EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32018R1725

Προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ

Προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ

 

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Κανονισμός (ΕΕ) 2018/1725 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ και την ελεύθερη κυκλοφορία των δεδομένων αυτών

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ;

Ο κανονισμός:

  • προβλέπει κανόνες σχετικά με τον τρόπο με τον οποίο τα θεσμικά και λοιπά όργανα και οι οργανισμοί της ΕΕ θα πρέπει να διαχειρίζονται τα δεδομένα προσωπικού χαρακτήρα* που διαθέτουν για πρόσωπα·
  • υποστηρίζει τα θεμελιώδη δικαιώματα και ελευθερίες των προσώπων, ιδίως το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα και το δικαίωμα στην ιδιωτική ζωή·
  • ευθυγραμμίζει τους κανόνες για τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ με τους κανόνες του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) και της οδηγίας (ΕΕ) 2016/680, γνωστής ως οδηγία περί επιβολής του νόμου, η οποία ισχύει από τον Μάιο του 2018·
  • καταργεί τον κανονισμό (ΕΚ) αριθ. 45/2001, ο οποίος περιελάμβανε μέχρι τώρα τους κανόνες σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ, και διασφαλίζει ότι οι εν λόγω κανόνες συμμορφώνονται με τα ίδια αυστηρά πρότυπα, όπως ορίζονται στον ΓΚΠΔ·
  • καταργεί την απόφαση αριθ. 1247/2002/ΕΚ σχετικά με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ).

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Τα δεδομένα προσωπικού χαρακτήρα πρέπει:

  • να υποβάλλονται σε επεξεργασία με σύννομο, θεμιτό και διαφανή τρόπο·
  • να συλλέγονται για συγκεκριμένους, ρητούς και νόμιμους σκοπούς·
  • να είναι κατάλληλα, συναφή και να περιορίζονται στα αναγκαία·
  • να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται·
  • να αποθηκεύονται κατά τρόπο ώστε η εξακρίβωση της ταυτότητας των προσώπων να είναι δυνατή μόνο για το διάστημα που απαιτείται·
  • να υποβάλλονται σε επεξεργασία με τη δέουσα εμπιστευτικότητα.

Ο υπεύθυνος επεξεργασίας* φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με όλες τις προαναφερόμενες αρχές επεξεργασίας δεδομένων (βλέπε κατωτέρω).

Τα δεδομένα προσωπικού χαρακτήρα:

  • μπορούν να διαβιβάζονται σε αποδέκτη στην ΕΕ που δεν είναι θεσμικό ή άλλο όργανο ή οργανισμός της ΕΕ μόνο υπό την επιφύλαξη πρόσθετων εγγυήσεων·
  • μπορούν να διαβιβάζονται εκτός της ΕΕ μόνο υπό αυστηρούς όρους·
  • δεν πρέπει να υποβάλλονται σε επεξεργασία, εκτός από ειδικές περιστάσεις, εάν αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικάτα, τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός προσώπου·
  • χρειάζονται κατάλληλες εγγυήσεις σε περίπτωση αρχειοθέτησης προς το δημόσιο συμφέρον ή για επιστημονικούς, ιστορικούς ή στατιστικούς σκοπούς.

Τα αιτήματα συγκατάθεσης ενός προσώπου για τη χρήση των δεδομένων του πρέπει να είναι σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Η συγκατάθεση πρέπει να αποτελεί σαφή θετική ενέργεια από το πρόσωπο.

Τα πρόσωπα (γνωστά ως «υποκείμενα των δεδομένων» στη νομοθεσία) έχουν τα εξής δικαιώματα:

