Προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ

 

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Κανονισμός (ΕΕ) 2018/1725 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ και την ελεύθερη κυκλοφορία των δεδομένων αυτών

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ;

Ο κανονισμός:

• προβλέπει κανόνες σχετικά με τον τρόπο με τον οποίο τα θεσμικά και λοιπά όργανα και οι οργανισμοί της ΕΕ θα πρέπει να διαχειρίζονται τα δεδομένα προσωπικού χαρακτήρα* που διαθέτουν για πρόσωπα·
• υποστηρίζει τα θεμελιώδη δικαιώματα και τις θεμελιώδεις ελευθερίες των προσώπων, ιδίως το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα και το δικαίωμα στην ιδιωτική ζωή·
• εναρμονίζει τους κανόνες για τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ με τους κανόνες του γενικού κανονισμού για την προστασία δεδομένων (ΓΚΠΔ) και της οδηγίας (ΕΕ) 2016/680, γνωστής ως οδηγία για την επιβολή του νόμου, που εφαρμόζονται από τον Μάιο του 2018·
• καταργεί τον κανονισμό (ΕΚ) αριθ. 45/2001, ο οποίος περιελάμβανε μέχρι τώρα τους κανόνες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ, και διασφαλίζει ότι οι εν λόγω κανόνες συμμορφώνονται με τα ίδια αυστηρά πρότυπα, όπως ορίζονται στον ΓΚΠΔ·
• καταργεί την απόφαση αριθ. 1247/2002/ΕΚ σχετικά με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ).

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

• να υποβάλλονται σε επεξεργασία με σύννομο, θεμιτό και διαφανή τρόπο·
• να συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς·
• να είναι κατάλληλα, συναφή και να περιορίζονται στα αναγκαία·
• να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται·
• να αποθηκεύονται κατά τρόπο ώστε η εξακρίβωση της ταυτότητας των προσώπων να είναι δυνατή μόνο για το διάστημα που απαιτείται·
• να υποβάλλονται σε επεξεργασία με τη δέουσα εμπιστευτικότητα.

Ο υπεύθυνος επεξεργασίας* φέρει την ευθύνη και οφείλει να είναι σε θέση να αποδείξει τη συμμόρφωση με όλες τις προαναφερόμενες αρχές επεξεργασίας δεδομένων.

Επιπροσθέτως, τα δεδομένα προσωπικού χαρακτήρα:

• μπορούν να διαβιβάζονται σε αποδέκτη στην ΕΕ που δεν είναι θεσμικό ή άλλο όργανο ή οργανισμός της ΕΕ μόνο υπό την επιφύλαξη πρόσθετων εγγυήσεων·
• μπορούν να διαβιβάζονται εκτός της ΕΕ μόνο υπό αυστηρούς όρους·
• που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό δεν πρέπει να υποβάλλονται σε επεξεργασία παρά μόνο σε ειδικές περιπτώσεις·
• χρειάζονται κατάλληλες εγγυήσεις σε περίπτωση αρχειοθέτησης προς το δημόσιο συμφέρον ή για επιστημονικούς, ιστορικούς ή στατιστικούς σκοπούς.

Τα αιτήματα συγκατάθεσης ενός προσώπου για τη χρήση των δεδομένων του πρέπει να είναι σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Η συγκατάθεση πρέπει να αποτελεί σαφή θετική ενέργεια από το πρόσωπο.

Τα πρόσωπα (γνωστά ως «υποκείμενα των δεδομένων» στη νομοθεσία) έχουν τα εξής δικαιώματα:

