδομένα και για την πρακτική εφαρμογή του άρθρου 28 παράγραφος 6 της οδηγίας για την προστασία των δεδομένων. Όλα τα έγγραφα είναι διαθέσιμα στη διεύθυνση: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm

[23]             Διατίθεται στον δικτυακό τόπο του ΕΕΠΔ: http://www.edps.europa.eu/EDPSWEB/.

[24]             Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 6ης Ιουλίου 2011 σχετικά με τη συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EL&ring=A7-2011-0244 (εισηγητής: Axel Voss, βουλευτής ΕΚ (EPP/DE)).

[25]             SEC(2012)72.

[26]             CESE 999/2011.

[27]             Δικαστήριο της ΕΕ, απόφαση της 9.11.2010, συνεκδικασθείσες υποθέσεις C-92/09 και C-93/09 Volker und Markus Schecke και Eifert, Συλλογή 2010, σ. I-0000.

[28]             Σύμφωνα με το άρθρο 52 παράγραφος 1 του Χάρτη, επιτρέπεται η επιβολή περιορισμών στην άσκηση του δικαιώματος προστασίας των δεδομένων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, σέβονται το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ελευθεριών και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος που αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων.

[29]             Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.07.2002, σ. 37.

[30]             Οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009, για τροποποίηση της οδηγίας 2002/22/ΕΚ για την καθολική υπηρεσία και τα δικαιώματα των χρηστών όσον αφορά δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, της οδηγίας 2002/58/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του κανονισμού (ΕΚ) αριθ. 2006/2004 για τη συνεργασία μεταξύ των εθνικών αρχών που είναι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των καταναλωτών, Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ, ΕΕ L 337 της 18.12.2009, σ. 11.

[31]             Εγκρίθηκε και είναι ανοικτή για υπογραφή, κύρωση και προσχώρηση βάσει της απόφασης 44/25 της Γενικής Συνέλευσης των Ηνωμένων Εθνών της 20.11.1989.

[32]             Εγκρίθηκε από τη Διεθνή Διάσκεψη επιτρόπων για την προστασία των δεδομένων και την ιδιωτική ζωή στις 5 Νοεμβρίου 2009. Πρβλ. επίσης άρθρο 13 παράγραφος 3 της πρότασης κανονισμού σχετικά με τη θέσπιση κοινού ευρωπαϊκού δικαίου των πωλήσεων (COM(2011)635 τελικό).

[33]             CM/Rec (2010)13.

[34]             Δικαστήριο της ΕΕ, απόφαση της 9.3.2010, Επιτροπή / Γερμανία, υπόθεση C-518/07, Συλλογή 2010, σ. I-1885.

[35]             Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 008 της 12.01.2001, σ.1.

[36]             Βλ. υποσημείωση 34.

[37]             Απόφαση 2008/615/ΔΕΥ του Συμβουλίου, της 23ης Ιουνίου 2008, σχετικά με την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος, ΕΕ L 210 της 6.8.2008, σ. 1.

[38]             Βάσει του άρθρου 5 παράγραφος 1 της απόφασης-πλαισίου 2009/948/ΔΕΥ του Συμβουλίου, της 30ής Νοεμβρίου 2009, για την πρόληψη και τον διακανονισμό συγκρούσεων δικαιοδοσίας σε ποινικές υποθέσεις, ΕΕ L 328, της 15.12.2009, σ. 42, και του άρθρου 13 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 1/2003 του Συμβουλίου, της 16ης Δεκεμβρίου 2002, για την εφαρμογή των κανόνων ανταγωνισμού που προβλέπονται στα άρθρα 81 και 82 της συνθήκης, ΕΕ L 1 της 04.01.2003, σ.1.

[39]             Βάσει του άρθρου 18 παράγραφος 1 της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»), ΕΕ L 178 της 17.7.2000, σ. 1.

[40]             Πρβλ. για την ερμηνεία, π.χ. Δικαστήριο της ΕΕ, απόφαση της 16ης Δεκεμβρίου 2008, Satakunnan Markkinapörssi και Satamedia (C-73/07, Συλλογή 2008, σ. I-9831)

[41]             ΕΕ C , , σ. .

[42]             ΕΕ C , , σ. .

[43]             ΕΕ L 281 της 23.11.1995, σ. 31.

[44]             ΕΕ L 8 της 12.1.2001, σ. 1.

[45]             Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή, ΕΕ L 55 της 28.2.2011, σ. 13.

[46]             ΕΕ L 176 της 10.7.1999, σ. 36.