  • να ανακαλούν τη συγκατάθεσή τους ανά πάσα στιγμή, και η εν λόγω ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της·
  • να γνωρίζουν κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υφίστανται επεξεργασία και να έχουν πρόσβαση σε αυτά·
  • να διασφαλίζουν τη διόρθωση τυχόν ανακριβών δεδομένων προσωπικού χαρακτήρα·
  • να αφαιρούν δεδομένα προσωπικού χαρακτήρα ή να περιορίζουν την επεξεργασία τους εφόσον πληρούνται ορισμένες προϋποθέσεις·
  • να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο·
  • να εναντιώνονται, λόγω της ιδιαίτερης κατάστασής τους, στη χρήση των δεδομένων προσωπικού χαρακτήρα που τα αφορούν για σκοπούς δημόσιου συμφέροντος·
  • να μην υπόκεινται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία έχει έννομες συνέπειες για αυτά·
  • να υποβάλλουν καταγγελία στον ΕΕΠΔ εάν θεωρούν ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν πραγματοποιείται κατά τρόπο που παραβιάζει τον κανονισμό·
  • να αποζημιώνονται για κάθε υλική ή μη υλική ζημία που υφίστανται εξαιτίας των ενεργειών θεσμικού ή άλλου οργάνου ή οργανισμού της ΕΕ·
  • να αναθέτουν σε μη κερδοσκοπική οργάνωση να υποβάλει καταγγελία στον ΕΕΠΔ.

Οι υπεύθυνοι επεξεργασίας:

  • οφείλουν να ενημερώνουν τα πρόσωπα σε απλή γλώσσα και με πραγματικές πληροφορίες, όπως τα στοιχεία επικοινωνίας και ο στόχος της άσκησης, κατά τη συλλογή δεδομένων προσωπικού χαρακτήρα·
  • πρέπει να ανταποκρίνονται σε κάθε αίτημα υποκειμένου των δεδομένων, όπως το αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που το αφορούν ή τροποποίησης ή διόρθωσης των περιεχομένων τους, το συντομότερο δυνατόν και το αργότερο σε ένα μήνα·
  • εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένης της ψευδωνυμοποίησης*, ώστε να διασφαλίζεται η συμμόρφωση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με τον κανονισμό·
  • πρέπει να χρησιμοποιούν μόνο εκτελούντες επεξεργασία που πληρούν τις απαιτήσεις της ΕΕ·
  • διατηρούν λεπτομερή αρχεία για την επεξεργασία δεδομένων υπ’ ευθύνη τους·
  • συνεργάζονται με τον ΕΕΠΔ·
  • γνωστοποιούν στον ΕΕΠΔ και στο ενδιαφερόμενο πρόσωπο κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν·
  • εκτιμούν τον αντίκτυπο των νέων τεχνολογιών επεξεργασίας για την προστασία των δεδομένων προσωπικού χαρακτήρα·
  • διασφαλίζουν το απόρρητο και την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών·
  • ενημερώνουν τον ΕΕΠΔ κατά την κατάρτιση διοικητικών μέτρων ή εσωτερικών κανόνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
  • διορίζουν υπεύθυνο προστασίας δεδομένων για περίοδο τριών έως πέντε ετών ο οποίος:
    • παρέχει ανεξάρτητες συμβουλές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα
    • παρακολουθεί τη συμμόρφωση με τους κανόνες προστασίας δεδομένων.

Η νομοθεσία προβλέπει τον διορισμό Ευρωπαίου Επόπτη Προστασίας Δεδομένων για πενταετή θητεία που είναι ανανεώσιμη άπαξ. Με έδρα στις Βρυξέλλες, ο κάτοχος της θέσης:

  • ενεργεί με πλήρη ανεξαρτησία·
  • διαχειρίζεται όλες τις εμπιστευτικές πληροφορίες με βάση το επαγγελματικό απόρρητο·
  • παρακολουθεί τον τρόπο εφαρμογής της νομοθεσίας από τα θεσμικά και λοιπά όργανα ή τους οργανισμούς της ΕΕ·
  • προωθεί την κατανόηση και την ευαισθητοποίηση του κοινού για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα·
  • χειρίζεται τις καταγγελίες και διενεργεί έρευνες·
  • προειδοποιεί και επιβάλλει κυρώσεις στους υπευθύνους επεξεργασίας δεδομένων·
  • προσφεύγει στο Δικαστήριο, το οποίο χειρίζεται τυχόν διαφορές επί της νομοθεσίας·
  • υποβάλλει ετήσια έκθεση στο Ευρωπαϊκό Κοινοβούλιο, την Επιτροπή και το Συμβούλιο·
  • συνεργάζεται με τις εθνικές εποπτικές αρχές προστασίας δεδομένων.