• να ανακαλούν τη συγκατάθεσή τους ανά πάσα στιγμή, και η εν λόγω ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της·
• να γνωρίζουν κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υφίστανται επεξεργασία και να έχουν πρόσβαση σε αυτά·
• να επιτυγχάνουν τη διόρθωση τυχόν ανακριβών δεδομένων προσωπικού χαρακτήρα·
• να αφαιρούν δεδομένα προσωπικού χαρακτήρα ή να περιορίζουν την επεξεργασία τους εφόσον πληρούνται ορισμένες προϋποθέσεις·
• να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που παρέχονται στον υπεύθυνο επεξεργασίας σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο και να τα διαβιβάζουν σε άλλον υπεύθυνο επεξεργασίας·
• να αντιτίθενται στη χρήση των προσωπικών τους δεδομένων για σκοπούς δημόσιου συμφέροντος, λόγω της ιδιαίτερης κατάστασής τους·
• να μην υπόκεινται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία έχει έννομες συνέπειες για αυτά·
• να υποβάλλουν καταγγελία στον ΕΕΠΔ εάν θεωρούν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν πραγματοποιείται κατά τρόπο που παραβιάζει τον κανονισμό·
• να αποζημιώνονται για κάθε υλική ή μη υλική ζημία που υφίστανται εξαιτίας των ενεργειών θεσμικού ή άλλου οργάνου ή οργανισμού της ΕΕ·
• να αναθέτουν σε μη κερδοσκοπική οργάνωση να υποβάλει καταγγελία στον ΕΕΠΔ.

Οι υπεύθυνοι επεξεργασίας:

• οφείλουν να ενημερώνουν τα υποκείμενα των δεδομένων σε απλή γλώσσα και με τεκμηριωμένα στοιχεία, όπως τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, κατά τη συλλογή των εν λόγω δεδομένων προσωπικού χαρακτήρα·
• πρέπει να απαντούν σε τυχόν αιτήματα των υποκειμένων των δεδομένων, όπως αιτήματα πρόσβασης ή διόρθωσης των προσωπικών τους δεδομένων, το συντομότερο δυνατόν και το αργότερο εντός 1 μηνός·
• εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένης της ψευδωνυμοποίησης*, ώστε να διασφαλίζεται η συμμόρφωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με τον κανονισμό·
• πρέπει να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που πληρούν τις απαιτήσεις της ΕΕ·
• διατηρούν λεπτομερή αρχεία για την επεξεργασία δεδομένων που τελείται υπό την ευθύνη τους·
• συνεργάζονται με τον ΕΕΠΔ·
• γνωστοποιούν στον ΕΕΠΔ , σε ορισμένες περιπτώσεις, και στο ενδιαφερόμενο πρόσωπο κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν·
• εκτιμούν τον αντίκτυπο των νέων τεχνολογιών επεξεργασίας για συγκεκριμένη υψηλού κινδύνου επεξεργασία δεδομένων προσωπικού χαρακτήρα·
• διασφαλίζουν το απόρρητο και την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών·
• ενημερώνουν τον ΕΕΠΔ κατά την κατάρτιση διοικητικών μέτρων ή εσωτερικών κανόνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η νομοθεσία προβλέπει τη δημιουργία της θέσης του ΕΕΠΔ ο οποίος διορίζεται για πενταετή θητεία που είναι ανανεώσιμη άπαξ. Με έδρα στις Βρυξέλλες, ο κάτοχος της θέσης:

• ενεργεί με πλήρη ανεξαρτησία·
• διαχειρίζεται όλες τις εμπιστευτικές πληροφορίες με βάση το επαγγελματικό απόρρητο·
• παρακολουθεί τον τρόπο εφαρμογής της νομοθεσίας από τα θεσμικά και λοιπά όργανα ή τους οργανισμούς της ΕΕ·
• προωθεί την κατανόηση και την ευαισθητοποίηση του κοινού για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα·
• χειρίζεται τις καταγγελίες και διενεργεί έρευνες·
• προειδοποιεί και επιβάλλει κυρώσεις στους υπευθύνους επεξεργασίας δεδομένων·
• προσφεύγει στο Δικαστήριο, το οποίο χειρίζεται τυχόν διαφορές επί της νομοθεσίας·
• υποβάλλει ετήσια έκθεση στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Ευρωπαϊκή Επιτροπή·
• συνεργάζεται με τις εθνικές εποπτικές αρχές προστασίας δεδομένων.

Εσωτερικός κανονισμός του ΕΕΠΔ

Η απόφαση της 15ης Μαΐου 2020 θεσπίζει τον εσωτερικό κανονισμό του ΕΕΠΔ. Καθορίζει λεπτομερώς:

• την αποστολή, τις κατευθυντήριες αρχές και την οργάνωση του ΕΕΠΔ·
• τον τρόπο που θα παρακολουθείται και θα εξασφαλίζεται η εφαρμογή του κανονισμού·
• τις διαδικασίες για τη νομοθετική διαβούλευση, την παρακολούθηση της τεχνολογίας, τα ερευνητικά έργα και τις δικαστικές διαδικασίες· και
• τις διαδικασίες για τη συνεργασία με τις εθνικές αρχές εποπτείας και τη διεθνή συνεργασία.