[47]             ΕΕ L 53 της 27.2.2008, σ. 52

[48]             ΕΕ L 160 της 18.6.2011, σ. 19.

[49]             ΔΒΔ: διαχείριση βάσει δραστηριοτήτων· ΠΒΔ: προϋπολογισμός βάσει δραστηριοτήτων.

[50]             Όπως αναφέρεται στο άρθρο 49 παράγραφος 6 στοιχείο α) ή β) του δημοσιονομικού κανονισμού.

[51]             Αναλυτικά στοιχεία για τους τρόπους διαχείρισης και παραπομπές στον δημοσιονομικό κανονισμό μπορείτε να βρείτε στον δικτυακό τόπο BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Όπως αναφέρεται στο άρθρο 185 του δημοσιονομικού κανονισμού.

[53]             ΔΠ = Διαχωριζόμενες πιστώσεις / ΜΔΠ = Μη διαχωριζόμενες πιστώσεις.

[54]             ΕΖΕΣ: Ευρωπαϊκή Ζώνη Ελεύθερων Συναλλαγών.

[55]             Υποψήφιες χώρες και, ενδεχομένως, δυνάμει υποψήφιες χώρες των Δυτικών Βαλκανίων.

[56]             Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.

[57]             Τεχνική ή/και διοικητική βοήθεια και δαπάνες στήριξης της εφαρμογής προγραμμάτων ή/και δράσεων της ΕΕ (πρώην γραμμές «BA»), έμμεση έρευνα, άμεση έρευνα.

[58]             Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.

[59]             Οι υλοποιήσεις αφορούν τα προϊόντα και τις υπηρεσίες που θα παρασχεθούν (π.χ. αριθμός ανταλλαγών σπουδαστών που χρηματοδοτήθηκαν, χιλιόμετρα δρόμων που κατασκευάστηκαν κ.λπ.).

[60]             Γνώμες, αποφάσεις, διαδικασίες, συνεδριάσεις της επιτροπής.

[61]             Περιπτώσεις που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

[62]             Το έτος N είναι το έτος έναρξης εφαρμογής της πρότασης/πρωτοβουλίας.

[63]             Τεχνική ή/και διοικητική βοήθεια και δαπάνες στήριξης της εφαρμογής προγραμμάτων ή/και δράσεων της ΕΕ (πρώην γραμμές «BA»), έμμεση έρευνα, άμεση έρευνα.

[64]             ΣΥ = Συμβασιούχος υπάλληλος· ΠΠ = Προσωρινό προσωπικό («Intιrimaire»), ΝΕΑ = Νεαρός εμπειρογνώμονας σε αντιπροσωπεία («Jeune Expert en Délégation»), ΤΥ = Τοπικός υπάλληλος, ΑΕΕ=Αποσπασμένος εθνικός εμπειρογνώμονας.

[65]                    Κάτω από το ανώτατο όριο για εξωτερικό προσωπικό από τις πιστώσεις λειτουργίας (πρώην γραμμές «ΒΑ»).

[66]                    Κυρίως για τα Διαρθρωτικά Ταμεία, το Ευρωπαϊκό Γεωργικό Ταμείο Αγροτικής Ανάπτυξης (ΕΓΤΑΑ) και το Ευρωπαϊκό Ταμείο Αλιείας (ΕΤΑ).

[67]             Βλ. σημεία 19 και 24 της διοργανικής συμφωνίας.

[68]             Όσον αφορά τους παραδοσιακούς ιδίους πόρους (δασμούς, εισφορές ζάχαρης) τα αναγραφόμενα ποσά πρέπει να είναι καθαρά ποσά, δηλαδή τα ακαθάριστα ποσά μετά την αφαίρεση του 25% για έξοδα είσπραξης.

[69]                    Οι υλοποιήσεις αφορούν τα προϊόντα και τις υπηρεσίες που θα παρασχεθούν (π.χ. αριθμός ανταλλαγών σπουδαστών που χρηματοδοτήθηκαν, χιλιόμετρα δρόμων που κατασκευάστηκαν κ.λπ.).

[70]             Όπως περιγράφεται στην παράγραφο 1.4.2. «Ειδικός(οί) στόχος(οι) …».

[71]             Περιπτώσεις που εξετάζονται στο πλαίσιο του μηχανισμού συνεκτικότητας.

[72]             Γνώμες, αποφάσεις, διαδικασίες, συνεδριάσεις της επιτροπής.

[73]             Τα σύνολα για κάθε έτος αποτελούν εκτιμήσεις των προσπαθειών ανάπτυξης και θέσης σε λειτουργία των εργαλείων ΤΠ.