Ισχύουν ειδικοί κανόνες:

  • Τα όργανα και οι οργανισμοί της ΕΕ που επεξεργάζονται επιχειρησιακά δεδομένα προσωπικού χαρακτήρα* για τους σκοπούς της επιβολής του νόμου (π.χ. Eurojust) καλύπτονται από ειδικό κεφάλαιο του κανονισμού. Οι κανόνες στο εν λόγω κεφάλαιο είναι ευθυγραμμισμένοι με την οδηγία περί επιβολής του νόμου. Επιπλέον, στις ιδρυτικές πράξεις αυτών των οργάνων και οργανισμών, μπορούν να θεσπίζονται ειδικότεροι κανόνες ώστε να λαμβάνονται υπόψη οι ιδιαιτερότητές τους. Η Ευρωπόλ και η Ευρωπαϊκή Εισαγγελία εξαιρούνται από τον κανονισμό. Η Επιτροπή θα επανεξετάσει το νομοθετικό πλαίσιο για τα όργανα και τους οργανισμούς της ΕΕ που επεξεργάζονται επιχειρησιακά δεδομένα για τους σκοπούς της επιβολής του νόμου έως τον Απρίλιο του 2022.

Η Επιτροπή οφείλει να υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έκθεση σχετικά με τον τρόπο εφαρμογής της νομοθεσίας το αργότερο την 30ή Απριλίου 2022 και, στη συνέχεια, ανά πέντε έτη.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Ο ΚΑΝΟΝΙΣΜΟΣ;

Ο κανονισμός εφαρμόζεται από την 11η Δεκεμβρίου 2018, εξαιρουμένης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Eurojust που θα εφαρμοστεί από την 12η Δεκεμβρίου 2019.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων αναφέρει ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα. Το άρθρο 16 της Συνθήκης για τη λειτουργία της ΕΕ αναπτύσσει περαιτέρω αυτό το δικαίωμα. Το εν λόγω άρθρο αποτελεί τη νομική βάση για κάθε νομοθεσία της ΕΕ σχετικά με την προστασία δεδομένων.

Για περισσότερες πληροφορίες, βλέπε:

ΒΑΣΙΚΟΙ ΟΡΟΙ

Δεδομένα προσωπικού χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο.
Υπεύθυνος επεξεργασίας: τα θεσμικά και λοιπά όργανα ή οι οργανισμοί της ΕΕ ή η διοικητική τους ενότητα που καθορίζουν τον τρόπο και τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ψευδωνυμοποίηση: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε να μην είναι δυνατή η ταυτοποίηση ενός προσώπου χωρίς τη χρήση συμπληρωματικών πληροφοριών που διατηρούνται αλλού.
Επιχειρησιακά δεδομένα προσωπικού χαρακτήρα: όλα τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για τους σκοπούς της εκτέλεσης καθηκόντων επιβολής του νόμου.

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39-98)

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της 2ας Απριλίου 2019, σχετικά με τους εσωτερικούς κανόνες που αφορούν τους περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων που άπτονται της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των εκτελούμενων δραστηριοτήτων από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕ L 99I της 10.4.2019, σ. 1-7)

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1-88)

Οι διαδοχικές τροποποιήσεις του κανονισμού (ΕΕ) αριθ. 2016/679 έχουν ενσωματωθεί στο αρχικό κείμενο. Η παρούσα ενοποιημένη απόδοση έχει μόνο αξία τεκμηρίωσης.

Νομοθεσία που εφαρμόζεται ειδικά στα θεσμικά όργανα της ΕΕ

Οδηγία (EΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89-131)

Βλέπε ενοποιημένη απόδοση.

Απόφαση αριθ. 1247/2002/ΕΚ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής, της 1ης Ιουλίου 2002, περί του καθεστώτος και των γενικών όρων άσκησης των καθηκόντων του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕ L 183 της 12.7.2002, σ. 1-2)

Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1-22)

Βλέπε ενοποιημένη απόδοση.

τελευταία ενημέρωση 17.05.2019

Επάνω