Ειδικοί κανόνες για τα όργανα και τους οργανισμούς της ΕΕ

Εφαρμόζονται ειδικοί κανόνες στα όργανα και στους οργανισμούς της ΕΕ που επεξεργάζονται επιχειρησιακά δεδομένα προσωπικού χαρακτήρα* για σκοπούς επιβολής του νόμου (π.χ. Eurojust). Καλύπτονται από ένα συγκεκριμένο κεφάλαιο του κανονισμού. Οι κανόνες στο εν λόγω κεφάλαιο εναρμονίζονται με την οδηγία περί επιβολής του νόμου. Επιπλέον, στις ιδρυτικές πράξεις αυτών των οργάνων και οργανισμών, μπορούν να θεσπίζονται ειδικότεροι κανόνες ώστε να λαμβάνονται υπόψη τα ιδιαίτερα χαρακτηριστικά τους.

Η επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από την Ευρωπόλ και την Ευρωπαϊκή Εισαγγελία εξαιρείται από το πεδίο εφαρμογής του κανονισμού και αντ’ αυτού διέπεται από ειδικές διατάξεις των νομικών πράξεων που τα θεσπίζουν. Ωστόσο, η διοικητική επεξεργασία των προσωπικών τους δεδομένων (π.χ. για τη διαχείριση προσωπικού) υπόκειται στον κανονισμό.

Υπεύθυνοι προστασίας δεδομένων

Ο ΕΕΠΔ διορίζει επίσης υπεύθυνο προστασίας δεδομένων για περίοδο 3 έως 5 ετών ο οποίος:

• παρέχει ανεξάρτητες συμβουλές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
• παρακολουθεί τη συμμόρφωση με τους κανόνες προστασίας δεδομένων.

Εκθέσεις

Η Ευρωπαϊκή Επιτροπή πρέπει να υποβάλει την πρώτη της έκθεση σχετικά με την εφαρμογή του κανονισμού έως τις 30 Απριλίου 2022.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Ο ΚΑΝΟΝΙΣΜΟΣ;

Ο κανονισμός εφαρμόζεται από τις 11 Δεκεμβρίου 2018, εξαιρουμένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Eurojust που εφαρμόστηκε από τις 12 Δεκεμβρίου 2019.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων αναφέρει ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα. Το άρθρο 16 της Συνθήκης για τη λειτουργία της ΕΕ αναπτύσσει περαιτέρω αυτό το δικαίωμα. Το άρθρο αυτό αποτελεί τη νομική βάση για κάθε νομοθετική πράξη της ΕΕ που αφορά την προστασία δεδομένων.

Για περισσότερες πληροφορίες, δείτε:

• Προστασία δεδομένων στην ΕΕ (Ευρωπαϊκή Επιτροπή).

ΒΑΣΙΚΟΙ ΟΡΟΙ

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39–98).

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Απόφαση (ΕΕ) 2020/969 της Επιτροπής, της 3ης Ιουλίου 2020, για τη θέσπιση διατάξεων εφαρμογής όσον αφορά τον υπεύθυνο προστασίας δεδομένων, τους περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων και την εφαρμογή του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, και για την κατάργηση της απόφασης 2008/597/ΕΚ της Επιτροπής (ΕΕ L 213 της 6.7.2020, σ. 12–22).

Απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της 15 Μαΐου 2020, για την έκδοση του εσωτερικού κανονισμού του ΕΕΠΔ (ΕΕ L 204 της 26.6.2020, σ. 49–59).

Απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της 2ας Απριλίου 2019, σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων που άπτονται της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εκτελούμενων δραστηριοτήτων από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕ L 99I της 10.4.2019, σ. 1–7).

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1–88).

Διαδοχικές τροποποιήσεις του κανονισμού (ΕΕ) 2016/679 έχουν ενσωματωθεί στο αρχικό κείμενο. Αυτή η ενοποιημένη απόδοση αποτελεί απλώς εργαλείο τεκμηρίωσης.

Οδηγία (EΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89–131).

Βλέπε την ενοποιημένη απόδοση.

τελευταία ενημέρωση 14.01.2022